Post on 03-Feb-2021
Access Control List - ACL
Bongga Arifwidodo, SST, MT.
bongga@ittelkom-pwt.ac.id
mailto:bongga@ittelkom-pwt.ac.id
Outline :
• Konsep ACL
• Wildcard Masking
• Basic configuration
a. Konsep ACL
• Access List bekerja menyaring lalu-lintas data suatunetwork dengan mengontrol apakah paket-pakettersebut dilewatkan atau dihentikan pada alatpenghubung (Interface) router.
• Router menguji semua paket data untuk menentukanapakah paket tersebut diijinkan untuk lewat atau tidakberdasarkan kriteria yang ditentukan di dalam Access List.
ACL (1)
• Kriteria yang digunakan Access List dapat berupa alamat asalpaket data tersebut, alamattujuan, jenis lapisan protokol atauinformasi lain yang berkaitan.
• Access-list sebagai dasar “firewall-router” ini diterapkan diantaranetwork internal dan network eksternal seperti internet ataudiantara dua network sepertipada gambar.
Fungsi Traffic Filters untuk Mencegah Trafic
ACL (2)
Access List (ACL) biasa digunakan untuk filtering.
Ada 2 macam access list yaitu standard danextented.
b. Wildcard Mask
• suatu urutan angka-angka yang mengefektifkan paketRouting di dalam subnets suatu jaringan.
• Fungsi dari wildcard mask: Wildcard mask panjangnya 32-bit yang dibagi menjadi empat octet.
• Wildcard mask adalah pasangan IP address. Angka 1 dan 0 pada mask digunakan untukmengidentifikasikan bit-bit IP address.
Wildcard Mask (1)
• Wildcard mask dan subnet mask dibedakan olehdua hal.
• Subnet mask menggunakan biner 1 dan 0 untukmengidentifikasi jaringan, subnet dan host.
• Wildcard mask menggunakan biner 1 atau 0 untukmemfilter IP address individual atau grup untukdiijinkan atau ditolak akses.
• Persamaannya hanya satu dua-duanya sama-sama32-bit.
Wildcard Mask (2)
• cara mendapatkan nilai wildcard mask:
missal IP = 192.168.1.0 /30
Subnet Mask =255.255.255.252
maka Wildcard=0.0.0.3
• cara menghitungnya :
Subnet Mask = 255.255.255.252
-> 11111111. 11111111. 11111111. 11111100
Kebalikanya adalah wildcard yaitu,
Wildcard = 00000000. 00000000. 00000000. 00000011
-> wildcard dari 255.255.255.252
c. Basic Configuration
• Standard ACL
Lakukan konfigurasi supaya PC LAN dapat ping ke server
Konfigurasi interface dan routing pada Router0.
Router(config)#int fa0/1Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no shRouter(config-if)#int fa0/0Router(config-if)#ip add 10.10.10.1 255.255.255.0Router(config-if)#no shRouter(config-if)#ip route 20.20.20.0 255.255.255.0 10.10.10.2
Konfigurasi interface dan routing pada Router1.
Router(config)#int fa0/0Router(config-if)#ip add 10.10.10.2 255.255.255.0Router(config-if)#no shRouter(config-if)#int fa0/1Router(config-if)#ip add 20.20.20.1 255.255.255.0Router(config-if)#no shRouter(config-if)#ip route 192.168.1.0 255.255.255.0 10.10.10.1
Berikan IP pada server dan coba cek web server melalui browser pada PC LAN.
Cek ping dari PC LAN ke web server.
PC>ping 20.20.20.2Pinging 20.20.20.2 with 32 bytes of data:Reply from 20.20.20.2: bytes=32 time=0ms TTL=126Reply from 20.20.20.2: bytes=32 time=0ms TTL=126Reply from 20.20.20.2: bytes=32 time=0ms TTL=126Reply from 20.20.20.2: bytes=32 time=0ms TTL=126Ping statistics for 20.20.20.2:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
Sekarang konfigurasikan standard access list agar PC LAN tidak dapat mengakses
web server. Set access list pada router dan interface yang paling dekat dengan
destination.
Router(config)#access-list 10 deny 192.168.10.0 ?A.B.C.D Wildcard bits
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.255Router(config)#access-list 10 permit anyRouter(config)#int fa0/1Router(config-if)#ip access-group 1 out
Cek ping dan akses browser dari PC LAN ke web server.
PC>ping 20.20.20.2Pinging 20.20.20.2 with 32 bytes of data:Reply from 10.10.10.2: Destination host unreachable.Reply from 10.10.10.2: Destination host unreachable.Reply from 10.10.10.2: Destination host unreachable.Reply from 10.10.10.2: Destination host unreachable.Ping statistics for 20.20.20.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Cek access list pada Router1.
Router#show access-listsStandard IP access list 10deny 192.168.1.0 0.0.0.255 (64 match(es))permit any (5 match(es))Router#
Pada standard access list, semua service akan
diblok, baik UDP untuk akses browser atau ICMP
untuk ping.
Untuk memilih hanya service tertentu saja, gunakan
extended access list.
Daftar akses standar (Standard Access List) mempergunakan alamat pengiriman paket dalam
pembuatan daftar akses.
Untuk membuat daftar IP akses standar dari global configuration mode adalah :
Router(config)#access-list
Nomor daftar aksess IP standar adalah 1 sampai 99.
Permit atau deny adalah parameter untuk mengijinkan atau menolak.
IP address adalah alamat pengirim atau asal.
Wildcard mask adalah untuk menentukan jarak dari suatu subnet.
• Extended Access List
Extented access list mengizinkan hanya service tertentu saja yang diblok. Gambar
dibawah adalah jenis-jenis service beserta aplikasinya.