ACL adalah daftar kondisi yang berlaku bagi perjalanan traffic ke seberang

(1)

Create By Rasyadi A XII TKJ 1

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY Apakah ACL itu?

ACL adalah daftar kondisi yang berlaku bagi perjalanan traffic ke seberang interface router. Daftar ini memberitahukan pada router apakah jenis paket untuk diterima atau ditolak. Penerimaan dan penolakan dapat didasarkan pada kondisikondisi tertentu. ACL memungkinkan pengaturan traffic dan menjamin akses ke

dan dari suatu jaringan.

Bagaimanakah cara ker ja ACL

ACL adalah group pernyataan yang menegaskan apakah paket diterima atau ditolak pada interface inbound atau outbound. Putusan ini dibuat dengan mencocokkan kondisi pernyataan dalam daftar akses dan kemudian melakukan penegasan aksi diterima atau ditolak pada pernyataan.

(2)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY Menciptakan ACL

ACL diciptakan pada mode global configuration. Ada berbagai perbedaan jenis dari ACL yang meliputi standard, extended, IPX, AppleTalk, dan yang lainnya. Ketika mengkonfigurasi ACL pada router, setiap ACL harus dikenali dengan unik

dengan memberikan nomor. Nomor ini mengidentifikasian jenis daftar akses yang diciptakan dan harus tercakup dalam golongan angka yang khusus yang sah untuk daftar jenis.

Standard ACL

Standar ACL memeriksa alamat sumber dari paket IP yang routed.

Perbandingan akan menghasilkan berbagai akses diijinkan atau ditolak untuk seluruh deretan protokol, berdasarkan pada jaringan, subnet, dan alamat host. Sebagai contoh, paket datang dalam Fa0/0 diperiksa untuk alamat sumber dan protocol. Jika paket diijinkan, paket routed melalui router untuk interface output. Jika paket tidak diijinkan, paket dihentikan pada interface yang datang.

Versi standar perintah global configuration access-list digunakan untuk menetapkan standar ACL dengan angka dari 1 sampai 99 (juga dari 1300 sampai 1999 pada IOS terbaru).

Perintah lengkap standar ACL adalah:

Router(config)#access-list access-list-number {deny | permit} source [source-wildcard ] [log]

(3)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY Untuk menghapus ACL digunakan penambahan kata no diawal kalimat ACL,

seperti contoh:

Router(config)#no access-list access-list-number Extended ACL

Extended ACL lebih sering digunakan dari pada standard ACL sebab

memberikan nilai range control yang besar. Extended ACL memeriksa sumber dan tujuan alamat paket dan mampu memeriksa protocol dan nomor port. Perintah ip access-group menghubungkan extended ACL yang ada ke

inertface. Ingat hanya satu ACL per interface, per tujuan, per protocol diberikan. Format perintahnya adalah:

Router(config-if)#ip access-group access-list-number {in | out} Penamaan ACL

Nama IP ACL diperkenalkan pada software Cisco IOS keluaran 11.2 dan tidak cocok dengan keluaran Cisco IOS sebelumnya, memberikan standard dan extended ACL untuk diberi nama daripada angka. Keuntungan penamaan access list ini adalah memberikan:

· Dengan tidak sengaja mengidentifikasikan ACL menggunakan nama alphanumeric

· Menghapus batasan dari 798 dan memperluas 799 ACL

· Penamaan ACL memberikan kemampuan untuk mengubah ACL tanpa menghapus dan konfigurasi ulang ACL.

Nama ACL diciptakan dengan perintah ip access-list, pada mode ACL configuration.

(4)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY

Jenis Lalu Lintas ACL

a. Inbound ACL

Ketika sebuah ACL diterapkan pada paket inbound di sebuah interface, paket tersebut diproses melalui ACL sebelum di-route ke outbound interface. Setiap paket yang ditolak tidak bisa di-route karena paket ini diabaikan sebelum proses routing diabaikan.

b. Outbond ACL

Ketika sebuah ACL diterapkan pada paket outbound pada sebuah interface, paket tersebut diroute ke outbound interface dan diproses melalui ACL malalui antrian.

Panduan Umum ACL

Terdapat beberapa panduan umum ACL yang seharusnya diikuti ketika membuat dan mengimplementasikan ACL pada router :

 Hanya bisa menerapkan satu ACL untuk setiap interface, setiap protocol dan setiap arah. Artinya bahwa ketika membuat ACL IP, hanya bisa membuat sebuah inbound ACL dan satu Outbound ACL untuk setiap interface.

 Organisasikan ACL sehingga test yang lebih spesifik diletakkan pada bagian atas ACL

 Setiap kali terjadi penambahan entry baru pada ACL, entry tersebut akan diletakkan pada bagian bawah ACL. Sangat disarankan menggunakan text editor dalam

(5)

Praktikum Jaringan Komputer 2

Telecommunication Departments, PENS-ITS

 Tidak bisa membuang satu baris dari ACL. Jika kita mencoba demikian, kita akan membuang seluruh ACL. Sangat baik untuk mengcopy ACL ke text editor sebelum mencoba mengubah list tersebut.

Wildcard Masking

Wildcard masking digunakan bersama ACL untuk menentukan host tunggal, sebuah jaringan atau range tertentu dari sebuah atau banyak network. Untuk mengerti tentang wildcard, kita perlu mengerti tentang blok size yang digunkan untuk menentukan range alamat. Beberapa blok size yang berbeda adalah 4, 8, 16, 32, 64.

Ketika kita perlu menentukan range alamat, kita memilih blok size selanjutnya yang terbesar sesuai kebutuhan. Sebagai contoh, jika kita perlu menentukan 34 network, kita memerlukan blok size 64. jika kita ingin menentukan 18 host, kita memerlukan blok size 32. jiak kita perlu menunjuk 2 network, maka blok size 4 bisa digunakan. Wildcard digunakan dengan alamat host atau network untuk memberitahukan kepada router untuk difilter. Untuk menentukan sebuah host, alamat akan tampak seperti berikut 172.16.30.5 0.0.0.0 keempat 0 mewakili setiap oktet pada alamat. Dimanapun terdapat 0, artinya oktet pada alamat tersebut harus persis sama. Untuk menentukan bahwa sebuah oktet bisa bernilai apa saja, angka yang digunakan adalah 255. sebagai contoh, berikut ini adalah subnet /24

dispesifikasikan dengan wildcard: 172.16.30.0 0.0.255 ini memberitahukan pada router untuk menentukan 3 oktet secara tepat, tapi oktet ke-4 bisa bernilai apa saja.

(6)

Konfigurasi squid sebagai proxy serve

Squid adalah program proxy server. Proxy sendiri adalah program untuk melakukan caching terhadap halaman website, sehingga pengaksesan ke halaman website menjadi lebih cepat karena halaman web yang sudah dibuka telah tersimpan di proxy server. Gabungan aplikasi proxy server dan firewall, dapat menjadikanya semacam gateway untuk mengakses halaman website.

Squid yang saya gunakan ini adalah versi 2.6 .Proses instalasi saya lakukan lewat source. Hasilnya sama saja dengan lewat port atau package. Setelah proses instalasi pastikan ada file konfigurasinya squid.conf, biasanya berada di /usr/local/etc/squid/squid.conf dan juga ada user squid dan group squid sebagai user yang menjalankan squid, demi keamanan sistem.

Kita mulai dengan mngkonfigurasi dari squid.conf, biasanya

pertama-tama tama kita definisikan dahulu pada port berapa http request akan dilistening squid http_port 3128

icp_port 3130

icp adalah internet cache protocol, yaitu pada port berapa cache ini dipertukarkan, biasanya untuk hubungan sibling dengan proxy lain

kemudian kita definisikan access control list atau disingkat acl. Nah acl ini mendefinisikan tipe-tipe koneksi yang di allow atau di-blok proxy

acl sumber berdasar ip dan netmask sumber dengan atribut “src”

acl all src 0.0.0.0/0.0.0.0

acl localhost src 127.0.0.1/255.255.255.255 acl arc src 167.205.3.0/255.255.255.192

acl berdasarkan ports

acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher

(7)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 631 # cups

acl Safe_ports port 777 # multiling http acl Safe_ports port 901 # SWAT acl berdasarkan url tertentu

acl porno url_regex “/usr/local/etc/squid/porno.txt” # porno.txt mendefinisikan web-web tertentu

acl berdasarkan url (ada kata-kata tertentu dalam url) acl QUERY urlpath_regex cgi-bin \?

acl berdasarkan method/perintah, misal bila telnet ke http ada perintah semacam GET, CONNECT dll acl purge method PURGE

acl CONNECT method CONNECT

acl berdasarkan tipe protokol, misal disini adalah FTP dan obyek cache acl FTP proto FTP

acl manager proto cache_object

acl berdasarkan autentikasi proxy, acl ini ditujukan bagi mereka yang terautentikasi acl otentik proxy_auth REQUIRED

Ada banyak tipe ACl yang lain seperti ip destinasi, waktu dll

Untuk proxy_auth kita perlu mendefinisikan lagi cara autentikasinya, seperti LDAP, NCSA, MySQL. saya memakai metode NCSA, hampir sama seperti user dan password yang terenkripsi di /etc/passwd, berikut list konfigurasinya

auth_param basic program /usr/local/libexec/squid/ncsa_auth /etc/squid/basic.passwd # file txt dimana user dan password tersimpan

(8)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY auth_param basic realm sopo koe???? #string yang ditampilkan saat autentikasi

auth_param basic children 5 # helper prosesnya

auth_param basic credentialsttl 2 hours #kalau sudah diautentikasi, selama 2 jam tidak akan menghasilkan helper proses lagi

nah setelah kita definisikan tipe ACL-nya kita definisikan hak-hak akses dari tipe-tipe tadi no_cache QUERY

artinya Query yang ada teks cgi-bin tidak akan disimpan atau di-cache http_access deny porno

website2 yang didefinisikan dalam teks porno.txt tidak akan diakses http_access manager localhost

http_access deny manager

cache obyek hanya boleh diakses lcalhost http_access purge localhost

http_access deny purge

command purge hanya boleh dilakukan localhost http_access !Safe_ports

artinya selain, jadi artinya tolak akses selain dari Safeports http_access deny CONNECT !SSL_ports

tolak command connect selain dari port SSL http_access allow localhost

http_access allow otentik arc http_access deny all

(9)

Pengaturan ini berdasarkan matching dari bawah ke atas, jadi kalau dibaca, akses dibolehkan untuk obyek cache trus localhost, kalau bukan localhost boleh dari arc DAN user yang sudah terautentikasi, selain itu maka ditolak

always_direct allow FTP always_direct deny all

langsung mendirect protokol FTP

Selanjutnya, apabila kita terkoneksi dengan proxy server lain maka kita dapat melakukan hubungan parent atau sibling ke proxy server tersebut.

cache_peer cache.itb.ac.id parent 8080 0 login=hamkanen:rahasiadonk weight=10 default saya memakai parent cache.itb.ac.id

cache_effective_user squid

kita ingin menjalankan squid dengan user squid, tentunya segera setelah dijalankan sebagai root cache_dir ufs /home/cache 10000 16 256

saya menaruh hasil caching ini di folder /home/cache dengan skema ufs, ukuran 10000 mega, dengan subdirektori 16 buah dan 256 subsub direktori

cache_mgr

merupakan alamat email admin, apabila diprotes pengguna Masih banyak konfigurasi squid.conf yang lain, yang bermanfaat. Kemudian jalankan perintah “squid -z ” untuk mem-build swap space , kemudian jalankan “squid -sD” untuk menjalankan squid sebagai daemon.

(10)

SETTING SWITCH DAN ROUTER DARI PC

MENGGUNAKAN LINUX

1. Hubungkan kedua PC pada serial port dengan Router pada interface “console”

menggunakan kabel console. 2. Nyalakan PC

3. Jalankan aplikasi Minicom

4. Pilih Serial Port pada menu. Ganti nilai “Current 38400 8N1” menjadi “9600 8N1” dengan menekan tombol “E”, atur juga Hardware Flow Control dan Software Flow Control menjadi “No”.

(11)

Konfigurasi Proxy Server pada Ubuntu 12.04 dengan Squid 3

Squid adalah aplikasi populer yang digunakan sebagai server cache proxy web yang menyediakan layanan proxy dan cache untuk HTTP, HTTPS, FTP, gopher dan protokol jaringan populer. Squid dapat

mengimplementasikan caching Domain Name Server (DNS) lookup dan cache dan proxy Secure Socket Layer (SSL), dan melakukan caching secara transparan, Squid juga mendukung berbagai macam protokol caching, seperti Internet Cache Protocol (ICP), Hypertext Cache Protocol (HTCP), Cache Array Routing Protocol (CARP), dan Web Cache Coordination Protocol (WCCP).

Proxy Squid cache server adalah solusi yang sangat baik untuk berbagai kebutuhan caching proxy dan server, dan skala dari kantor cabang ke jaringan tingkat perusahaan. Ketika memilih sebuah sistem komputer untuk digunakan khusus sebagai proxy squid, atau caching server, pastikanlah sistem Anda dikonfigurasi dengan sejumlah besar memori fisik untuk meningkatkan kinerjanya.

Tutorial berikut akan mendemonstrasikan cara install dan konfigurasi server proxy dengan SQUID3 pada

ubuntu server 12.04

 Langkah 1: Install Squid 3

Login ke server ubuntu, dan ketik perintah berikut untuk meng-install squid3 pada ubuntu server 12.04: sudo apt-get squid3

kemudian masukkan password anda, dan tunggu hingga proses install selesai.  Langkah 2: Konfigurasi Squid 3

Buat folder untuk menyimpan cache misalnya pada /home/cache, kemudian set permission menjadi 777 dengan owner proxy:proxy

sudo mkdir -p /home/cache/ sudo chmod 777 /home/cache/

sudo chown proxy:proxy /home/cache/

Sebelum mengubah konfigurasi squid, buatlah backupnya lebih dahulu file /etc/squid3/squid.conf untuk referensi dikemudian hari.

sudo cp /etc/squid3/squid.conf /etc/squid3/squid.conf.origin sudo chmod a-w /etc/squid3/squid.conf.origin

(12)

Sekarang edit file /etc/squid3/squid.conf, hapus dan ganti semua option dengan konfigurasi squid3 dengan perintah berikut :

sudo nano /etc/squid3/squid.conf Konfigurasi squid3:

# ACCESS CONTROLS OPTIONS

#acl QUERY berikut saya buat comment karena error saat penulis coba

#acl QUERY urlpath_regex -i cgi-bin ? .php$ .asp$ .shtml$ .cfm$ .cfml$ .phtml$ .php3$ localhost acl all src

acl localnet src 10.0.0.0/8 # Your network here

acl localnet src 192.168.1.0/24 #

acl localhost src 127.0.0.1/32

acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 81 3128 1025-65535 acl sslports port 443 563 81 2087 10000

acl manager proto cache_object acl purge method PURGE acl connect method CONNECT

acl ym dstdomain .messenger.yahoo.com .psq.yahoo.com

acl ym dstdomain .us.il.yimg.com .msg.yahoo.com .pager.yahoo.com acl ym dstdomain .rareedge.com .ytunnelpro.com .chat.yahoo.com acl ym dstdomain .voice.yahoo.com

acl ymregex url_regex yupdater.yim ymsgr myspaceim #

(13)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY http_access deny ym

http_access deny ymregex

http_access allow manager localhost http_access deny manager

http_access allow purge localhost http_access deny purge

http_access deny !safeports

http_access deny CONNECT !sslports http_access allow localhost

http_access allow localnet http_access deny all # NETWORK OPTIONS http_port 3128 transparent

# OPTIONS WHICH AFFECT THE CACHE SIZE cache_mem 16 MB

maximum_object_size_in_memory 32 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA cache_dir aufs /home/cache 10000 14 256 maximum_object_size 128000 KB

cache_swap_low 95 cache_swap_high 99

(14)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY access_log /var/log/squid3/access.log cache_log /var/lod/squid3/cache.log #cache_log /dev/null cache_store_log none logfile_rotate 5 log_icp_queries off

# OPTIONS FOR TUNING THE CACHE #cache deny QUERY

#cache deny QUERY di-comment karena error saat penulis coba refresh_pattern ^ftp: 1440 20% 10080 reload-into-ims

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i .(gif|png|jp?g|ico|bmp|tiff?)$ 10080 95% 43200 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private

refresh_pattern -i

.(rpm|cab|deb|exe|msi|msu|zip|tar|xz|bz|bz2|lzma|gz|tgz|rar|bin|7z|doc?|xls?|ppt?|pdf|nth|psd|sis)$ 10080 90% 43200 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private

refresh_pattern -i .(avi|iso|wav|mid|mp?|mpeg|mov|3gp|wm?|swf|flv|x-flv|axd)$ 43200 95% 432000 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private

(15)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY store_avg_object_size 13 KB

# HTTP OPTIONS vary_ignore_expire on # ANONIMITY OPTIONS

request_header_access From deny all request_header_access Server deny all request_header_access Link deny all request_header_access Via deny all

request_header_access X-Forwarded-For deny all # TIMEOUTS forward_timeout 240 second connect_timeout 30 second peer_connect_timeout 5 second read_timeout 600 second request_timeout 60 second shutdown_lifetime 10 second # ADMINISTRATIVE PARAMETERS cache_mgr webmaster cache_effective_user proxy cache_effective_group proxy httpd_suppress_version_string on visible_hostname proxy #

(16)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY ftp_list_width 32

ftp_passive on ftp_sanitycheck on # DNS OPTIONS dns_timeout 10 seconds

dns_nameservers 192.168.1.1 #DNS lokal jika ada dns_nameservers 8.8.8.8 203.130.208.18 # DNS Server # MISCELLANEOUS memory_pools off client_db off reload_into_ims on #coredump_dir /cache coredump_dir /home/cache pipeline_prefetch on offline_mode off #Marking ZPH #zph_mode tos #zph_local 0x30 #zph_parent 0 #zph_option 136 qos_flows tos qos_flows local-hit = 0x30 qos_flows parent-hit = 0

(17)

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY ### END CONFIGURATION ###

 Langkah 3: Jalankan Squid3 Pertama, buat direktori swap, sudo squid3 -z

Restart squid3:

sudo /etc/init.d/squid3 restart atau

sudo service squid3 restart

Masukkan squid3 sebagai service yang otomatis running saat booting sudo chkconfig --level 345 squid3 on

(18)

Kesimpulan

Berdasarkan simulasi standar dan extended ACL tersebut, setidaknya kita bisa menarik kesimpulan sederhana kawan. Pada standard ACL hanya menggunakan alamat source IP address dalam paket IP sebagai kondisi yang di test, sehingga ACL tidak dapat membedakan tipe dari traffic IP seperti WWW, UDP, dan telnet. Sedangkan pada Extended ACL, selain bisa mengevaluasi source address dan destination address extended ACL juga dapat mengevaluasi header layer 3 dan 4 pada paket IP. Nah, berikut adalah tugas besar dari ACL, baik jenis standar maupun extended, diantaranya:

Membatasi lalulintas jaringan dan menambah performa jaringan. Sebagai contoh, ACL yang membatasi lalulintas video dapat dengan baik mengurangi beban jaringan dan menambah performa jaringan.

Menyediakan kontrol aliran lalulintas. ACL dapat membatasi pengiriman update routing. Jika update tidak diperlukan disebabkan kondisi-kondisi jaringan, akanmenghemat bandwidth.

Menyediakan sebuah level dasar keamanan untuk akses jaringan. ACL dapat mengijinkan satu host untuk mengakses sebuah bagian dari jaringan dan mencegah host lain untuk mengakses area yang sama. Sebagai contoh, Host A diperbolehkan untuk mengakses jaringan Sumberdaya Manusia dan Host B dicegah untuk mengaksesnya.

Memutuskan jenis lalulintas yang dilewatkan atau diblok pada interface-interface router. ACL dapat mengijinkan pe-rute-an lalulintas e-mail, tapi mem-blok semua lalulintas telnet.

Mengontrol wilayah sebuah client mana yang dapat mengakses pada sebuah jaringan

Menyaring host-host untuk diperbolehkan atau ditolak mengakses ke sebuah segment jaringan. ACL dapat digunakan untuk memperbolehkan atau menolak seorang user untuk mengakses jenis-jenis file seperti FTP atau HTTP.

Terakhir sebagai penutup, jika ACL tidak dikonfigurasi pada router, semua paket-paket yang melewati router akan diperbolehkan untuk mengakses keseluruhan jaringan. Sudah tentu hal ini membahayakan jaringan internal apabila terkoneksi dengan jaringan internet.