Router Access List
Router
Mengendalikan Keamanan Jaringan Corporate Anda Dengan Access List Berdasarkan
Karakteristik Traffic Baik Mengijinkan Atau Menolak Lewat
Jika kita
bicara tentang keamanan
jaringan, memasukkan
user-ID dan password adalah yang paling umum kita jumpai. Jenis keamanan
authenticasi ini adalah jenis keamanan yang diimplementasikan pada layer bagian
atas dari layer Network pada model referensi OSI. Router memeriksa setiap traffic
yang datang dan memutuskan untuk permit atau deny traffic tersebut berdasarkan
pada karakteristic traffic tersebut seperti IP address dan atau protocol.
Mengendalikan
keamanan jaringan dengan access lists
Piranti
Router mengendalikan keamanan jaringan dengan menggunakan access lists. Suatu
access list menerangkan karakteristik traffic jaringan seperti asal dan tujuan
IP address dan juga protocol. Kita bisa mengendalikan jenis traffic yang
dikirim atau diterima oleh router dengan jalan membuat access list dan di
terapkan kepada interface router. access list menjelaskan jenis traffic yang
bisa diterima atau diteruskan oleh sebuah interface dari router.
Router
access list
Piranti
router menggunakan access list untuk mengendalikan traffic keluar masuk dengan
karakteristick berikut:
- Access list menrangkan jenis
traffic yang akan dikendalikan
- Entry access list menjelaskan
karakteristic traffic
- Entry access list menunjukkan
apakah mengijinkan atau menolak traffic
- Entry access list dapat
menjelaskan suatu jenis traffic khusus, mengijinkan atau menolak semua
traffic
- Saat dibuat, suatu access list
mengandung entry secara implicit “deny all”
- Setiap access list diterapkan
pada hanya sebuah protocol khusus saja
- Setiap interface router dapat
memuat hanya sampai dua access list saja untuk setiap protocol, satu untuk
traffic masuk dan satu untuk traffic keluar.
- Saat suatu access list
dikenakan pada suatu interface, dia mengidentifikasikan apakah list
melarang traffic masuk atau traffic keluar
- Access list ada secara global
pada router, akan tetapi filter traffic hanya ada pada interface dimana
dia diterapkan.
- Setiap access list bisa
diterapkan pada lebih dari satu interface akan tetapi, setiap access list
hanya mempunyai list masuk atau keluar saja.
- Basic /standard access list
membatasi traffic di hampir kebanyakan karakteristic traffic (seperti
protocol tertentu dalam suatu suite)
Catatan
bahwa ketika kita membuat access list, maka secara automatis akan mengandung
statement “deny all”, walaupun statement ini tidak kelihatan dalam list itu
sendiri. Agar suatu list bisa mengijinkan suatu traffic, maka harus ada
setidaknya satu statement permit, baik mengijinkan suatu jenis traffic khusus
atau mengijinkan semua jenis traffic yang tidak dibatasi secara specific.
Adanya
access list yang berbeda tergantung pada jenis protocol. Tanpa memandang
protocol, gunakan langkah umum berikut ini untuk membuat dan mengimplementasikan
access list.
- Pada global configuration mode,
buatlah list dan tambahkan entry access list dengan command “access-list”
- Pada interface mode,
applikasikan access list tertentu pada suatu interface yang secara umum
menggunakan “access-group” command.
Access list
diidentifikasikan dengan nomor, walaupun bisa saja menggunakan suatu nama.
Nomor tersebut bukan saja menunjukkan suatu access list tertentu, akan tetapi
juga mengidentifikasikan karakteristic berikut juga:
- Protocol suite
- Menunjukkan apakah list tersebut
standard atau extende access list
Rentang
penomoran telah dibangun untuk setiap jenis protocol, baik standard maupun
extended.
Kisaran
nomor access list
Kita mesti
bisa menghafalkan rentang nomor berikut baik untuk mengidentifikasikan atau
membuat access list.
Rentang
nomor
|
List type
|
0-99
|
Regular IP
list
|
100-199
|
Extended
IP list
|
800-899
|
Regular
IPX list
|
900-999
|
Extended
IPX list
|
1000-1099
|
SAP list
|
Untuk
mengetahui list kisaran nomor access list, ketik access-list ? pada command
prompt router.
Konfigurasi
IP Access Lists
Saat membuat
suatu IP access list, kita dapat membuat baik standard ataupun extended access
list. Berikut ini perbandingan dua jenis list.
Gunakan
suatu standard list untuk memfilter hostname asal atau IP address host
Gunakan extended
access list untuk memfilter:
- Source IP protocol (IP, TCP,
UDP, dll)
- Source hostname atau host IP
address
- Source atau tujuan socket
number
- Host name atau host IP address
tujuan
- Awalan atau nilai kondisi
Standard IP
access lists
- Filter pada source address
- Log events (optional)
Membuat
suatu standard IP access list
Perlu
diingat bahwa untuk standard access list gunakan rentang nomor antara 1-99.
Untuk membuat standard access list, proses berikut merupakan cara kebanyakan
access list standard dibuat.
Buat list
dengan menambahkan entry dengan command “access-list”, pada contoh berikut
ini melewatkan semua traffic keluar dari semua IP address kecuali traffic
dari network 10.0.0.0, dan list diterapkan pada interface Ethernet E0
|
Router
(config) #access-list 1 deny 10.0.0.0 0.255.255.255
Router
(config) #access-list 1 permit any
Router
(config) #int e0
Router
(config-if) #ip access-group 1 out
|
Pada
contoh berikut membuat sebuah standard IP access list yang menolak semua
traffic kecuali traffic dari host 10.12.12.16, dan diterapkan pada interface
Serial 0
|
Router
(config) #access-list 2 permit 10.12.12.16
Router
(config) # int s0
Router
(config-if) #ip access-group 2 in
|
Perlu
diingat bahwa setiap access l ist mengandung suatu entry “deny any” secara
explicit. Saat dibuat, access list “deny any” semua traffic kecuali traffic
yang secara explicit di ijinkan oleh suatu statement “permit” dalam list.
Extended IP
access lists (standard capabilities plus)
- Filter pada protocol
- Filter pada address tujuan
- Filter pada port number (baik
tujuan maupun asal)
Perlu
diingat bahwa extended IP access list diberikan nomor antara 100 dan 199
Pada
contoh berikut adalah list extended access list yang menolak semua packet
dari host 10.1.1.1 yang dikirim ke host 15.1.1.1 dan diterapkan pada
interface serial kedua S1
|
Router
(config) #access-list 101 permit ip any any
Router
(config) #access-list 101 deny ip 10.1.1.1 0.0.0.0 15.1.1.1 0.0.0.0
Router
(config) #int s1
Router
(config-if) # ip access-group 101 in
|
Pada
contoh berikut suatu extended access list dibuat yang tidak melewatkan packet
TCP dari semua host pada jaringan 10.0.0.0 menuju jaringan 11.12.0.0, dan
diterapkan pada suatu interface serial pertama S0
|
Router
(config-if) #access-list 111 permit ip any any
Router
(config-if) #access-list 111 deny tcp 10.0.0.0 0.255.255.255 11.12.0.0
0.0.255.255
Router
(config)#int s0
Router
(config-if)# ip access-group 111 in
|
Perlu
dicatat bahwa kita hanya mempunyai satu IP access list incoming / outgoing
untuk masing-masing interface.
Command
berikut adalah ringkasan command untuk digunakan melihat informasi access list
tertentu pada router.
Jika ingin
melihat
|
Gunakan
command berikut
|
Semua
access list yang ada pada router
|
Show run
Show
access-list
|
Semua
access list yang diteapkan pada suatu interface
|
Show ip
int
Show run
|
Semua
informasi traffic yang ditolak
|
Show log
|
IP access
list yang dikonfigurasikan pada router
|
Show run
Show ip
access-lists
|
IPX access
list yang dikonfigurasikan pada router
|
Show run
Show ipx access-lists
|