Access Control List ialah suatu cara pengaturan/manage pengaksesan suatu link jaringan tertentu ( sesuai kebijakan dari administrator jaringan ) dari banyak jaringan, sehingga bisa dibatasi hak akses antara jaringan yan satu dengan lainnya bila diharapkan demikian, sehingga trafik yang masuk ke suatu jaringan pun bisa dimanage . Daftar/list yang berisikan pernyataan 'permit' atau 'deny' secara berurutan yang diterapkan pada IP Address
. Apa maksud dibatasi akses jaringan ? Ya, pengaksesan user dari ke jaringan lain yang terintegrasi pada suatu jaringan yang besar dan kompleks, yang pastinya berhubungan dengan keamanan akses suatu jaringan . Bukan hanya itu, salah satu penerapannya misalkan pada suatu perkantoran yang memiliki banyak divisi kepegawaian . Sebut saja jaringan 'Network Kantor', yang tiap subnet pada jaringan ini mewakili tiap divisi dari kepegawaian di perkantoran . Jaringan komputer di divisi Administrasi tidak boleh mengakses Internet selama jam kantor, sedangkan divisi Marketing boleh mengakses Internet padahal semua divisi dan tiap ruang kantor terkoneksi secara terpusat jaringan komputer .
Penasaran bagaimana Control List ini dibuat ? Membuat access list sangat mirip dengan statement pada programming if – then jika sebuah kondisi terpenuhi maka aksi yang diberikan akan dijalankan/tidak terpenuhi, tidak ada yang terjadi dan statemen berikutnya akan dievaluasi. Statement ACL pada dasarnaya adalah paket filter dimana paket dibandingkan, dimana paket dikategorikan dan dimana suatu tindakan terhadap paket dilakukan . List(daftar) yang telah dibuat bisa diterpakan baik kepada lalulintas inbound maupun outbound pada interface mana saja. Menerapkan ACL menyebabkan router menganalisa setiap paket arah spesifik yang melalui interface tersebut dan mengmbil tindakan yang sesuai . Ketika paket dibandingkan dengan ACL, terdapat beberapa peraturan (rule) penting yang diikuti:
o Paket selalu dibandingkan dengan setiap baris dari ACL secara berurutan, sebagai contoh paket dibandingkan dengan baris pertama dari ACL, kemudian baris kedua, ketiga, dan seterusnya.
o Paket hanya dibandingkan baris-baris ACL sampai terjadi kecocokan. Ketika paket cocok dengan kondisi pada baris ACL, paket akan ditindaklanjuti dan tidak ada lagi kelanjutan perbandingan.
o Terdapat statement “tolak” yang tersembunyi (impilicit deny) pada setiap akhir baris ACL, ini artinya bila suatu paket tidak cocok dengan semua baris kondisi pada ACL, paket tersebut akan ditolak
Keterangan :
Router>en
. Apa maksud dibatasi akses jaringan ? Ya, pengaksesan user dari ke jaringan lain yang terintegrasi pada suatu jaringan yang besar dan kompleks, yang pastinya berhubungan dengan keamanan akses suatu jaringan . Bukan hanya itu, salah satu penerapannya misalkan pada suatu perkantoran yang memiliki banyak divisi kepegawaian . Sebut saja jaringan 'Network Kantor', yang tiap subnet pada jaringan ini mewakili tiap divisi dari kepegawaian di perkantoran . Jaringan komputer di divisi Administrasi tidak boleh mengakses Internet selama jam kantor, sedangkan divisi Marketing boleh mengakses Internet padahal semua divisi dan tiap ruang kantor terkoneksi secara terpusat jaringan komputer .
Penasaran bagaimana Control List ini dibuat ? Membuat access list sangat mirip dengan statement pada programming if – then jika sebuah kondisi terpenuhi maka aksi yang diberikan akan dijalankan/tidak terpenuhi, tidak ada yang terjadi dan statemen berikutnya akan dievaluasi. Statement ACL pada dasarnaya adalah paket filter dimana paket dibandingkan, dimana paket dikategorikan dan dimana suatu tindakan terhadap paket dilakukan . List(daftar) yang telah dibuat bisa diterpakan baik kepada lalulintas inbound maupun outbound pada interface mana saja. Menerapkan ACL menyebabkan router menganalisa setiap paket arah spesifik yang melalui interface tersebut dan mengmbil tindakan yang sesuai . Ketika paket dibandingkan dengan ACL, terdapat beberapa peraturan (rule) penting yang diikuti:
o Paket selalu dibandingkan dengan setiap baris dari ACL secara berurutan, sebagai contoh paket dibandingkan dengan baris pertama dari ACL, kemudian baris kedua, ketiga, dan seterusnya.
o Paket hanya dibandingkan baris-baris ACL sampai terjadi kecocokan. Ketika paket cocok dengan kondisi pada baris ACL, paket akan ditindaklanjuti dan tidak ada lagi kelanjutan perbandingan.
o Terdapat statement “tolak” yang tersembunyi (impilicit deny) pada setiap akhir baris ACL, ini artinya bila suatu paket tidak cocok dengan semua baris kondisi pada ACL, paket tersebut akan ditolak
Gambar 1 . Contoh Topologi dengan penggunaan Acces List
Dari Gambar 1, dapat kita pahami bahwa pada SW1 tidak diperbolehkan akses ke SW2 dan sebaliknya, selain itu tiap user pada jaringan VLAN 10 dapat mengakses baik browsing Internet / TFTP. mengakses jaringan VLAN 20 , serta tidak diperbolehkan dalam pengelolaan / pengaksesan file berupa video di jaringan VLAN 10 . Juga pada jaringan ini tiap user tidak diperbolehkan menjalankan layanan/fitur Telnet atau remote pada jaringan di atasnya yakni Internet, hanya mengizinkan pengaksesan Email . Lalu pada jaringan SW2 tidak diperbolehkan user pada jaringan ini ( VLAN 20 ) mengakses server TFTP/Web, termasuk mengakses SW1, hanya user dalam jaringan VLAN 30 dan VLAN 10 yang diizinkan mengakses server TFTP/Web ini .
Gambar 2 . Rentang Penomoran pada Access Control Lists
Seperti yang telah diperlihatkan pada tabel di atas, Access Control List terbagi atas 2 jenis, yaitu IP Access List Standard dan IP Access List Extended .
1 . Standard ACL hanya menggunakan alamat sumber IP di dalam paket IP sebagai kondisi yang
ditest. Semua keputusan dibuat berdasarkan alamat IP sumber. Ini artinya, standard ACL
pada dasarnya melewatkan atau menolak seluruh paket protocol. ACL ini tidak membedakan
tipe dari lalu lintas IP seperti WWW, telnet, UDP, DSP .
Format command konfigurasinya :
Router(config)#access-list <nomor daftar akses IP standar> <permit atau deny> <IP address> <wildcard mask>
Keterangan :
- Nomor daftar aksess IP standar adalah 1 sampai 99.
- Permit atau deny adalah parameter untuk mengijinkan atau menolak.
- IP address adalah alamat pengirim atau asal.
- Wildcard mask adalah untuk menentukan jarak dari suatu subnet.
Contoh di Cisco Lab yang saya kerjakan adalah
Gambar 3 . Project Lab Access List 3 Network, menggunakan 2 Router
2 .Extended ACL adalah daftar akses lanjutan yang memiliki lebih banyak perameter yang dapat diatur, antara lain alamat (source address), alamat penerima (destination address), nomor port dan protokol .
Format command konfigurasinya :
Router(config)#access-list <nomor daftar akses IP extended> <permit atau deny> <protokol> <source address> <wildcard mask> <destination address> <wildcard mask> <operator> <informasi
port>
Extended ACL bisa mengevalusai banyak field lain pada header layer 3 dan layer 4 pada paket IP . ACL ini bisa mengevaluasi alamat IP sumber dan tujuan, field protocol pada header network layer dan nomor port pada header transport layer. Ini memberikan extended ACL kemampuan untuk membuat keputusan-keputusan lebih spesifik ketika mengontrol lalu lintas .
- Nomor daftar akses IP extended adalah 100 sampai 199.
- Permit atau deny adalah parameter untuk mengijinkan atau menolak.
- Protokol adalah seperti TCP, UDP, ICMP, dll.
- Source Address adalah alamat pengiriman atau asal.
- Destination Address adalah alamat penerima atau yang dituju.
- Wildcard mask adalah untuk menentukan jarak dari suatu subnet.
- Operator adalah seperti eq (equal), It (langer than), gt (greater than).
- Informasi port berupa nomor port, dns, ftp, www, telnet, smtp, dll.
Gambar 4 . Topologi Extended ACL
Trafik ACL pun dapat dibedakan atas 2 jenis, yakni berhubungan dengan komunikasi internal dan eksternal .. Diantaranya ialah :
- Inbound access-list, yakni paket-paket data yang datang dari arah dalam keluar diproses sebelum dilakukan proses routing ke interface yang menuju arah keluar.
- Outbound access-list, yakni paket-paket data yang datang dari arah luar ke dalam diarahkan ke interface router kemudian diproses oleh access-list tersebut .
Adapun penggunaan metode Access Control List ini dibarengi keuntungan dan kelemahan ...
- Keuntungan Access-list.
- Mengatur jalur komunikasi jaringan dengan menggunakan teknik routing.
- Keamanan untuk setiap komputer atau server.
- Jalur komunikasi yang terdefinisi.
- Kerugian Access-list.
- Komunikasi untuk setiap komputer terbatas.
- Implementasi yang membutuhkan waktu yang lama karena melibatkan struktur komunikasi Router Cisco
KEYNOTE / GUIDE
Terdapat beberapa panduan umum ACL yang seharusnya diikuti ketika membuat dan mengimplementasikan ACL pada router :
- Hanya bisa menerapkan satu ACL untuk setiap interface, setiap protocol dan setiap arah. Artinya bahwa ketika membuat ACL IP, hanya bisa membuat sebuah inbound ACL dan satu Outbound ACL untuk setiap interface.
- Organisasikan ACL sehingga test yang lebih spesifik diletakkan pada bagian atas ACL
- Setiap kali terjadi penambahan entry baru pada ACL, entry tersebut akan diletakkan pada bagian bawah ACL. Sangat disarankan menggunakan text editor dalam menggunakan ACL
Berikut salah satu topologi yang bisa jadi rujukan, dan konfigurasinya khusus untuk Standard Access Control List .
Gambar 5 . Topologi Jaringan untuk dikonfigurasi
KONFIGURASI ROUTER
Pada Router Kiri = R_A ..
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router0(config)#hostname R_A
R_A(config)#interface fastethernet 0/0
R_A(config-if)#description Link R_A ke Switch Network A
R_A(config-if)#ip address 192.168.1.254 255.255.255.0
R_A(config-if)#no shutdown
R_A(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R_A(config)#interface fastethernet 0/1
R_A(config-if)#description Link R_A ke R_B
R_A(config-if)#ip address 172.18.18.1 255.255.255.252
R_A(config-if)#no shutdown
R_A(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
Pada Router Kanan = R_B
Router>en
Router#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R_B
R_B(config)#interface fastethernet 0/1
R_B(config-if)#description Link R_B ke R_A
R_B(config-if)#ip address 172.18.18.2 255.255.255.252
R_B(config-if)#no shutdown
Pada Router B ke Switch Network B
R_B(config-if)#interface fastethernet 0/0
R_B(config-if)#description Link R_B ke Network B
R_B(config-if)#ip address 10.10.3.254 255.255.255.0
R_B(config-if)#no shutdown
Pada Router B ke Switch Network C
R_B(config)#interface fastethernet 1/0
R_B(config-if)#description Link R_B ke Network C
R_B(config-if)#ip address 10.10.4.254 255.255.255.0
R_B(config-if)#no shutdown
R_B(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
Pada R_B ke Switch Network D
R_B(config-if)#interface fastethernet 1/1
R_B(config-if)#description Link R_B ke Network D
R_B(config-if)#ip address 10.10.5.254 255.255.255.0
R_B(config-if)#no shutdown
R_B(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/1, changed state to up
KONFIGURASI ROUTING R_A ke R_B
Pada saat Basic Configuration sudah selesai dikerjakan, ketika kita coba PING untuk memeriksa apakah link sudah tersedia ke masing-masing host antarjaringan, didapati bahwa link belum tersedia antarjaringan, karena Network A belum mengenal Network B, Network C dan Network D jika belum dirutekan . Sehingga sangatlah perlu konfigurasi Routing di jaringan ini, demikianlah kali ini digunakan Static Routing, dengan command ' ip route <ip yang diinginkan terkoneksi> <subnetmasknya> < ip sebagai jalur yang menuju ke masing-masing network yang diinginkan tersebut> .
Static Routing ntuk Network A ke B, C dan D
R_A(config)#ip route 10.10.3.0 255.255.255.0 172.18.18.2
R_A(config)#ip route 10.10.4.0 255.255.255.0 172.18.18.2
R_A(config)#ip route 10.10.5.0 255.255.255.0 172.18.18.2
Static Routing untuk Network B, C, dan D ke Network A
R_B(config)#ip route 192.168.1.0 255.255.255.0 172.18.18.1
Mengapa mesti di kedua sisi Router dikonfigurasikan IP ROUTE ? Karena sifat dasar dari Router, ia hanya mengenal link jaringan tetangganya, juga Router ketika dirutekan ke Network B, D dan D ia tidak dapat kembali ke posisi semula atau tidak tahu jalan pulang kembali, sehingga perlu dituntun oleh Router lain untuk menentukan jalur dimana ia bisa kembali ke jaringan yang dikelolanya di awal, yakni ke Network A .
KONFIGURASI SWITCH
Switch Network A
Switch_Net_A(config)#ip default-gateway 192.168.1.0
Switch Network B
Switch_Net_B(config)#ip default-gateway 10.10.3.0
Switch Network C
Switch_Net_C(config)#ip default-gateway 10.10.4.0
Switch Network D
Switch_Net_D(config)#ip default-gateway 10.10.5.0
Setelah semua dikonfigurasi, simpan konfigurasi yang sudah dikerjakan dengan mengetikkan command : ' write memory ' ( tanpa tanda petik pada USER EXEC MODE )
ACCESS LIST ..
Di Topologi ini, ditentukan peraturan bahwa network D tidak boleh mengakses ke Network A .
Sehingga, perlu dikonfigurasi pembatasan hak akses dari Network D melalui R_B . Karena Network D berada pada port Fastethernet 1/1 pada R_B maka dalam konfigurasi melalui R_B yang dikonfigurasikan adalah port Fastetherne 1/1 pula . Konfigurasi command ialah dengan menutup akses ke Network A yaitu 192.168.1.0 dari Network D dan seba .
R_B(config)#access-list 5 deny 192.168.1.0 0.0.0.255
R_B(config)#access-list 5 permit any
R_B(config-if)#interface fastethernet 1/1
R_B(config-if)#ip access-group 5 out
Pada konfigurasi ini, terdapat angka 0.0.0.255 untuk prefix /24, ini adalah format Wildcard yang lebih lanjut dibahas pada file dibawah postingan ini ..
Berikut hasil koneksi PING antar jaringan ..
PING dari Network A ke Network B, C dan D .. semua berhasil
Gambar 6 . Tampilan CMD ketika melakukan PING dari Network A ke Network B,C dan D
Hasil PING dari Network B, C, dan D ke Network A
Gambar 7 . Tampilan hasil PING dari Network D (PC 5) ke Network A ( PC2 )
Terbukti bahwa Network D tidak dapat mengakses Network A . Demikian perkenalan tentang Access Control Lists pada jaringan komputer . :) Semoga bermanfaat bagi kita .
Ini ada file tentang Access List yang saya pernah dapat dan pelajari ..
DOWNLOAD TOPOLOGI DISINI (.pkt)
DOWNLOAD MATERI ACCESS LIST DISINI (,pdf)
--------------------------------------------------------------------------------------------------------------------------
Referensi :
Enter configuration commands, one per line. End with CNTL/Z.
Router0(config)#hostname R_A
R_A(config)#interface fastethernet 0/0
R_A(config-if)#description Link R_A ke Switch Network A
R_A(config-if)#ip address 192.168.1.254 255.255.255.0
R_A(config-if)#no shutdown
R_A(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R_A(config)#interface fastethernet 0/1
R_A(config-if)#description Link R_A ke R_B
R_A(config-if)#ip address 172.18.18.1 255.255.255.252
R_A(config-if)#no shutdown
R_A(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
Pada Router Kanan = R_B
Router>en
Router#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R_B
R_B(config)#interface fastethernet 0/1
R_B(config-if)#description Link R_B ke R_A
R_B(config-if)#ip address 172.18.18.2 255.255.255.252
R_B(config-if)#no shutdown
Pada Router B ke Switch Network B
R_B(config-if)#interface fastethernet 0/0
R_B(config-if)#description Link R_B ke Network B
R_B(config-if)#ip address 10.10.3.254 255.255.255.0
R_B(config-if)#no shutdown
Pada Router B ke Switch Network C
R_B(config)#interface fastethernet 1/0
R_B(config-if)#description Link R_B ke Network C
R_B(config-if)#ip address 10.10.4.254 255.255.255.0
R_B(config-if)#no shutdown
R_B(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
Pada R_B ke Switch Network D
R_B(config-if)#interface fastethernet 1/1
R_B(config-if)#description Link R_B ke Network D
R_B(config-if)#ip address 10.10.5.254 255.255.255.0
R_B(config-if)#no shutdown
R_B(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/1, changed state to up
KONFIGURASI ROUTING R_A ke R_B
Pada saat Basic Configuration sudah selesai dikerjakan, ketika kita coba PING untuk memeriksa apakah link sudah tersedia ke masing-masing host antarjaringan, didapati bahwa link belum tersedia antarjaringan, karena Network A belum mengenal Network B, Network C dan Network D jika belum dirutekan . Sehingga sangatlah perlu konfigurasi Routing di jaringan ini, demikianlah kali ini digunakan Static Routing, dengan command ' ip route <ip yang diinginkan terkoneksi> <subnetmasknya> < ip sebagai jalur yang menuju ke masing-masing network yang diinginkan tersebut> .
Static Routing ntuk Network A ke B, C dan D
R_A(config)#ip route 10.10.3.0 255.255.255.0 172.18.18.2
R_A(config)#ip route 10.10.4.0 255.255.255.0 172.18.18.2
R_A(config)#ip route 10.10.5.0 255.255.255.0 172.18.18.2
Static Routing untuk Network B, C, dan D ke Network A
R_B(config)#ip route 192.168.1.0 255.255.255.0 172.18.18.1
Mengapa mesti di kedua sisi Router dikonfigurasikan IP ROUTE ? Karena sifat dasar dari Router, ia hanya mengenal link jaringan tetangganya, juga Router ketika dirutekan ke Network B, D dan D ia tidak dapat kembali ke posisi semula atau tidak tahu jalan pulang kembali, sehingga perlu dituntun oleh Router lain untuk menentukan jalur dimana ia bisa kembali ke jaringan yang dikelolanya di awal, yakni ke Network A .
KONFIGURASI SWITCH
Switch Network A
Switch_Net_A(config)#ip default-gateway 192.168.1.0
Switch Network B
Switch_Net_B(config)#ip default-gateway 10.10.3.0
Switch Network C
Switch_Net_C(config)#ip default-gateway 10.10.4.0
Switch Network D
Switch_Net_D(config)#ip default-gateway 10.10.5.0
Setelah semua dikonfigurasi, simpan konfigurasi yang sudah dikerjakan dengan mengetikkan command : ' write memory ' ( tanpa tanda petik pada USER EXEC MODE )
ACCESS LIST ..
Di Topologi ini, ditentukan peraturan bahwa network D tidak boleh mengakses ke Network A .
Sehingga, perlu dikonfigurasi pembatasan hak akses dari Network D melalui R_B . Karena Network D berada pada port Fastethernet 1/1 pada R_B maka dalam konfigurasi melalui R_B yang dikonfigurasikan adalah port Fastetherne 1/1 pula . Konfigurasi command ialah dengan menutup akses ke Network A yaitu 192.168.1.0 dari Network D dan seba .
R_B(config)#access-list 5 deny 192.168.1.0 0.0.0.255
R_B(config)#access-list 5 permit any
R_B(config-if)#interface fastethernet 1/1
R_B(config-if)#ip access-group 5 out
Pada konfigurasi ini, terdapat angka 0.0.0.255 untuk prefix /24, ini adalah format Wildcard yang lebih lanjut dibahas pada file dibawah postingan ini ..
Berikut hasil koneksi PING antar jaringan ..
PING dari Network A ke Network B, C dan D .. semua berhasil
Gambar 6 . Tampilan CMD ketika melakukan PING dari Network A ke Network B,C dan D
Hasil PING dari Network B, C, dan D ke Network A
Terbukti bahwa Network D tidak dapat mengakses Network A . Demikian perkenalan tentang Access Control Lists pada jaringan komputer . :) Semoga bermanfaat bagi kita .
Ini ada file tentang Access List yang saya pernah dapat dan pelajari ..
DOWNLOAD TOPOLOGI DISINI (.pkt)
DOWNLOAD MATERI ACCESS LIST DISINI (,pdf)
Diberkati untuk menjadi berkat .. Tuhan Yesus memberkati kita :D
--------------------------------------------------------------------------------------------------------------------------
Referensi :
ACCESS CONTROL LIST, MODUL 5 Praktikum Jaringan Komputer 2 Telecommunication Departments, PENS-ITS
Riswanto, Simulasi Konfigurasi Kontrol Keamanan Jaringan Komputer Berbasis Access List Menggunakan Cisco Router . Skripsi Universitas Gunadarma
Ilmu di luar pelajaran Kuliah di Teknik Elektro, dan pembelajaran sendiri :)
siap min, makasih banyak sudah share
BalasHapusisolasi hp