Miftah Rahman (Go)-Blog

Dahulu kala…(cieee dahulu kalaaaa)

Gw pernah posting artikel tentang standard access list dan extended nya…(link & link nya)

Hari ini gw mo lengkapin & gabungin PLUS dengan visualisasi2 dari CNAP (Cisco Network Academy Program)…biar lebih rapih juga

==============================================

Spoiler Alert (apa coba -_-;)…logika IP (subnetting/VLSM) mesti tau dulu nih untuk bisa belajar ACL

Wokeh let’s start…Apa sih itu ACL ???

ACL itu semacam filtering yang ditempatkan di Router untuk mem-filter paket yang datang atau keluar, sebenernya filtering ini bisa aja pake Firewall (software atau hardware….lebih mudah malah daripada ACL itu sendiri).

Network designers use firewalls to protect networks from unauthorized use. Firewalls are hardware or software solutions that enforce network security policies. Consider a lock on a door to a room inside a building. The lock only allows authorized users with a key or access card to pass through the door. Similarly, a firewall filters unauthorized or potentially dangerous packets from entering the network. On a Cisco router, you can configure a simple firewall that provides basic traffic filtering capabilities using ACL.

ACL agak sedikit susah dijelasin…make logika banget soalnya dan bisa sangat Rumit dan Komplek klo logika lo ga jalan (gw jg kadang2 ga jalan…hahahah)

ACL di implement di Router…which mean this is layer 3 application

Contoh: si boss punya statement sebagai berikut…

“packet yang ke network A untuk akses web (berarti port 80), di persilahkan masuk…selain itu NO !!”

“dan packet untuk network B SELAIN dari akses web, dipersilakan masuk”

Figure 1. Packet Filtering Diagram Example

==============================================

ACL Implementation Guideline

Contoh:

Ada 3 interface (1,2,3) dan 2 protocol (IP dan IPX)

Jadi…misal :

• Bisa
  

  Di FastEthernet0/0 ada ACL untuk protocol IP (192.168.1.1) untuk Masuk

  Di FastEthernet0/0 ada ACL untuk protocol IP (192.168.5.1) untuk Keluar
  

  Beda direction walopun sama2 protocol IP
  

• Bisa
  

  Di FastEthernet0/0 ada ACL untuk protocol IP (192.168.1.1) untuk Masuk

  Di FastEthernet0/0 ada ACL untuk protocol IPv6 (2001::6) untuk Masuk
  

  Beda Protocol walopun sama2 masuk
  

• Ga Bisa

  Di FastEthernet0/0 ada ACL untuk protocol IP (192.168.1.1) untuk Masuk
  

  Di FastEthernet0/0 ada ACL untuk protocol IP (192.168.5.1) untuk Masuk
  

  Sama2 protocol IP dan sama2 Masuk
  

1. Gunakan ACL di Router yang terhubung ke Internet (yang menghubungkan Internal dengan External)
   
2. Gunakan ACL di Router untuk memfilter ke network2 yang didesain untuk tidak dimasuki, dimasuki oleh orang2 tertentu, atau hanya aplikasi2 tertentu (port)
   

Figure 2. Inbound ACL (memfilter packet2 yang mau masuk ke jaringan)

Figure 3. Outbound ACL (memfilter packet2 yang mau keluar dari jaringan)

Implicit Deny adalah rule yang tidak tertulis oleh ACL…

yaitu ketika semua list dari persyaratan (command2) ACL yang ada tidak terpenuhi (baik yang di allow/permit atau yang di blok/deny), maka akan di DROP (intinya…ujung2nya bakal di drop si packet klo ga match ama satupun command/persyaratan dari ACL itu)

Numbered ACL and Named ACL

Every ACL should be placed where it has the greatest impact on efficiency. The basic rules are:

• Locate extended ACLs as close as possible to the source of the traffic denied. This way, undesirable traffic is filtered without crossing the network infrastructure.
• Because standard ACLs do not specify destination addresses, place them as close to the destination as possible.
  

Figure 4. Standard ACL

Figure 5. Extended ACL (impact nya ga ngaru ke traffic yang lain jadinya)

Figure 6. ACL Best Practices

Contoh kakus (*ehem*…kasus maksudnya)

Jawabannya (klo lo jawabannya begini…berarti udah bener…congratulations !!!)

==============================================

Implementasi ACL

Gw pake gambar aja…uda merepresentasikan semuanya

Konfigurasi dibawah ini di global config mode…Router(config)#…

0.0.0.255 itu adalah wildcard mask…gampangnya adalah….yang angka 0 harus sama persis dengan ip tujuan…sedang 255 bukan

Contoh….ip 192.168.30.0 dengan wildcard mask 0.0.0.255 (contoh yang diatas)

Jadi mo 192.168.10.15…192.168.10.200…192.168.10.75….boleh masuk

Tapi misal….ACL dengan ip 192.168.30.1 dengan wildcard mask 0.0.0.0…gimana nih jadinya ??

(Klo bisa…berarti udah nangkep)..HANYA IP 192.168.30.1 yang boleh masuk…sisanya ga boleh

Contoh lain :

Misal lo mau permit network access for the 14 users in the subnet 192.168.3.32 /28. The subnet mask for the IP subnet is 255.255.255.240, therefore take the 255.255.255.255 and subtract from the subnet mask 255.255.255.240. The solution this time produces the wildcard mask 0.0.0.15.

==============================================

Standard ACL Logic and Configuration

Figure 7. Contoh Skema Jaringan

Figure 8. contoh command ACL

Contoh command ACL diatas ada 2…dan 2-2 nya punya effect sama…yaitu sama2 membolehkan network 192.168.10.0 untuk mengakses network 192.168.30.0

Bedanya dimana ? bedanya adalah:

• 101 = terdapat implicit deny…(inget…baca lagi diatas…implicit deny adalah peraturan tidak tertulis dari ACL…)
• 102 = secara langsung disebutin…”deny ip any any”….ini sama aja effect nya kek implicit deny
• JADIIII…klo logika lo jalan dan lagi encer2nya…*haha*…lo bisa hemat tulisan/ketikan buat ACL….tapi klo lagi mumet otak lo…mending pilih cara manual…bener2 diinput satu2..biar ga salah langkah/logika

Klo mau permit/blok 1 IP/host aja…kita bisa kasi keyword host

==============================================

Prosedur implementasi standard ACL di router

Figure 9. JANGAN LUPA NIH….kita sering banget (terutama gw)…udah capek2 setting ACL…koq ga jalan2 ???..taunya blum di applied ke interface nya pake access-group >_<

==============================================

===============================================================================

Extended ACL

Trus misalnya lo ga tau nih…ato lupa misalkan..port berapa yah…tinggal ketik aja “?”

• Extended ACL Command List
  

=============================================================

Complex ACL (apaan lagi inih?!?!)

• Dynamic ACL
  

Dynamic ACLs have the following security benefits over standard and static extended ACLs:

• Use of a challenge mechanism to authenticate individual users
• Simplified management in large internetworks
• In many cases, reduction of the amount of router processing that is required for ACLs
• Reduction of the opportunity for network break-ins by network hackers
• Creation of dynamic user access through a firewall, without compromising other configured security restrictions
• DAN YANG PASTI LEBIH SUSAH DAN RIBETS…*HIKS*

Implementasinya (contohnya pake gambar diatas)

Figure 10. create username dan pass dulu di router 3

Figure 11. (update…harusnya access-list 101 permit TCP any host…) bikin ACL buat bisa telnet dan maksimum 15 menit (dalam menit defaultnya) untuk telnetan (mau ada aktifitas ato engga)

Figure 12. ACL yang dibuat dipasang di serial 0/0/1 (yang konek ke R2)..keyword “in” karena memfilter yang mau masuk kan!??!

Figure 13. ketika konek telnet sukses…PC1 bisa akses network 30.0…jika dalam rentang waktu 5 menit ga ada aktifitas…di close dari network dan balik ke telnet

• Reflexive ACL

Inti dari ACL ini adalah… gw bisa konek ke elo dan saling tuker2an data…tapi klo elo yang mau konek keg w…GA BISA…jadi mesti gw dulu yg konek

Reflexive ACLs can be defined only with extended named IP ACLs. They cannot be defined with numbered or standard named ACLs or with other protocol ACLs. Reflexive ACLs can be used with other standard and static extended ACLs.

Benefits of Reflexive ACLs

• Help secure your network against network hackers and can be included in a firewall defense.
• Provide a level of security against spoofing and certain DoS attacks. Reflexive ACLs are much harder to spoof because more filter criteria must match before a packet is permitted through. For example, source and destination addresses and port numbers, not just ACK and RST bits, are checked.
• Simple to use and, compared to basic ACLs, provide greater control over which packets enter your network.

• TIME BASED ACL
  

==============================================================================

• Naming ACL
  

• Monitoring ACL Statements
  

• Removing ACL
  

• Remark (semacam description buat ACL )
  

======================================================================

Common ACL Error

(update..yang diatas itu harusnya Extended ACL…access-list 100..bukan 10…nol nya ilang atu ^_^V)

Liat apa masalahnya ?!?!

Jelas di statement pertama ada 10 deny tcp 192.168.10.0

Walaupun di statement kedua ada permit…tapi klo yang pertama UDAH MATCH…ROUTER GA AKAN LIAT STATEMENT2 BAWAHNYA

Masalahnya disini apa coba?!?!

TFTP itu pake UDP…distatement ACL ga disebutin UDP…statement pertama TIDAK MATCH, kedua?? TIDAK MATCH, ketiga ?? TIDAK MATCH…ada statement ke empat yang tidak tertulis….yaitu implicit deny…di drop de