Access Control List (ACL) digunakan untuk menentukan apakah paket data akan ditolak atau diterima berdasarkan kriteria tertentu, seperti alamat IP sumber dan tujuan, port, dan protokol. ACL dapat berupa standar atau extended, dan dapat diberi nama untuk fleksibilitas yang lebih besar.
1. Access Control List
Access Control List atau ACL , kelompok statement yang di dibuat untuk menentukan
paket data di tolak atau diterima pada saat inbound dan atau outbound. Sederhananya ACL
melakukan filtering, ACL digunakan sebagai dasar dari security.
ACL di ibaratkan sekumpulan daftar nama orang yang dipegang oleh security suatu
gedung. Interface adalah pintu masuk dan keluar dari sebuah gedung, dan packet data adalah
orang yang keluar masuk. Security atau Satpam itu bisa kita perintahkan untuk menjaga
pintu. Satpam itu bisa kita perintahkan untuk menjaga pintu masuk, inbound atau pintu
keluar, outbond. Sebuah pinti hanya boleh di jaga maksimum seorang penjaga pintu masuk
dan seorang penjaga pintu keluar. Boleh juga dibiarkan tanpa penjag sama sekali, dengan
resiko orang bebas keluar masuk.
Daftar yang dipegang oleh satpam tadi berupa daftar orang dan daftar treatment satpam
tehadap orang tersebut apakah diperkenankan atau tidak untuk masuk atau keluar. Daftar itu
berupa kumpulan atau listing.
Satpam akan mencocokan antara packet dengan daftar tersebut berurut apakah
sesuai./match? Jika sesuai maka satpam akan melakukan sesuai dengan perintah di daftar
tersebut, permit atau deny. Jika tidak sesuai, ia akan mencocokan dengan baris selanjutnya,
terus demikian hingga baris daftar terakhir. Jika selesai secara default data tadi akan di tolak
alias tidak diteruskan oleh satpam tadi kecuali kita specify untuk menerima setiap data,
permit any any. Itulah pentingnya agar kita tambahkan di daftar tadi pada bagian yang paling
terkahir untuk mengijinkan semua packet.
Setiap daftar yang dipegang oleh satpam itu memiliki nomer. Nomor itu digunakan untuk
mengelompokkan apakah ACL itu dalam satu kelompok. Saat inipun ada jenis ACL yang
pengelompokannya tidak berdasar nomor tapi menggunakan nama. Berikut langkah-langkah
penyusunan ACL;
Langkah pertama membuat diagram flow agar kita mudah menyusun ACL dari yang
paling spesifik hingga ACL yang umum.
Langkah kedua mebuat ACL adalah mendefiniskan ACL terlebih dahulu seperti berikut:
Router(config)#access-list xx yy
Dimana xx adalah access-list-number dan y adalah threatment terhadap paket permit/deny.
Langkah selanjutnya adalah apply ACL yang sudah dibuat pada interface yang perlu di
jaga, seperti berikut
Router(config-if)access-group xx zz
Dimana xx adalah access-list-number, sedangkan yy adalah in atau out yang artinya
inbound atau outbond.
2. Standart ACL
Standart ACL hanya memberiksa IP dari source (data layer 3). Untuk mendefine Standart
ACL sangat sederhana
Router(config)#access-list [num] permit|deny SIP wm
Num = 1…99 , 1300 …1999
SIP = Source IP addresss
Wm = wildcardmask
Contoh
Router(config)access-list 89 permit 10.10.10.1 0.0.0.255
Untuk wildcard mask yang dibandingkan adalah value bit per bit dari misk tersebut
WM = 0000 0000. 0000 0000. 0000 0000.1111 111
Artinya octet 1, dan 3 akan dicocokkan alias masuk criteria match atau tidak, sedangkan oktet
terkahir tidak akan dipedulikan sama sekali. Pada kausu IP di atas, ACL akan match jika
packet sorce tersebut antara 10.10.10.1 hingga 10.10.10.255
Note; Any dan Host keyword
Router(config)#access-list 1 permit 0.0.0.0 255.255.255.255
Bisa kita singkat dengan
Router(config)#access-list 1 permit any
Router(config)#access-list 2 permit 172.30.15.29 0.0.0.0
Bisa kita singkat dengan
Router(config)#access-list 2 permit host 172.30.15.29
Extended ACL
ACL ini memilki flesiblitas lebih dari standart ACL. Ia bisa digunkan untuk mengecek IP
source dan IP destination (data layer 3). Selaint itu ia juga bisa digunakan untuk memfilter
berdasar port source dan port, tujuan juga protocol yang digunakan (layer 4 dan 5).
Router(config)#access-list [num] permit|deny [prot] SIP wm [opr operand] DIP wm [opr
operand]
Num = 100…199, 2000…2699
3. Prot = ip, tcp, udp, icmp
Wm = wildcard mask
Oprand = 80,21, 23, 25, 53, 110, ftp, ssh, telnet, www.
SIP = Source IP address
DIP = Destination IP address
Opr = eq, neq, lt, gt, range.
Router(config)#access-list 100 permit tcp 10.10.10.1 0.0.0.0 202.158.7.0 0.0.0.0.255 eq www
Named ACL
Baik standart maupun extended, kedua ACL tersebut dikelompokan berdasarkan nomor dari
ACL. Untuk mengedit Acl yang sudah terpasang akan sedikit sulit, selain nomor yang di
gunkan terbatas. Jika kita menghapus satu barus dari sekelompok ACL maka akan
berdampak terhapusnya satu kelompok ACL.
Dengan named ACL kedua masalah tersebut dapat diatasi.
Router(config)#ip access-list standard [ACL NAME]
Router(config-std-nacl)# [num] permit|deny SIP wm
Router(config)#ip access-list extended [ACL NAME]
Router(config-ext-nacl)#permit|deny [prot] SIP wm [opr operand] DIP wm [opr operand]
Num = 100…199, 2000…2699
Prot = ip, tcp, udp, icmp
Wm = wildcard mask
Oprand = 80,21, 23, 25, 53, 110, ftp, ssh, telnet, www.
SIP = Source IP address
DIP = Destination IP address
Opr = eq, neq, lt, gt, range.