3.20 4.20
Memahami Penyaringan trafik menggunakan Access Control List (ACL) Menalar Penyaringan trafik menggunakan Access Control List (ACL)
Penyaringan trafik
Penggunaan access list yang paling umum dan paling mudah untuk dimengerti adalah penyaringan paket yang tidak diinginkan ketika mengimplementasikan kebijakan keamanan. Sebagai contoh kita dapat mengatur access list untuk membuat keputusan yang sangat spesifik tentang peraturan pola lalu lintas sehingga access list hanya memperbolehkan host tertentu mengakses sumber daya WWW sementara yang lainnya ditolak. Dengan kombinasi access list yang benar, network manajer mempunyai kekuasaan untuk memaksa hamper semua kebijakan keamananyang bisa mereka ciptakan.
Daftar pengaturan akses (ACL) Membuat access list sangat mirip dengan statement pada programming if – if – then jika sebuah kondisi terpenuhi maka aksi yang diberikan akan dijalankantidak terpenuhi, tidak ada yang terjadi dan statemen berikutnya akan dievaluasi. Statement ACL pada dasarnaya dalah paket filter dimana paket dibandingkan, dimana paket dikategorikan dan dimana suatu tindakan terhadap paket dilakukan.
List(daftar) yang telah dibuat bisa diterpakan baik kepada lalulintas inbound maupun outbound pada interface mana saja. Menerapkan ACL menyebabkan
router menganalisa setiap paket arah spesifik yang melalui interface tersebut dan mengmbil tindakan yang sesuai.
Macam dan penggunaan ACL ACL adalah sebuah software yang dirancang secara khusus untuk menganalisa data dan menghasilkan laporan audit baik untuk pengguna biasa (common/ nontechnical users) maupun pengguna ahli (expert users).
Proses ACL
Inbound ACL : Pada jenis ini, paket data yang datang dari arah dalam diproses sebelum dilakukan proses routing ke interface yang menuju arah keluar. Outbond ACL : Pada jenis ini, paket data yang datang dari arah luar diarahkan ke interface router kemudian di proses oleh ACL tersebut.
Penggunaan sebuah Wildcard Mask Wildcard Mask juga dikenal sebagai Subnet Mask terbalik sebagian besar digunakan ketika mengkonfigurasi Subnet Mask untuk IP ACL ( Access Control List ), Enhanced Interior Gateway Protocol ( EIGRP ) dan OSPF . Dan cukup sederhana, Wilcard Mask berarti di mana pun ada 1 (bit/ binner) di netmask normal, Anda akan menggunakan 0 (bit/ binner) dalam wildcard Mask. sebagai contoh sederhana. Kita mungkin ingin menyaring sub-jaringan 10.1.1.0 yang memiliki Mask Kelas C (24-bit) 255.255.255.0. ACL akan membutuhkan lingkup alamat yang akan ditetapkan oleh wildcard mask yang dalam contoh ini adalah 0.0.0.255. Ini berarti bahwa 'Tidak peduli bit' diwakili oleh biner 1 yang sementara 'Membalikkan bit' diwakili oleh biner 0. Anda akanmengetahui ini adalah kebalikan (bit) untuk subnet mask normal!
Penggunaan dan struktur ACL dan wildcard mask
Access list adalah pengelompokan paket berdasarkan kategori. Access list bisa sangat membantu ketika membutuhkan pengontrolan dalam lalu lintas network. access list menjadi tool pilihan untuk pengambilan keputusan pada situasi ini. Penggunaan access list yang paling umum dan paling mudah untuk dimengerti adalah penyaringan paket yang tidak diinginkan ketika mengimplementasikan kebijakan keamanan.
Analisa akibat dari penggunaan wildcard mask
Wildcard mask adalah pasangan IP address. Angka 1 dan 0 pada mask digunakan untuk mengidentifikasikan bit-bit IP address. Wildcard mask mewakili proses yang cocok dengan ACL mask-bit. Wildcard mask tidak ada hubungannya dengan subnet mask.Wildcard mask dan subnet mask dibedakan oleh dua hal. Subnet mask menggunakan biner 1 dan 0 untuk mengidentifikasi jaringan, subnet dan host. Wildcard mask menggunakan biner 1 atau 0 untuk memfilter IP address individual atau grup untuk diijinkan atau ditolak akses. Persamaannya hanya satu dua-duanya sama-sama 32-bit.
konfigurasi daftar pengaturan akses
standar access list akan melakukan seleksi terhadap paket menggunakan alamat IP
pengirim dengan range nomor pengenal yang dapat digunakan adalah nomor 1 sampai 99. Ingat saja rumusnya : Router(config)# access-list [nomor pengenal] {permit/deny} [alamat pengirim] [wildcard-mask] Misal: Router_Pusat(config)#access-list 10 permit 172.25.0.0 0.0.255.255 Pada contoh tersebut [Router1] mengijinkan semua host a tau paket yang berasal dari network ID 172.25.0.0 untuk melewati [Router_Pusat]. Angka 0.0.255.255 (wildcard) digunakan untuk membandingkan paket, sehingga semua network ID yang di cek cukup 2 (dua) bagian terdepan yaitu 172.25. Apabila angka wildcard yang digunakan 0.0.0.255 maka network ID yang di cek adalah 3 (tiga) bagian terdepan, misalnya 172.25.82. Ada beberapa tahap yang harus kita lakukan untuk mengkonfigurasi Standard Access List, yaitu: 1. Memberikan identitas (nama, alamat IP, subnet mask, dan gateway untuk komputer yang terhubung) ke router pusat. 2. Mengkonfigurasi routing antara 2 (dua) jaringan yang akan dikenakan Access List. Nah routing dilakukan agar kedua jaringan tersebut terhubung terlebih dahulu sebelum ada Packet Filtering . 3. Membuat Access List dan menerapkannya pada interface router.
ACL standard an ekstended
Standard ACL merupakan jenis ACL yang paling sederhana. Standard ACL hanya melakukan filtering pada alamat sumber (Source) dari pa ket yang dikirimkan. Alamat sumber yang dimaksud dapat berupa alamat sumber dari jaringan (Network Address) atau alamat sumber dari host. Standard ACL dapat diimplementasikan pada proses filtering protocol TCP, UDP atau pada n omor port yang digunakan. Meskipun demikian, Standard ACL hanya mampu
mengijinkan atau menolak paket berdasarkan alamat sumbernya saja. Berikut ini adalah contoh konfigurasi dari Standard ACL Extended ACL Extended ACL merupakan jenis ACL yang mampu memberikan tingkat keamanan yang lebih baik ketimbang Standard ACL. Extended ACL mampu melakukan filtering pada alamat sumber (source) dan alamat tujuan (destination). Selain itu extended ACL memberikan keleluasaan kepada admin jaringan dalam melakukan proses filtering dengan tujuan yang lebih spesifik.
Dasar proses ACL
A. Dasar Pengamanan Perintah dalam pernyataan ACL adalah penempatan yang sangat penting. Software Cisco IOS menguji paket yang berlawanan terhadap setiap kondisi pernyataan pada perintah dari atas hingga bawah.
B. Konfigurasi Dasar Penomoran Standart ACL Pada contoh tersebut [Router1] mengijinkan semua host a tau paket yang berasal dari network ID 172.25.0.0 untuk melewati [Router_Pusat]. Angka 0.0.255.255 (wildcard) digunakan untuk membandingkan paket, sehingga semua network ID yang di cek cukup 2 (dua) bagian terdepan yaitu 172.25. Apabila angka wildcard yang digunakan 0.0.0.255 maka network ID yang di cek adalah 3 (tiga) bagian terdepan, misalnya 172.25.82. C. Konfigurasi Akses Router Melalui VTY Konfigurasi Cisco router dengan membatasi akses system juga bisa menggunakan control password pada line console dan koneksi virtual terminal. Terminal VTY baru bisa digunakan jika sudah diberikan password untuk akses lewat terminal vrtual atau umumnya dikenal lewat koneksi Telnet. Beralih ke konfigurasi line mode untuk consoleè Router (config)# line con Beralih ke konfigurasi line mode untuk virtual terminalè Router (config)# line vty Untuk set passwordè Router (config-line)# password Untuk meng-enable terminal dan juga perlunya password gunakanè Router (config-line)# login (H, 2009) D. Konfigurasi Dasar Penomoran Extended ACL Konfigurasi Nama ACL Extended
R2(config)#ip access-list extended FIREWALL R2(config-ext-nacl)# R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www R2(config-ext-nacl)#permit tcp any any established R2(config-ext-nacl)#permit icmp any any echo-reply R2(config-ext-nacl)#deny ip any any (webmaster, 2016) E. Analisis ACL Jaringan dan Penempatannya Command pada ACL merupakan perintah analisis standar yang ada pada ACL seperti perintah statistik. Stratify (menstratifikasi), Aging (umur) dsb. Perintah tersebut dapat menghasilkan output dalam bentuk file, screen(layar), print dan grafik. (limmaeda, 2016)
Konfigurasi ACL penomoran standar
Pada contoh tersebut [Router1] mengijinkan semua host atau paket yang berasal dari network ID 172.25.0.0 untuk melewati [Router_Pusat]. Angka 0.0.255.255 (wildcard) digunakan untuk membandingkan paket, sehingga semua network ID yang di cek cukup 2 (dua) bagian terdepan yaitu 172.25. Apabila angka wildcard yang digunakan 0.0.0.255 maka network ID yang di cek adalah 3 (tiga) bagian terdepan, misalnya 172.25.82.
Konfigurasi ACL penomoran ekstended
Konfigurasi Nama ACL Extended R2(config)#ip access-list extended FIREWALL R2(config-ext-nacl)# R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www R2(config-ext-nacl)#permit tcp any any established R2(config-ext-nacl)#permit icmp any any echo-reply R2(config-ext-nacl)#deny ip any any (webmaster, 2016) Konfigurasi ACL yang dinamai Membuat Standard Access List Menggunakan Nama Untuk membuat nama standard access list dan menerima pesan logging,
berikut adalahpermulaan dalam mode global konfigurasi. .
Konfigurasi akses router melalui VTY
Konfigurasi Cisco router dengan membatasi akses system juga bisa menggunakan control password pada line console dan koneksi virtual terminal. Terminal VTY baru bisa digunakan jika sudah diberikan password untuk akses lewat terminal vrtual atau umumnya dikenal lewat koneksi Telnet. Beralih ke konfigurasi line mode untuk consoleè Router (config)# line con Beralih ke konfigurasi line mode untuk virtual terminalè Router (config)# line vty Untuk set passwordè Router (config-line)# password Untuk meng-enable terminal dan juga perlunya password gunakanè Router (config-line)# login.
MENGIJINKAN & MELARANG TRAFIK SPESIFIK LEWAT
Piranti router menggunakan access list untuk mengendalikan traffic keluar masuk dengan karakteristick berikut: (Alih, 2009) 1. Access list menerangkan jenis traffic yang akan dikendalikan 2. Entry access list menjelaskan karakteristic traffic 3. Entry access list menunjukkan apakah mengijinkan atau menolak traffic 4. Entry access list dapat menjelaskan suatu jenis traffic khusus, mengijinkan atau
menolak semua traffic 5. Saat dibuat, suatu access list mengandung entry secara implicit “deny all” 6. Setiap access list diterapkan pada hanya sebuah protocol khusus saja 7. Setiap interface router dapat memuat hanya sampai dua access list saja untuk setiap protocol, satu untuk traffic masuk dan satu untuk traffic keluar. Konfigurasi ACL untuk mendukung trafik yang dibangun Pada standard ACL hanya menggunakan alamat source IP address dalam paket IP sebagai kondisi yang di test, sehingga ACL tidak dapat membedakan tipe dari traffic IP seperti WWW, UDP, dan telnet. Sedangkan pada Extended ACL, selain bisa mengevaluasi source address dan destination address extended ACL juga dapat mengevaluasi header layer 3 dan 4 pada paket IP. Nah, berikut adalah tugas besar dari ACL, baik jenis standar maupun extended, diantaranya:
Membatasi lalulintas jaringan dan menambah performa jaringan. Sebagai contoh, ACL yang membatasi lalulintas video dapat dengan baik mengurangi beban jaringan dan menambah performa jaringan.
Menyediakan kontrol aliran lalulintas. ACL dapat membatasi pengiriman update routing. Jika update tidak diperlukan disebabkan kondisi-kondisi jaringan, akanmenghemat bandwidth.
Menyediakan sebuah level dasar keamanan untuk akses jaringan. ACL dapat mengijinkan satu host untuk mengakses sebuah bagian dari jaringan dan mencegah host lain untuk mengakses area yang sama. Sebagai contoh, Host A diperbolehkan untuk mengakses jaringan Sumberdaya Manusia dan Host B dicegah untuk mengaksesnya.
Memutuskan jenis lalulintas yang dilewatkan atau diblok pada interface-interface router. ACL dapat mengijinkan pe-rute-an lalulintas e-mail, tapi mem-blok semua lalulintas telnet.
Mengontrol wilayah sebuah client mana yang dapat mengakses pada sebuah jaringan
Menyaring host-host untuk diperbolehkan atau ditolak mengakses ke sebuah segment jaringan.
ACL dapat digunakan untuk memperbolehkan atau menolak seorang user untuk mengakses jenisjenis file seperti FTP atau H TTP.
Kemungkinan besar ACL nya tidak berfungsi, misal:
ada ACL yg men-deny port 80, lalu ada konfigurasi PAT dengan port 8000 yg di belokan ke port 80, jadi ketika client mengakses port 8000 maka akan masuk proses PAT(dalam iptables di linux, ini masuk ke dalam proses prerouting) dan akan di arahkan ke port 80 yg otomatis tanpa pemeriksaan dari ACL.
Analisis ACL jaringan dan penempatannya
Konfigurasi ACL bersama routing inter-VLAN
Topologi vlan
1. Mengaktifkan IP routing Switch>enable Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#ip routing Switch(config)#ip routing Switch(config)# Cek hasilnya dengan perintah “show run“ 2. Membuat VLAN Membuat Vlan 2 dengan nama Sales : Switch(config)#vlan 2 Switch(config-vlan)#na Switch(config-vlan)#name Sales Switch(config-vlan)#exit Membuat Vlan 3 dengan nama Marketing : Switch(config)#vlan 3
Switch(config-vlan)#name Marketing Switch(config-vlan)#exit verifikasi hasilnya dengan perintah Switch(config)#do sh vlan VLAN Name
Status
Ports
---- -------------------------------- --------- ------------------------------1.default
active
Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig0/1, Gig0/2 2.Sales 3.Marketing 1002 fddi-default
active active act/unsup
1003 token-ring-default 1004 fddinet-default 1005 trnet-default
act/unsup act/unsup act/unsup
3.Menentukan port switch pada vlan tertentu Switch(config)#int fa0/4 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit Switch(config)#int fa0/6 Switch(config-if)#switchport access vlan 3 Switch(config-if)#exit Switch(config)# Verifikasi hasilnya Switch(config)#do sh vlan VLAN Name
Status
Ports
---- -------------------------------- --------- ------------------------------1. Default
active
Fa0/1, Fa0/2, Fa0/3, Fa0/5
Fa0/7, Fa0/8, Fa0/9, Fa0/10 Fa0/11, Fa0/12, Fa0/13, Fa0/14 Fa0/15, Fa0/16, Fa0/17, Fa0/18 Fa0/19, Fa0/20, Fa0/21, Fa0/22 Fa0/23, Fa0/24, Gig0/1, Gig0/2 2. Sales
active
3. Marketing
active
Fa0/4 Fa0/6
4. Menentukan IP adress Vlan Switch(config)#int vlan 2 Switch(config-if)# %LINK-5-CHANGED: Interface Vlan2, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to up Switch(config-if)#ip add 10.1.2.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)#int Switch(config)#interface vlan 3 %LINK-5-CHANGED: Interface Vlan3, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to up Switch(config-if)#ip add 10.1.3.1 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)#exit Switch(config)# verifikasi hasilnya ! Switch(config)#do sh ip int br Vlan2 : 10.1.2.1
YES manual up
up
Vlan3 : 10.1.3.1
YES manual up
up
Trafik menggunakan ACL
Berikut ini adalah fungsi dari ACL: - Membatasi trafik jaringan dan meningkatkan unjuk kerja jaringan. Misalnya, ACL memblok trafik video, sehingga dapat menurunkan beban jaringan dan meningkatkan unjuk kerja jaringan. - Mengatur aliran trafik. ACL mampu memblok update routing. Jika update tidak dibutuhkan karena kondisi jaringan, maka bandwidth dapat dihemat. - Mampu membrikan dasar keamanan untuk akses ke jaringan. Misalnya, host A tidak diijinkan akses ke jaringan HRD dan host B diijinkan. - Memutuskan jenis trafik mana yang akan dilewatkan atau diblok melalui interface router. Misalnya, trafik email dilayani, trafik telnet diblok. - Mengontrol daerah-daerah dimana klien dapat mengakses jaringan. - Memilih host-hots yang diijinkan atau diblok akses ke segmen jaringan. Misal, ACL mengijinkan atau memblok FTP atau HTTP.
Logging untuk memverifikasi fungsi ACL
Log dan log-masukan opsi berlaku untuk ACE individu dan menyebabkan paket yang cocok ACE untuk login. Opsi log-masukan memungkinkan logging dari interface ingress dan sumber alamat MAC di samping alamat sumber dan tujuan IP paket dan port.
Analisa log router
Pada log files dapat dilihat perilaku user da lam melakukan Update operating system
dan update anti virus. Updating operating system dan update antivirus secara rutin, merupakan suatu hal yang dapat user lakukan untuk tetap menjaga keamanan perangkatnya. Hal ini memang tampak sepele dan malah terkadang diabaikan oleh user. Seperti yang pernah dikemukakan oleh sales Kaspersky, Jack Chow, tentang kesadaran user dalam melakukan update antivirus. “Masyarakat saat ini memang belum sadar. Padahal antivirus itu sudah seperti obat kalau kita sakit. Terlebih lagi, masyarakat belum terbiasa update antivirus setiap hari. Padahal di dalam antivirus tersebut sudah tersimpan mekanisme update langsung. Sehingga pengguna tidak perlu khawatir terhadap keamanan data dalam perangkatnya.