3.

20 Memahami Penyaringan trafik menggunakan Access Control List (ACL)

4.20 Menalar Penyaringan trafik menggunakan Access Control List (ACL)

Penyaringan trafik

Penggunaan access list yang paling umum dan paling mudah untuk
dimengerti adalah penyaringan paket yang tidak diinginkan ketika
mengimplementasikan kebijakan keamanan. Sebagai contoh kita dapat
mengatur access list untuk membuat keputusan yang sangat spesifik tentang
peraturan pola lalu lintas sehingga access list hanya memperbolehkan host
tertentu mengakses sumber daya WWW sementara yang lainnya ditolak.
Dengan kombinasi access list yang benar, network manajer mempunyai
kekuasaan untuk memaksa hamper semua kebijakan keamananyang bisa
mereka ciptakan.

Daftar pengaturan akses (ACL)

Membuat access list sangat mirip dengan statement pada programming if
then jika sebuah kondisi terpenuhi maka aksi yang diberikan akan
dijalankantidak terpenuhi, tidak ada yang terjadi dan statemen berikutnya
akan dievaluasi. Statement ACL pada dasarnaya dalah paket filter dimana
paket dibandingkan, dimana paket dikategorikan dan dimana suatu tindakan
terhadap paket dilakukan.

List(daftar) yang telah dibuat bisa diterpakan baik kepada lalulintas inbound
maupun outbound pada interface mana saja. Menerapkan ACL menyebabkan
router menganalisa setiap paket arah spesifik yang melalui interface tersebut
dan mengmbil tindakan yang sesuai.

Macam dan penggunaan ACL

ACL adalah sebuah software yang dirancang secara khusus untuk
menganalisa data dan menghasilkan laporan audit baik untuk pengguna biasa
(common/ nontechnical users) maupun pengguna ahli (expert users).

Proses ACL

Inbound ACL : Pada jenis ini, paket data yang datang dari arah dalam diproses
sebelum dilakukan proses routing ke interface yang menuju arah keluar.
Outbond ACL : Pada jenis ini, paket data yang datang dari arah luar diarahkan
ke interface router kemudian di proses oleh ACL tersebut.

Penggunaan sebuah Wildcard Mask

Wildcard Mask juga dikenal sebagai Subnet Mask terbalik sebagian besar
digunakan ketika mengkonfigurasi Subnet Mask untuk IP ACL ( Access
Control List ), Enhanced Interior Gateway Protocol ( EIGRP ) dan OSPF . Dan
cukup sederhana, Wilcard Mask berarti di mana pun ada 1 (bit/ binner) di
netmask normal, Anda akan menggunakan 0 (bit/ binner) dalam wildcard
Mask. sebagai contoh sederhana. Kita mungkin ingin menyaring sub-jaringan
10.1.1.0 yang memiliki Mask Kelas C (24-bit) 255.255.255.0. ACL akan
membutuhkan lingkup alamat yang akan ditetapkan oleh wildcard mask yang
dalam contoh ini adalah 0.0.0.255. Ini berarti bahwa 'Tidak peduli bit' diwakili
oleh biner 1 yang sementara 'Membalikkan bit' diwakili oleh biner 0. Anda
akanmengetahui ini adalah kebalikan (bit) untuk subnet mask normal!
 Penggunaan dan struktur ACL dan wildcard mask

Access list adalah pengelompokan paket berdasarkan kategori. Access list bisa
sangat membantu ketika membutuhkan pengontrolan dalam lalu lintas
network. access list menjadi tool pilihan untuk pengambilan keputusan pada
situasi ini.
Penggunaan access list yang paling umum dan paling mudah untuk
dimengerti adalah penyaringan paket yang tidak diinginkan ketika
mengimplementasikan kebijakan keamanan.

Analisa akibat dari penggunaan wildcard mask

Wildcard mask adalah pasangan IP address. Angka 1 dan 0 pada mask

digunakan
untuk mengidentifikasikan bit-bit IP address. Wildcard mask mewakili proses
yang
cocok dengan ACL mask-bit. Wildcard mask tidak ada hubungannya dengan
subnet
mask.Wildcard mask dan subnet mask dibedakan oleh dua hal. Subnet mask
menggunakan biner 1 dan 0 untuk mengidentifikasi jaringan, subnet dan host.
Wildcard
mask menggunakan biner 1 atau 0 untuk memfilter IP address individual atau
grup
untuk diijinkan atau ditolak akses. Persamaannya hanya satu dua-duanya
sama-sama
32-bit.

konfigurasi daftar pengaturan akses

standar access list akan melakukan seleksi terhadap paket menggunakan alamat
IP
pengirim dengan range nomor pengenal yang dapat digunakan adalah nomor 1
sampai
99. Ingat saja rumusnya :
Router(config)# access-list [nomor pengenal] {permit/deny} [alamat pengirim]
[wildcard-mask]
Misal: Router_Pusat(config)#access-list 10 permit 172.25.0.0 0.0.255.255

Pada contoh tersebut [Router1] mengijinkan semua host atau paket yang
berasal dari network ID 172.25.0.0 untuk melewati [Router_Pusat]. Angka
0.0.255.255 (wildcard) digunakan untuk membandingkan paket, sehingga
semua network ID yang di cek cukup 2 (dua) bagian terdepan yaitu 172.25.
Apabila angka wildcard yang digunakan 0.0.0.255 maka network ID yang di
cek adalah 3 (tiga) bagian terdepan, misalnya 172.25.82.
Ada beberapa tahap yang harus kita lakukan untuk mengkonfigurasi Standard
Access List, yaitu:

1. Memberikan identitas (nama, alamat IP, subnet mask, dan gateway

untuk komputer yang terhubung) ke router pusat.

2. Mengkonfigurasi routing antara 2 (dua) jaringan yang akan

dikenakan Access List. Nah routingdilakukan agar kedua jaringan
tersebut terhubung terlebih dahulu sebelum ada Packet Filtering.

3. Membuat Access List dan menerapkannya pada interface router.

ACL standard an ekstended

Standard ACL
merupakan jenis ACL yang paling sederhana. Standard ACL hanya melakukan
filtering pada alamat sumber (Source) dari paket yang dikirimkan. Alamat
sumber yang dimaksud dapat berupa alamat sumber dari jaringan (Network
Address) atau alamat sumber dari host. Standard ACL dapat
diimplementasikan pada proses filtering protocol TCP, UDP atau pada nomor
port yang digunakan. Meskipun demikian, Standard ACL hanya mampu
mengijinkan atau menolak paket berdasarkan alamat sumbernya saja. Berikut
ini adalah contoh konfigurasi dari Standard ACL
Extended ACL
Extended ACL merupakan jenis ACL yang mampu memberikan tingkat
keamanan yang lebih baik ketimbang Standard ACL. Extended ACL mampu
melakukan filtering pada alamat sumber (source) dan alamat tujuan
(destination). Selain itu extended ACL memberikan keleluasaan kepada admin
jaringan dalam melakukan proses filtering dengan tujuan yang lebih spesifik.

Dasar proses ACL

A. Dasar Pengamanan
Perintah dalam pernyataan ACL adalah penempatan yang sangat penting.
Software Cisco IOS menguji paket yang berlawanan terhadap setiap kondisi
pernyataan pada perintah dari atas hingga bawah.

B. Konfigurasi Dasar Penomoran Standart ACL

Pada contoh tersebut [Router1] mengijinkan semua host atau paket yang
berasal dari network ID 172.25.0.0 untuk melewati [Router_Pusat]. Angka
0.0.255.255 (wildcard) digunakan untuk membandingkan paket, sehingga
semua network ID yang di cek cukup 2 (dua) bagian terdepan yaitu 172.25.
Apabila angka wildcard yang digunakan 0.0.0.255 maka network ID yang di
cek adalah 3 (tiga) bagian terdepan, misalnya 172.25.82.

C. Konfigurasi Akses Router Melalui VTY

Konfigurasi Cisco router dengan membatasi akses system juga bisa
menggunakan control password pada line console dan koneksi virtual
terminal. Terminal VTY baru bisa digunakan jika sudah diberikan password
untuk akses lewat terminal vrtual atau umumnya dikenal lewat koneksi
Telnet.
Beralih ke konfigurasi line mode untuk console Router (config)# line con
Beralih ke konfigurasi line mode untuk virtual terminal Router (config)# line
vty
Untuk set password Router (config-line)# password
Untuk meng-enable terminal dan juga perlunya password gunakan Router
(config-line)# login (H, 2009)

D. Konfigurasi Dasar Penomoran Extended ACL

Konfigurasi Nama ACL Extended
 R2(config)#ip access-list extended FIREWALL
R2(config-ext-nacl)#
R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#permit icmp any any echo-reply
R2(config-ext-nacl)#deny ip any any (webmaster, 2016)

E. Analisis ACL Jaringan dan Penempatannya

Command pada ACL merupakan perintah analisis standar yang ada pada ACL
seperti perintah statistik. Stratify (menstratifikasi), Aging (umur) dsb. Perintah
tersebut dapat menghasilkan output dalam bentuk file, screen(layar), print
dan grafik. (limmaeda, 2016)

Konfigurasi ACL penomoran standar

Pada contoh tersebut [Router1] mengijinkan semua host atau paket yang
berasal dari network ID 172.25.0.0 untuk melewati [Router_Pusat]. Angka
0.0.255.255 (wildcard) digunakan untuk membandingkan paket, sehingga
semua network ID yang di cek cukup 2 (dua) bagian terdepan yaitu 172.25.
Apabila angka wildcard yang digunakan 0.0.0.255
maka network ID yang di cek adalah 3 (tiga) bagian terdepan, misalnya
172.25.82.

Konfigurasi ACL penomoran ekstended

Konfigurasi Nama ACL Extended

R2(config)#ip access-list extended FIREWALL
R2(config-ext-nacl)#
R2(config-ext-nacl)#permit tcp any host 192.168.20.254 eq www
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#permit icmp any any echo-reply
R2(config-ext-nacl)#deny ip any any (webmaster, 2016)

Konfigurasi ACL yang dinamai

Membuat Standard Access List Menggunakan Nama
Untuk membuat nama standard access list dan menerima pesan logging,
berikut
adalahpermulaan dalam mode global konfigurasi.
.

Konfigurasi akses router melalui VTY

Konfigurasi Cisco router dengan membatasi akses system juga bisa

menggunakan control password pada line console dan koneksi virtual
terminal. Terminal VTY baru bisa digunakan jika sudah diberikan password
untuk akses lewat terminal vrtual atau umumnya dikenal lewat koneksi
Telnet.
Beralih ke konfigurasi line mode untuk console Router (config)# line con
Beralih ke konfigurasi line mode untuk virtual terminal Router (config)# line
vty
Untuk set password Router (config-line)# password
Untuk meng-enable terminal dan juga perlunya password gunakan Router
(config-line)# login.

MENGIJINKAN & MELARANG TRAFIK SPESIFIK LEWAT

Piranti router menggunakan access list untuk mengendalikan traffic keluar

masuk dengan karakteristick berikut: (Alih, 2009)
1. Access list menerangkan jenis traffic yang akan dikendalikan
2. Entry access list menjelaskan karakteristic traffic
3. Entry access list menunjukkan apakah mengijinkan atau menolak traffic
4. Entry access list dapat menjelaskan suatu jenis traffic khusus, mengijinkan
atau
 menolak semua traffic
5. Saat dibuat, suatu access list mengandung entry secara implicit deny all
6. Setiap access list diterapkan pada hanya sebuah protocol khusus saja
7. Setiap interface router dapat memuat hanya sampai dua access list saja
untuk setiap
protocol, satu untuk traffic masuk dan satu untuk traffic keluar.

Konfigurasi ACL untuk mendukung trafik yang dibangun

Pada standard ACL hanya menggunakan alamat source IP address dalam

paket IP
sebagai kondisi yang di test, sehingga ACL tidak dapat membedakan tipe dari
traffic IP seperti WWW, UDP, dan telnet. Sedangkan pada Extended ACL, selain
bisa mengevaluasi source address dan destination address extended ACL juga
dapat mengevaluasi header layer 3 dan 4 pada paket IP. Nah, berikut adalah
tugas besar dari ACL, baik jenis standar maupun extended, diantaranya:

Membatasi lalulintas jaringan dan menambah performa jaringan.

Sebagai contoh, ACL yang membatasi lalulintas video dapat dengan
baik mengurangi beban jaringan dan menambah performa jaringan.

Menyediakan kontrol aliran lalulintas. ACL dapat membatasi

pengiriman update routing. Jika update tidak diperlukan disebabkan
kondisi-kondisi jaringan, akanmenghemat bandwidth.

Menyediakan sebuah level dasar keamanan untuk akses jaringan.

ACL dapat mengijinkan satu host untuk mengakses sebuah bagian
dari jaringan dan mencegah host lain untuk mengakses area yang
sama. Sebagai contoh, Host A diperbolehkan untuk mengakses
jaringan Sumberdaya Manusia dan Host B dicegah untuk
mengaksesnya.

Memutuskan jenis lalulintas yang dilewatkan atau diblok pada

interface-interface router. ACL dapat mengijinkan pe-rute-an
lalulintas e-mail, tapi mem-blok semua lalulintas telnet.
 Mengontrol wilayah sebuah client mana yang dapat mengakses pada
sebuah jaringan

Menyaring host-host untuk diperbolehkan atau ditolak mengakses ke

sebuah segment jaringan.

ACL dapat digunakan untuk memperbolehkan atau menolak seorang user

untuk mengakses jenisjenis file seperti FTP atau HTTP.

Kemungkinan besar ACL nya tidak berfungsi, misal:

ada ACL yg men-deny port 80, lalu ada konfigurasi PAT dengan port 8000 yg di
belokan ke port 80, jadi ketika client mengakses port 8000 maka akan masuk
proses PAT(dalam iptables di linux, ini masuk ke dalam proses prerouting) dan
akan di arahkan ke port 80 yg otomatis tanpa pemeriksaan dari ACL.

Analisis ACL jaringan dan penempatannya

 Konfigurasi ACL bersama routing inter-VLAN

Topologi vlan

1. Mengaktifkan IP routing

Switch>enable
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#ip routing
Switch(config)#ip routing
Switch(config)#
Cek hasilnya dengan perintah show run
2. Membuat VLAN
Membuat Vlan 2 dengan nama Sales :
Switch(config)#vlan 2
Switch(config-vlan)#na
Switch(config-vlan)#name Sales
Switch(config-vlan)#exit
Membuat Vlan 3 dengan nama Marketing :
Switch(config)#vlan 3
Switch(config-vlan)#name Marketing
Switch(config-vlan)#exit
verifikasi hasilnya dengan perintah
Switch(config)#do sh vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1.default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gig0/1, Gig0/2
2.Sales active
3.Marketing active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup

3.Menentukan port switch pada vlan tertentu

Switch(config)#int fa0/4
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#int fa0/6
Switch(config-if)#switchport access vlan 3
Switch(config-if)#exit
Switch(config)#

Verifikasi hasilnya
Switch(config)#do sh vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1. Default active Fa0/1, Fa0/2, Fa0/3, Fa0/5
 Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig0/1, Gig0/2
2. Sales active Fa0/4
3. Marketing active Fa0/6
4. Menentukan IP adress Vlan
Switch(config)#int vlan 2
Switch(config-if)#
%LINK-5-CHANGED: Interface Vlan2, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to up

Switch(config-if)#ip add 10.1.2.1 255.255.255.0

Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#int
Switch(config)#interface vlan 3

%LINK-5-CHANGED: Interface Vlan3, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to up

Switch(config-if)#ip add 10.1.3.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#
verifikasi hasilnya !
Switch(config)#do sh ip int br
Vlan2 : 10.1.2.1 YES manual up up
Vlan3 : 10.1.3.1 YES manual up up

Trafik menggunakan ACL

 Berikut ini adalah fungsi dari ACL:
- Membatasi trafik jaringan dan meningkatkan unjuk kerja jaringan. Misalnya,
ACL
memblok trafik video, sehingga dapat menurunkan beban jaringan dan
meningkatkan
unjuk kerja jaringan.
- Mengatur aliran trafik. ACL mampu memblok update routing. Jika update tidak
dibutuhkan karena kondisi jaringan, maka bandwidth dapat dihemat.
- Mampu membrikan dasar keamanan untuk akses ke jaringan. Misalnya, host A
tidak
diijinkan akses ke jaringan HRD dan host B diijinkan.
- Memutuskan jenis trafik mana yang akan dilewatkan atau diblok melalui
interface
router. Misalnya, trafik email dilayani, trafik telnet diblok.
- Mengontrol daerah-daerah dimana klien dapat mengakses jaringan.
- Memilih host-hots yang diijinkan atau diblok akses ke segmen jaringan. Misal,
ACL
mengijinkan atau memblok FTP atau HTTP.

Logging untuk memverifikasi fungsi ACL

Log dan log-masukan opsi berlaku untuk ACE individu dan menyebabkan paket
yang
cocok ACE untuk login. Opsi log-masukan memungkinkan logging dari interface
ingress
dan sumber alamat MAC di samping alamat sumber dan tujuan IP paket dan
port.

Analisa log router

Pada log files dapat dilihat perilaku user dalam melakukan Update operating
system
 dan update anti virus. Updating operating system dan update antivirus secara
rutin,
merupakan suatu hal yang dapat user lakukan untuk tetap menjaga keamanan
perangkatnya. Hal ini memang tampak sepele dan malah terkadang diabaikan
oleh
user. Seperti yang pernah dikemukakan oleh sales Kaspersky, Jack Chow,
tentang
kesadaran user dalam melakukan update antivirus. Masyarakat saat ini memang
belum sadar. Padahal antivirus itu sudah seperti obat kalau kita sakit.
Terlebih lagi,
masyarakat belum terbiasa update antivirus setiap hari. Padahal di dalam
antivirus
tersebut sudah tersimpan mekanisme update langsung. Sehingga pengguna
tidak perlu
khawatir terhadap keamanan data dalam perangkatnya.