Router Access List
Router Mengendalikan Keamanan Jaringan Corporate Anda Dengan Access List Berdasarkan Karakteristik Traffic Baik Mengijinkan Atau Menolak Lewat
Filter traffic
Jika kita bicara tentang keamanan jaringan, memasukkan user-ID dan password adalah yang paling umum kita jumpai. Jenis keamanan authenticasi ini adalah jenis keamanan yang diimplementasikan pada layer bagian atas dari layer Network pada model referensi OSI. Router memeriksa setiap traffic yang datang dan memutuskan untuk permit atau deny traffic tersebut berdasarkan pada karakteristic traffic tersebut seperti IP address dan atau protocol.
Mengendalikan keamanan jaringan dengan access lists
Piranti Router mengendalikan keamanan jaringan dengan menggunakan access lists. Suatu access list menerangkan karakteristik traffic jaringan seperti asal dan tujuan IP address dan juga protocol. Kita bisa mengendalikan jenis traffic yang dikirim atau diterima oleh router dengan jalan membuat access list dan di terapkan kepada interface router. access list menjelaskan jenis traffic yang bisa diterima atau diteruskan oleh sebuah interface dari router.
Router access list
Piranti router menggunakan access list untuk mengendalikan traffic keluar masuk dengan karakteristick berikut:
- Access list menerangkan jenis traffic yang akan dikendalikan
- Entry access list menjelaskan karakteristic traffic
- Entry access list menunjukkan apakah mengijinkan atau menolak traffic
- Entry access list dapat menjelaskan suatu jenis traffic khusus, mengijinkan atau menolak semua traffic
- Saat dibuat, suatu access list mengandung entry secara implicit “deny all”
- Setiap access list diterapkan pada hanya sebuah protocol khusus saja
- Setiap interface router dapat memuat hanya sampai dua access list saja untuk setiap protocol, satu untuk traffic masuk dan satu untuk traffic keluar.
- Saat suatu access list dikenakan pada suatu interface, dia mengidentifikasikan apakah list melarang traffic masuk atau traffic keluar
- Access list ada secara global pada router, akan tetapi filter traffic hanya ada pada interface dimana dia diterapkan.
- Setiap access list bisa diterapkan pada lebih dari satu interface akan tetapi, setiap access list hanya mempunyai list masuk atau keluar saja.
- Basic /standard access list membatasi traffic di hampir kebanyakan karakteristic traffic (seperti protocol tertentu dalam suatu suite)
Catatan bahwa ketika kita membuat access list, maka secara automatis akan mengandung statement “deny all”, walaupun statement ini tidak kelihatan dalam list itu sendiri. Agar suatu list bisa mengijinkan suatu traffic, maka harus ada setidaknya satu statement permit, baik mengijinkan suatu jenis traffic khusus atau mengijinkan semua jenis traffic yang tidak dibatasi secara specific.
Implementasi access list
Adanya access list yang berbeda tergantung pada jenis protocol. Tanpa memandang protocol, gunakan langkah umum berikut ini untuk membuat dan mengimplementasikan access list.
- Pada global configuration mode, buatlah list dan tambahkan entry access list dengan command “access-list”
- Pada interface mode, applikasikan access list tertentu pada suatu interface yang secara umum menggunakan “access-group” command.
Access list diidentifikasikan dengan nomor, walaupun bisa saja menggunakan suatu nama. Nomor tersebut bukan saja menunjukkan suatu access list tertentu, akan tetapi juga mengidentifikasikan karakteristic berikut juga:
- Protocol suite
- Menunjukkan apakah list tersebut standard atau extende access list
Rentang penomoran telah dibangun untuk setiap jenis protocol, baik standard maupun extended.
Kisaran nomor access list
Kita mesti bisa menghafalkan rentang nomor berikut baik untuk mengidentifikasikan atau membuat access list.
Rentang nomor | List type |
---|---|
0-99 | Regular IP list |
100-199 | Extended IP list |
800-899 | Regular IPX list |
900-999 | Extended IPX list |
1000-1099 | SAP list |
Untuk mengetahui list kisaran nomor access list, ketik access-list ? pada command prompt router.
Konfigurasi IP Access Lists
Saat membuat suatu IP access list, kita dapat membuat baik standard ataupun extended access list. Berikut ini perbandingan dua jenis list.
Gunakan suatu standard list untuk memfilter hostname asal atau IP address host
Gunakan extended access list untuk memfilter:
- Source IP protocol (IP, TCP, UDP, dll)
- Source hostname atau host IP address
- Source atau tujuan socket number
- Host name atau host IP address tujuan
- Awalan atau nilai kondisi
Standard IP access lists
- Filter pada source address
- Log events (optional)
Membuat suatu standard IP access list
Perlu diingat bahwa untuk standard access list gunakan rentang nomor antara 1-99. Untuk membuat standard access list, proses berikut merupakan cara kebanyakan access list standard dibuat.
Buat list dengan menambahkan entry dengan command “access-list”, pada contoh berikut ini melewatkan semua traffic keluar dari semua IP address kecuali traffic dari network 10.0.0.0, dan list diterapkan pada interface Ethernet E0 |
Router (config) #access-list 1 deny 10.0.0.0 0.255.255.255
Router (config) #access-list 1 permit any
Router (config) #int e0
Router (config-if) #ip access-group 1 out
|
Pada contoh berikut membuat sebuah standard IP access list yang menolak semua traffic kecuali traffic dari host 10.12.12.16, dan diterapkan pada interface Serial 0 |
Router (config) #access-list 2 permit 10.12.12.16
Router (config) # int s0
Router (config-if) #ip access-group 2 in
|
Perlu diingat bahwa setiap access l ist mengandung suatu entry “deny any” secara explicit. Saat dibuat, access list “deny any” semua traffic kecuali traffic yang secara explicit di ijinkan oleh suatu statement “permit” dalam list.
Extended IP access lists (standard capabilities plus)
- Filter pada protocol
- Filter pada address tujuan
- Filter pada port number (baik tujuan maupun asal)
Perlu diingat bahwa extended IP access list diberikan nomor antara 100 dan 199
Pada contoh berikut adalah list extended access list yang menolak semua packet dari host 10.1.1.1 yang dikirim ke host 15.1.1.1 dan diterapkan pada interface serial kedua S1 |
Router (config) #access-list 101 permit ip any any
Router (config) #access-list 101 deny ip 10.1.1.1 0.0.0.0 15.1.1.1 0.0.0.0
Router (config) #int s1
Router (config-if) # ip access-group 101 in
|
Pada contoh berikut suatu extended access list dibuat yang tidak melewatkan packet TCP dari semua host pada jaringan 10.0.0.0 menuju jaringan 11.12.0.0, dan diterapkan pada suatu interface serial pertama S0 |
Router (config-if) #access-list 111 permit ip any any
Router (config-if) #access-list 111 deny tcp 10.0.0.0 0.255.255.255 11.12.0.0 0.0.255.255
Router (config)#int s0
Router (config-if)# ip access-group 111 in
|
Perlu dicatat bahwa kita hanya mempunyai satu IP access list incoming / outgoing untuk masing-masing interface.
Command berikut adalah ringkasan command untuk digunakan melihat informasi access list tertentu pada router.
Jika ingin melihat | Gunakan command berikut |
Semua access list yang ada pada router | Show run
Show access-list
|
Semua access list yang diteapkan pada suatu interface | Show ip int
Show run
|
Semua informasi traffic yang ditolak | Show log |
IP access list yang dikonfigurasikan pada router | Show run
Show ip access-lists
|
IPX access list yang dikonfigurasikan pada router | Show run
Show ipx access-lists
|
Adalah sangat penting sekali memahami bagaimana access list ini bekerja pada router Cisco anda untuk memberikan proteksi berdasarkan karakteristik traffic yang masuk atau keluar. Perlindungan ini adalah dasar keamanan jaringan standard kepadainfrastructure jaringan corporate anda. Masih banyak yang harus dibuat terutama mengenai kemanan informasi yang berupa framework, concept, policy yang disesuaikan dengan kebutuhan keamanan corporate anda.
0 comments:
Post a Comment