Access LIST, si penjaga gudang

Kemarin materi yang diajarin ama si Endog BIT ACL. Sekarang orangnya nyangkut di Makasar. Ngerjaidn proyek disana. Sebenarnya si Endog nerusin materi yang diajar ama orang yang CCIE certied, orang multipolar, namanya Hinwoto.
Access Control List
Access Control List atau ACL , kelompok statement yang di dibuat untuk menentukan paket data di tolak atau diterima pada saat inbound dan atau outbound. Sederhananya ACL melakukan filtering, ACL digunakan sebagai dasar dari security.

ACL di ibaratkan sekumpulan daftar nama orang yang dipegang oleh security suatu gedung. Interface adalah pintu masuk dan keluar dari sebuah gedung, dan packet data adalah orang yang keluar masuk. Security atau Satpam itu bisa kita perintahkan untuk menjaga pintu. Satpam itu bisa kita perintahkan untuk menjaga pintu masuk, inbound atau pintu keluar, outbond. Sebuah pinti hanya boleh di jaga maksimum seorang penjaga pintu masuk dan seorang penjaga pintu keluar. Boleh juga dibiarkan tanpa penjag sama sekali, dengan resiko orang bebas keluar masuk.

Daftar yang dipegang oleh satpam tadi berupa daftar orang dan daftar treatment satpam tehadap orang tersebut apakah diperkenankan atau tidak untuk masuk atau keluar. Daftar itu berupa kumpulan atau listing.

Satpam akan mencocokan antara packet dengan daftar tersebut berurut apakah sesuai./match? Jika sesuai maka satpam akan melakukan sesuai dengan perintah di daftar tersebut, permit atau deny. Jika tidak sesuai, ia akan mencocokan dengan baris selanjutnya, terus demikian hingga baris daftar terakhir. Jika selesai secara default data tadi akan di tolak alias tidak diteruskan oleh satpam tadi kecuali kita specify untuk menerima setiap data, permit any any. Itulah pentingnya agar kita tambahkan di daftar tadi pada bagian yang paling terkahir untuk mengijinkan semua packet.

Setiap daftar yang dipegang oleh satpam itu memiliki nomer. Nomor itu digunakan untuk mengelompokkan apakah ACL itu dalam satu kelompok. Saat inipun ada jenis ACL yang pengelompokannya tidak berdasar nomor tapi menggunakan nama. Berikut langkah-langkah penyusunan ACL;

Langkah pertama membuat diagram flow agar kita mudah menyusun ACL dari yang paling spesifik hingga ACL yang umum.

Langkah kedua mebuat ACL adalah mendefiniskan ACL terlebih dahulu seperti berikut:

Router(config)#access-list xx yy
Dimana xx adalah access-list-number dan y adalah threatment terhadap paket permit/deny.

Langkah selanjutnya adalah apply ACL yang sudah dibuat pada interface yang perlu di jaga, seperti berikut

Router(config-if)access-group xx zz

Dimana xx adalah access-list-number, sedangkan yy adalah in atau out yang artinya inbound atau outbond.

Standart ACL

Standart ACL hanya memberiksa IP dari source (data layer 3). Untuk mendefine Standart ACL sangat sederhana

Router(config)#access-list [num] permit|deny SIP wm

Num = 1…99 , 1300 …1999

SIP = Source IP addresss

Wm = wildcardmask

Contoh
Router(config)access-list 89 permit 10.10.10.1 0.0.0.255

Untuk wildcard mask yang dibandingkan adalah value bit per bit dari misk tersebut

WM = 0000 0000. 0000 0000. 0000 0000.1111 111

Artinya octet 1, dan 3 akan dicocokkan alias masuk criteria match atau tidak, sedangkan oktet terkahir tidak akan dipedulikan sama sekali. Pada kausu IP di atas, ACL akan match jika packet sorce tersebut antara 10.10.10.1 hingga 10.10.10.255

Note; Any dan Host keyword
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
Bisa kita singkat dengan

Router(config)#access-list 1 permit any

Router(config)#access-list 2 permit 172.30.15.29 0.0.0.0

Bisa kita singkat dengan

Router(config)#access-list 2 permit host 172.30.15.29

Extended ACL

ACL ini memilki flesiblitas lebih dari standart ACL. Ia bisa digunkan untuk mengecek IP source dan IP destination (data layer 3). Selaint itu ia juga bisa digunakan untuk memfilter berdasar port source dan port, tujuan juga protocol yang digunakan (layer 4 dan 5).

Router(config)#access-list [num] permit|deny [prot] SIP wm [opr operand] DIP wm [opr operand]

Num = 100…199, 2000…2699

Prot = ip, tcp, udp, icmp

Wm = wildcard mask

Oprand = 80,21, 23, 25, 53, 110, ftp, ssh, telnet, www.

SIP = Source IP address

DIP = Destination IP address

Opr = eq, neq, lt, gt, range.

Router(config)#access-list 100 permit tcp 10.10.10.1 0.0.0.0 202.158.7.0 0.0.0.0.255 eq www

Named ACL

Baik standart maupun extended, kedua ACL tersebut dikelompokan berdasarkan nomor dari ACL. Untuk mengedit Acl yang sudah terpasang akan sedikit sulit, selain nomor yang di gunkan terbatas. Jika kita menghapus satu barus dari sekelompok ACL maka akan berdampak terhapusnya satu kelompok ACL.

Dengan named ACL kedua masalah tersebut dapat diatasi.

Router(config)#ip access-list standard [ACL NAME]

Router(config-std-nacl)# [num] permit|deny SIP wm

Router(config)#ip access-list extended [ACL NAME]

Router(config-ext-nacl)#permit|deny [prot] SIP wm [opr operand] DIP wm [opr operand]

Num = 100…199, 2000…2699

Prot = ip, tcp, udp, icmp

Wm = wildcard mask

Oprand = 80,21, 23, 25, 53, 110, ftp, ssh, telnet, www.

SIP = Source IP address

DIP = Destination IP address

Opr = eq, neq, lt, gt, range.

That’s brief of ACL…

4 thoughts on “Access LIST, si penjaga gudang

  1. hinwoto - bit September 13, 2006 at 3:15 pm Reply

    cool :D… acl si penjaga pintu,…
    just ensure that you secure the CCNA yach..😉
    keep up the good work.

    cheers
    hin#15026

  2. irgaa September 20, 2006 at 3:15 pm Reply

    mending mana mas:
    1. R(cofig)# access-list 101 deny bla..bla
    R(cofig)# access-list 101 deny bla..bla
    R(cofig)# access-list 101 deny bla..bla
    R(cofig)# access-list 101 permit any any

    2. R(cofig)# access-list 101 permit bla..bla
    R(cofig)# access-list 101 permit bla..bla
    R(cofig)# access-list 101 permit bla..bla

  3. jokondo September 21, 2006 at 1:09 am Reply

    ACL statement yang umum dipake yang kedua (1).

    R(cofig)# access-list 101 permit any any digunakan

    Karena default ACL pada baris terakhir ada impilicit (statement yang tak nampak tapi ada dan dibuat ketika kita buat ACL List)

    default pada baris terakhir

    ACL List ## deny any any, artinya menolak semua packet. Jika semua ditolak, maka tidak akan ada sebiji pun packet lewatin si ACL ini.🙂 saking khawatirnya ada packetyang aneh kali makanya ditolak semua.
    Patokannya , ACL statement yang rulenya lebih general itu diposisikan pada paris yang lebih bawah dan banding kan statement yang mendeny atau permit suatu host yang spesifik.

  4. Rayap Kota April 3, 2009 at 3:21 am Reply

    kalau seandainya kita mau tutup port 8080, apa ya CLI nya ??

    http://forum.centuri-on.org

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: