Router Mengendalikan Keamanan Jaringan Corporate Anda Dengan Access List Berdasarkan Karakteristik Traffic Baik Mengijinkan Atau Menolak Lewat
Jika kita bicara tentang keamanan jaringan, memasukkan user-ID dan password adalah yang paling umum kita jumpai. Jenis keamanan authenticasi ini adalah jenis keamanan yang diimplementasikan pada layer bagian atas dari layer Network pada model referensi OSI. Router memeriksa setiap traffic yang datang dan memutuskan untuk permit atau deny traffic tersebut berdasarkan pada karakteristic traffic tersebut seperti IP address dan atau protocol.
Mengendalikan keamanan jaringan dengan access lists
Piranti Router mengendalikan keamanan jaringan dengan menggunakan access lists. Suatu access list menerangkan karakteristik traffic jaringan seperti asal dan tujuan IP address dan juga protocol. Kita bisa mengendalikan jenis traffic yang dikirim atau diterima oleh router dengan jalan membuat access list dan di terapkan kepada interface router. access list menjelaskan jenis traffic yang bisa diterima atau diteruskan oleh sebuah interface dari router.
Router access list
Piranti router menggunakan access list untuk mengendalikan traffic keluar masuk dengan karakteristick berikut:
Adanya access list yang berbeda tergantung pada jenis protocol. Tanpa memandang protocol, gunakan langkah umum berikut ini untuk membuat dan mengimplementasikan access list.
Kisaran nomor access list
Kita mesti bisa menghafalkan rentang nomor berikut baik untuk mengidentifikasikan atau membuat access list.
Untuk mengetahui list kisaran nomor access list, ketik access-list ? pada command prompt router.
Konfigurasi IP Access Lists
Saat membuat suatu IP access list, kita dapat membuat baik standard ataupun extended access list. Berikut ini perbandingan dua jenis list.
Gunakan suatu standard list untuk memfilter hostname asal atau IP address host
Gunakan extended access list untuk memfilter:
Perlu diingat bahwa untuk standard access list gunakan rentang nomor antara 1-99. Untuk membuat standard access list, proses berikut merupakan cara kebanyakan access list standard dibuat.
Perlu diingat bahwa setiap access l ist mengandung suatu entry “deny any” secara explicit. Saat dibuat, access list “deny any” semua traffic kecuali traffic yang secara explicit di ijinkan oleh suatu statement “permit” dalam list.
Extended IP access lists (standard capabilities plus)
Perlu dicatat bahwa kita hanya mempunyai satu IP access list incoming / outgoing untuk masing-masing interface.
Command berikut adalah ringkasan command untuk digunakan melihat informasi access list tertentu pada router.
Adalah sangat penting sekali memahami bagaimana access list ini bekerja pada router Cisco anda untuk memberikan proteksi berdasarkan karakteristik traffic yang masuk atau keluar. Perlindungan ini adalah dasar keamanan jaringan standard kepada infrastructure jaringan corporate anda. Masih banyak yang harus dibuat terutama mengenai kemanan informasi yang berupa framework, concept, policy yang disesuaikan dengan kebutuhan keamanan corporate anda.
Jika kita bicara tentang keamanan jaringan, memasukkan user-ID dan password adalah yang paling umum kita jumpai. Jenis keamanan authenticasi ini adalah jenis keamanan yang diimplementasikan pada layer bagian atas dari layer Network pada model referensi OSI. Router memeriksa setiap traffic yang datang dan memutuskan untuk permit atau deny traffic tersebut berdasarkan pada karakteristic traffic tersebut seperti IP address dan atau protocol.
Mengendalikan keamanan jaringan dengan access lists
Piranti Router mengendalikan keamanan jaringan dengan menggunakan access lists. Suatu access list menerangkan karakteristik traffic jaringan seperti asal dan tujuan IP address dan juga protocol. Kita bisa mengendalikan jenis traffic yang dikirim atau diterima oleh router dengan jalan membuat access list dan di terapkan kepada interface router. access list menjelaskan jenis traffic yang bisa diterima atau diteruskan oleh sebuah interface dari router.
Router access list
Piranti router menggunakan access list untuk mengendalikan traffic keluar masuk dengan karakteristick berikut:
- Access list menrangkan jenis traffic yang akan dikendalikan
- Entry access list menjelaskan karakteristic traffic
- Entry access list menunjukkan apakah mengijinkan atau menolak traffic
- Entry access list dapat menjelaskan suatu jenis traffic khusus, mengijinkan atau menolak semua traffic
- Saat dibuat, suatu access list mengandung entry secara implicit “deny all”
- Setiap access list diterapkan pada hanya sebuah protocol khusus saja
- Setiap interface router dapat memuat hanya sampai dua access list saja untuk setiap protocol, satu untuk traffic masuk dan satu untuk traffic keluar.
- Saat suatu access list dikenakan pada suatu interface, dia mengidentifikasikan apakah list melarang traffic masuk atau traffic keluar
- Access list ada secara global pada router, akan tetapi filter traffic hanya ada pada interface dimana dia diterapkan.
- Setiap access list bisa diterapkan pada lebih dari satu interface akan tetapi, setiap access list hanya mempunyai list masuk atau keluar saja.
- Basic /standard access list membatasi traffic di hampir kebanyakan karakteristic traffic (seperti protocol tertentu dalam suatu suite)
Adanya access list yang berbeda tergantung pada jenis protocol. Tanpa memandang protocol, gunakan langkah umum berikut ini untuk membuat dan mengimplementasikan access list.
- Pada global configuration mode, buatlah list dan tambahkan entry access list dengan command “access-list”
- Pada interface mode, applikasikan access list tertentu pada suatu interface yang secara umum menggunakan “access-group” command.
- Protocol suite
- Menunjukkan apakah list tersebut standard atau extende access list
Kisaran nomor access list
Kita mesti bisa menghafalkan rentang nomor berikut baik untuk mengidentifikasikan atau membuat access list.
Rentang nomor | List type |
0-99 | Regular IP list |
100-199 | Extended IP list |
800-899 | Regular IPX list |
900-999 | Extended IPX list |
1000-1099 | SAP list |
Konfigurasi IP Access Lists
Saat membuat suatu IP access list, kita dapat membuat baik standard ataupun extended access list. Berikut ini perbandingan dua jenis list.
Gunakan suatu standard list untuk memfilter hostname asal atau IP address host
Gunakan extended access list untuk memfilter:
- Source IP protocol (IP, TCP, UDP, dll)
- Source hostname atau host IP address
- Source atau tujuan socket number
- Host name atau host IP address tujuan
- Awalan atau nilai kondisi
- Filter pada source address
- Log events (optional)
Perlu diingat bahwa untuk standard access list gunakan rentang nomor antara 1-99. Untuk membuat standard access list, proses berikut merupakan cara kebanyakan access list standard dibuat.
Buat list dengan menambahkan entry dengan command “access-list”, pada contoh berikut ini melewatkan semua traffic keluar dari semua IP address kecuali traffic dari network 10.0.0.0, dan list diterapkan pada interface Ethernet E0 |
Router (config) #access-list 1 deny 10.0.0.0 0.255.255.255 Router (config) #access-list 1 permit any Router (config) #int e0 Router (config-if) #ip access-group 1 out |
Pada contoh berikut membuat sebuah standard IP access list yang menolak semua traffic kecuali traffic dari host 10.12.12.16, dan diterapkan pada interface Serial 0 |
Router (config) #access-list 2 permit 10.12.12.16 Router (config) # int s0 Router (config-if) #ip access-group 2 in |
Extended IP access lists (standard capabilities plus)
- Filter pada protocol
- Filter pada address tujuan
- Filter pada port number (baik tujuan maupun asal)
Pada contoh berikut adalah list extended access list yang menolak semua packet dari host 10.1.1.1 yang dikirim ke host 15.1.1.1 dan diterapkan pada interface serial kedua S1 |
Router (config) #access-list 101 permit ip any any Router (config) #access-list 101 deny ip 10.1.1.1 0.0.0.0 15.1.1.1 0.0.0.0 Router (config) #int s1 Router (config-if) # ip access-group 101 in |
Pada contoh berikut suatu extended access list dibuat yang tidak melewatkan packet TCP dari semua host pada jaringan 10.0.0.0 menuju jaringan 11.12.0.0, dan diterapkan pada suatu interface serial pertama S0 |
Router (config-if) #access-list 111 permit ip any any Router (config-if) #access-list 111 deny tcp 10.0.0.0 0.255.255.255 11.12.0.0 0.0.255.255 Router (config)#int s0 Router (config-if)# ip access-group 111 in |
Command berikut adalah ringkasan command untuk digunakan melihat informasi access list tertentu pada router.
Jika ingin melihat | Gunakan command berikut |
Semua access list yang ada pada router | Show run Show access-list |
Semua access list yang diteapkan pada suatu interface | Show ip int Show run |
Semua informasi traffic yang ditolak | Show log |
IP access list yang dikonfigurasikan pada router | Show run Show ip access-lists |
IPX access list yang dikonfigurasikan pada router | Show run Show ipx access-lists |
0
komentar
Langganan:
Posting Komentar (Atom)