Create By Rasyadi A XII TKJ 1€¦ · XII TKJ 1 Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY Menciptakan ACL ACL diciptakan pada mode global configuration. Ada berbagai

Create By Rasyadi A

XII TKJ 1

Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY

Apakah ACL itu?

ACL adalah daftar kondisi yang berlaku bagi perjalanan traffic ke seberang

interface router. Daftar ini memberitahukan pada router apakah jenis paket untuk

diterima atau ditolak. Penerimaan dan penolakan dapat didasarkan pada kondisikondisi

tertentu. ACL memungkinkan pengaturan traffic dan menjamin akses ke

dan dari suatu jaringan.

Bagaimanakah cara ker ja ACL

ACL adalah group pernyataan yang menegaskan apakah paket diterima atau

ditolak pada interface inbound atau outbound. Putusan ini dibuat dengan

mencocokkan kondisi pernyataan dalam daftar akses dan kemudian melakukan

penegasan aksi diterima atau ditolak pada pernyataan.

Create By Rasyadi A

XII TKJ 1


Menciptakan ACL

ACL diciptakan pada mode global configuration. Ada berbagai perbedaan jenis

dari ACL yang meliputi standard, extended, IPX, AppleTalk, dan yang lainnya.

Ketika mengkonfigurasi ACL pada router, setiap ACL harus dikenali dengan unik

dengan memberikan nomor. Nomor ini mengidentifikasian jenis daftar akses yang diciptakan dan harus

tercakup dalam golongan angka yang khusus yang sah untuk daftar jenis.

Standard ACL

Standar ACL memeriksa alamat sumber dari paket IP yang routed.

Perbandingan akan menghasilkan berbagai akses diijinkan atau ditolak untuk

seluruh deretan protokol, berdasarkan pada jaringan, subnet, dan alamat host.

Sebagai contoh, paket datang dalam Fa0/0 diperiksa untuk alamat sumber dan

protocol. Jika paket diijinkan, paket routed melalui router untuk interface output.

Jika paket tidak diijinkan, paket dihentikan pada interface yang datang.

Versi standar perintah global configuration access-list digunakan untuk

menetapkan standar ACL dengan angka dari 1 sampai 99 (juga dari 1300

sampai 1999 pada IOS terbaru).

Perintah lengkap standar ACL adalah:

Router(config)#access-list access-list-number {deny |

permit} source [source-wildcard ] [log]

Create By Rasyadi A

XII TKJ 1


Untuk menghapus ACL digunakan penambahan kata no diawal kalimat ACL,

seperti contoh:

Router(config)#no access-list access-list-number

Extended ACL

Extended ACL lebih sering digunakan dari pada standard ACL sebab

memberikan nilai range control yang besar. Extended ACL memeriksa sumber

dan tujuan alamat paket dan mampu memeriksa protocol dan nomor port.

Perintah ip access-group menghubungkan extended ACL yang ada ke

inertface. Ingat hanya satu ACL per interface, per tujuan, per protocol diberikan.

Format perintahnya adalah:

Router(config-if)#ip access-group access-list-number {in | out}

Penamaan ACL

Nama IP ACL diperkenalkan pada software Cisco IOS keluaran 11.2 dan tidak

cocok dengan keluaran Cisco IOS sebelumnya, memberikan standard dan

extended ACL untuk diberi nama daripada angka. Keuntungan penamaan

access list ini adalah memberikan:

· Dengan tidak sengaja mengidentifikasikan ACL menggunakan nama

alphanumeric

· Menghapus batasan dari 798 dan memperluas 799 ACL

· Penamaan ACL memberikan kemampuan untuk mengubah ACL tanpa

menghapus dan konfigurasi ulang ACL.

Nama ACL diciptakan dengan perintah ip access-list, pada mode ACL

configuration.

Create By Rasyadi A

XII TKJ 1


Jenis Lalu Lintas ACL

a. Inbound ACL

Ketika sebuah ACL diterapkan pada paket inbound di sebuah interface, paket tersebut

diproses melalui ACL sebelum di-route ke outbound interface. Setiap paket yang ditolak

tidak bisa di-route karena paket ini diabaikan sebelum proses routing diabaikan.

b. Outbond ACL

Ketika sebuah ACL diterapkan pada paket outbound pada sebuah interface, paket tersebut diroute

ke outbound interface dan diproses melalui ACL malalui antrian.

Panduan Umum ACL

Terdapat beberapa panduan umum ACL yang seharusnya diikuti ketika membuat dan

mengimplementasikan ACL pada router :

Hanya bisa menerapkan satu ACL untuk setiap interface, setiap protocol dan setiap

arah. Artinya bahwa ketika membuat ACL IP, hanya bisa membuat sebuah inbound

ACL dan satu Outbound ACL untuk setiap interface.

Organisasikan ACL sehingga test yang lebih spesifik diletakkan pada bagian atas

ACL

Setiap kali terjadi penambahan entry baru pada ACL, entry tersebut akan diletakkan

pada bagian bawah ACL. Sangat disarankan menggunakan text editor dalam

menggunakan ACL

Create By Rasyadi A

XII TKJ 1


Praktikum Jaringan Komputer 2

Telecommunication Departments, PENS-ITS

Tidak bisa membuang satu baris dari ACL. Jika kita mencoba demikian, kita akan

membuang seluruh ACL. Sangat baik untuk mengcopy ACL ke text editor sebelum

mencoba mengubah list tersebut.

Wildcard Masking

Wildcard masking digunakan bersama ACL untuk menentukan host tunggal, sebuah

jaringan atau range tertentu dari sebuah atau banyak network. Untuk mengerti tentang

wildcard, kita perlu mengerti tentang blok size yang digunkan untuk menentukan range

alamat. Beberapa blok size yang berbeda adalah 4, 8, 16, 32, 64.

Ketika kita perlu menentukan range alamat, kita memilih blok size selanjutnya yang

terbesar sesuai kebutuhan. Sebagai contoh, jika kita perlu menentukan 34 network, kita

memerlukan blok size 64. jika kita ingin menentukan 18 host, kita memerlukan blok size 32.

jiak kita perlu menunjuk 2 network, maka blok size 4 bisa digunakan. Wildcard digunakan

dengan alamat host atau network untuk memberitahukan kepada router untuk difilter.

Untuk menentukan sebuah host, alamat akan tampak seperti berikut 172.16.30.5 0.0.0.0

keempat 0 mewakili setiap oktet pada alamat. Dimanapun terdapat 0, artinya oktet pada

alamat tersebut harus persis sama. Untuk menentukan bahwa sebuah oktet bisa bernilai apa

saja, angka yang digunakan adalah 255. sebagai contoh, berikut ini adalah subnet /24

dispesifikasikan dengan wildcard: 172.16.30.0 0.0.255 ini memberitahukan pada router untuk

menentukan 3 oktet secara tepat, tapi oktet ke-4 bisa bernilai apa saja.

Create By Rasyadi A

XII TKJ 1


Konfigurasi squid sebagai proxy serve

Squid adalah program proxy server. Proxy sendiri adalah program untuk melakukan caching terhadap

halaman website, sehingga pengaksesan ke halaman website menjadi lebih cepat karena halaman web

yang sudah dibuka telah tersimpan di proxy server. Gabungan aplikasi proxy server dan firewall, dapat

menjadikanya semacam gateway untuk mengakses halaman website.

Squid yang saya gunakan ini adalah versi 2.6 .Proses instalasi saya lakukan lewat source. Hasilnya sama

saja dengan lewat port atau package. Setelah proses instalasi pastikan ada file konfigurasinya squid.conf,

biasanya berada di /usr/local/etc/squid/squid.conf dan juga ada user squid dan group squid sebagai user

yang menjalankan squid, demi keamanan sistem.

Kita mulai dengan mngkonfigurasi dari squid.conf, biasanya

pertama-tama tama kita definisikan dahulu pada port berapa http request akan dilistening squid

http_port 3128

icp_port 3130

icp adalah internet cache protocol, yaitu pada port berapa cache ini dipertukarkan, biasanya untuk

hubungan sibling dengan proxy lain

kemudian kita definisikan access control list atau disingkat acl. Nah acl ini mendefinisikan tipe-tipe

koneksi yang di allow atau di-blok proxy

acl sumber berdasar ip dan netmask sumber dengan atribut “src”

acl all src 0.0.0.0/0.0.0.0

acl localhost src 127.0.0.1/255.255.255.255

acl arc src 167.205.3.0/255.255.255.192

acl berdasarkan ports

acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

Create By Rasyadi A

XII TKJ 1


acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 631 # cups

acl Safe_ports port 777 # multiling http

acl Safe_ports port 901 # SWAT

acl berdasarkan url tertentu

acl porno url_regex “/usr/local/etc/squid/porno.txt” # porno.txt mendefinisikan web-web tertentu

acl berdasarkan url (ada kata-kata tertentu dalam url)

acl QUERY urlpath_regex cgi-bin \?

acl berdasarkan method/perintah, misal bila telnet ke http ada perintah semacam GET, CONNECT dll

acl purge method PURGE

acl CONNECT method CONNECT

acl berdasarkan tipe protokol, misal disini adalah FTP dan obyek cache

acl FTP proto FTP

acl manager proto cache_object

acl berdasarkan autentikasi proxy, acl ini ditujukan bagi mereka yang terautentikasi

acl otentik proxy_auth REQUIRED

Ada banyak tipe ACl yang lain seperti ip destinasi, waktu dll

Untuk proxy_auth kita perlu mendefinisikan lagi cara autentikasinya, seperti LDAP, NCSA, MySQL. saya

memakai metode NCSA, hampir sama seperti user dan password yang terenkripsi di /etc/passwd, berikut

list konfigurasinya

auth_param basic program /usr/local/libexec/squid/ncsa_auth /etc/squid/basic.passwd # file txt dimana

user dan password tersimpan

Create By Rasyadi A

XII TKJ 1


auth_param basic realm sopo koe???? #string yang ditampilkan saat autentikasi

auth_param basic children 5 # helper prosesnya

auth_param basic credentialsttl 2 hours #kalau sudah diautentikasi, selama 2 jam tidak akan menghasilkan

helper proses lagi

nah setelah kita definisikan tipe ACL-nya kita definisikan hak-hak akses dari tipe-tipe tadi

no_cache QUERY

artinya Query yang ada teks cgi-bin tidak akan disimpan atau di-cache

http_access deny porno

website2 yang didefinisikan dalam teks porno.txt tidak akan diakses

http_access manager localhost

http_access deny manager

cache obyek hanya boleh diakses lcalhost

http_access purge localhost

http_access deny purge

command purge hanya boleh dilakukan localhost

http_access !Safe_ports

artinya selain, jadi artinya tolak akses selain dari Safeports

http_access deny CONNECT !SSL_ports

tolak command connect selain dari port SSL

http_access allow localhost

http_access allow otentik arc

http_access deny all

Create By Rasyadi A

XII TKJ 1


Pengaturan ini berdasarkan matching dari bawah ke atas, jadi kalau dibaca, akses dibolehkan untuk obyek

cache trus localhost, kalau bukan localhost boleh dari arc DAN user yang sudah terautentikasi, selain itu

maka ditolak

always_direct allow FTP

always_direct deny all

langsung mendirect protokol FTP

Selanjutnya, apabila kita terkoneksi dengan proxy server lain maka kita dapat melakukan hubungan parent

atau sibling ke proxy server tersebut.

cache_peer cache.itb.ac.id parent 8080 0 login=hamkanen:rahasiadonk weight=10 default

saya memakai parent cache.itb.ac.id

cache_effective_user squid

kita ingin menjalankan squid dengan user squid, tentunya segera setelah dijalankan sebagai root

cache_dir ufs /home/cache 10000 16 256

saya menaruh hasil caching ini di folder /home/cache dengan skema ufs, ukuran 10000 mega, dengan

subdirektori 16 buah dan 256 subsub direktori

cache_mgr

merupakan alamat email admin, apabila diprotes pengguna

Masih banyak konfigurasi squid.conf yang lain, yang bermanfaat.

Kemudian jalankan perintah “squid -z ” untuk mem-build swap space ,

kemudian jalankan “squid -sD” untuk menjalankan squid sebagai daemon.

Create By Rasyadi A

XII TKJ 1


SETTING SWITCH DAN ROUTER DARI PC

MENGGUNAKAN LINUX

1. Hubungkan kedua PC pada serial port dengan Router pada interface “console”

menggunakan kabel console.

2. Nyalakan PC

3. Jalankan aplikasi Minicom

4. Pilih Serial Port pada menu. Ganti nilai “Current 38400 8N1” menjadi “9600 8N1” dengan

menekan tombol “E”, atur juga Hardware Flow Control dan Software Flow Control menjadi

“No”.

12. Melakukan komunikasi ke perangkat switch atau router.

Create By Rasyadi A

XII TKJ 1


Konfigurasi Proxy Server pada Ubuntu 12.04 dengan Squid 3

Squid adalah aplikasi populer yang digunakan sebagai server cache proxy web yang menyediakan layanan

proxy dan cache untuk HTTP, HTTPS, FTP, gopher dan protokol jaringan populer. Squid dapat

mengimplementasikan caching Domain Name Server (DNS) lookup dan cache dan proxy Secure Socket

Layer (SSL), dan melakukan caching secara transparan, Squid juga mendukung berbagai macam protokol

caching, seperti Internet Cache Protocol (ICP), Hypertext Cache Protocol (HTCP), Cache Array Routing

Protocol (CARP), dan Web Cache Coordination Protocol (WCCP).

Proxy Squid cache server adalah solusi yang sangat baik untuk berbagai kebutuhan caching proxy dan

server, dan skala dari kantor cabang ke jaringan tingkat perusahaan. Ketika memilih sebuah sistem

komputer untuk digunakan khusus sebagai proxy squid, atau caching server, pastikanlah sistem Anda

dikonfigurasi dengan sejumlah besar memori fisik untuk meningkatkan kinerjanya.

Tutorial berikut akan mendemonstrasikan cara install dan konfigurasi server proxy dengan SQUID3 pada

ubuntu server 12.04

Langkah 1: Install Squid 3

Login ke server ubuntu, dan ketik perintah berikut untuk meng-install squid3 pada ubuntu server 12.04:

sudo apt-get squid3

kemudian masukkan password anda, dan tunggu hingga proses install selesai.

Langkah 2: Konfigurasi Squid 3

Buat folder untuk menyimpan cache misalnya pada /home/cache, kemudian set permission menjadi 777

dengan owner proxy:proxy

sudo mkdir -p /home/cache/

sudo chmod 777 /home/cache/

sudo chown proxy:proxy /home/cache/

Sebelum mengubah konfigurasi squid, buatlah backupnya lebih dahulu file /etc/squid3/squid.conf untuk

referensi dikemudian hari.

sudo cp /etc/squid3/squid.conf /etc/squid3/squid.conf.origin

sudo chmod a-w /etc/squid3/squid.conf.origin

Create By Rasyadi A

XII TKJ 1


Sekarang edit file /etc/squid3/squid.conf, hapus dan ganti semua option dengan konfigurasi squid3 dengan

perintah berikut :

sudo nano /etc/squid3/squid.conf

Konfigurasi squid3:

# ACCESS CONTROLS OPTIONS

#acl QUERY berikut saya buat comment karena error saat penulis coba

#acl QUERY urlpath_regex -i cgi-bin ? .php$ .asp$ .shtml$ .cfm$ .cfml$ .phtml$ .php3$ localhost

acl all src

acl localnet src 10.0.0.0/8

# Your network here

acl localnet src 192.168.1.0/24

#

acl localhost src 127.0.0.1/32

acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 81 3128 1025-65535

acl sslports port 443 563 81 2087 10000

acl manager proto cache_object

acl purge method PURGE

acl connect method CONNECT

acl ym dstdomain .messenger.yahoo.com .psq.yahoo.com

acl ym dstdomain .us.il.yimg.com .msg.yahoo.com .pager.yahoo.com

acl ym dstdomain .rareedge.com .ytunnelpro.com .chat.yahoo.com

acl ym dstdomain .voice.yahoo.com

acl ymregex url_regex yupdater.yim ymsgr myspaceim

#

Create By Rasyadi A

XII TKJ 1


http_access deny ym

http_access deny ymregex

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !safeports

http_access deny CONNECT !sslports

http_access allow localhost

http_access allow localnet

http_access deny all

# NETWORK OPTIONS

http_port 3128 transparent

# OPTIONS WHICH AFFECT THE CACHE SIZE

cache_mem 16 MB

maximum_object_size_in_memory 32 KB

memory_replacement_policy heap GDSF

cache_replacement_policy heap LFUDA

cache_dir aufs /home/cache 10000 14 256

maximum_object_size 128000 KB

cache_swap_low 95

cache_swap_high 99

# LOGFILE PATHNAMES AND CACHE DIRECTORIES

Create By Rasyadi A

XII TKJ 1


access_log /var/log/squid3/access.log

cache_log /var/lod/squid3/cache.log

#cache_log /dev/null

cache_store_log none

logfile_rotate 5

log_icp_queries off

# OPTIONS FOR TUNING THE CACHE

#cache deny QUERY

#cache deny QUERY di-comment karena error saat penulis coba

refresh_pattern ^ftp: 1440 20% 10080 reload-into-ims

refresh_pattern ^gopher: 1440 0% 1440

refresh_pattern -i .(gif|png|jp?g|ico|bmp|tiff?)$ 10080 95% 43200 override-expire override-lastmod reload-

into-ims ignore-no-cache ignore-private

refresh_pattern -i

.(rpm|cab|deb|exe|msi|msu|zip|tar|xz|bz|bz2|lzma|gz|tgz|rar|bin|7z|doc?|xls?|ppt?|pdf|nth|psd|sis)$ 10080

90% 43200 override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private

refresh_pattern -i .(avi|iso|wav|mid|mp?|mpeg|mov|3gp|wm?|swf|flv|x-flv|axd)$ 43200 95% 432000

override-expire override-lastmod reload-into-ims ignore-no-cache ignore-private

refresh_pattern -i .(html|htm|css|js)$ 1440 75% 40320

refresh_pattern -i .index.(html|htm)$ 0 75% 10080

refresh_pattern -i (/cgi-bin/|?) 0 0% 0

refresh_pattern . 1440 90% 10080

quick_abort_min 0 KB

quick_abort_max 0 KB

quick_abort_pct 100

Create By Rasyadi A

XII TKJ 1


store_avg_object_size 13 KB

# HTTP OPTIONS

vary_ignore_expire on

# ANONIMITY OPTIONS

request_header_access From deny all

request_header_access Server deny all

request_header_access Link deny all

request_header_access Via deny all

request_header_access X-Forwarded-For deny all

# TIMEOUTS

forward_timeout 240 second

connect_timeout 30 second

peer_connect_timeout 5 second

read_timeout 600 second

request_timeout 60 second

shutdown_lifetime 10 second

# ADMINISTRATIVE PARAMETERS

cache_mgr webmaster

cache_effective_user proxy

cache_effective_group proxy

httpd_suppress_version_string on

visible_hostname proxy

#

Create By Rasyadi A

XII TKJ 1


ftp_list_width 32

ftp_passive on

ftp_sanitycheck on

# DNS OPTIONS

dns_timeout 10 seconds

dns_nameservers 192.168.1.1 #DNS lokal jika ada

dns_nameservers 8.8.8.8 203.130.208.18 # DNS Server

# MISCELLANEOUS

memory_pools off

client_db off

reload_into_ims on

#coredump_dir /cache

coredump_dir /home/cache

pipeline_prefetch on

offline_mode off

#Marking ZPH

#zph_mode tos

#zph_local 0x30

#zph_parent 0

#zph_option 136

qos_flows tos

qos_flows local-hit = 0x30

qos_flows parent-hit = 0

Create By Rasyadi A

XII TKJ 1


### END CONFIGURATION ###

Langkah 3: Jalankan Squid3

Pertama, buat direktori swap,

sudo squid3 -z

Restart squid3:

sudo /etc/init.d/squid3 restart

atau

sudo service squid3 restart

Masukkan squid3 sebagai service yang otomatis running saat booting

sudo chkconfig --level 345 squid3 on

Create By Rasyadi A

XII TKJ 1


Kesimpulan

Berdasarkan simulasi standar dan extended ACL tersebut, setidaknya kita bisa menarik kesimpulan

sederhana kawan. Pada standard ACL hanya menggunakan alamat source IP address dalam paket IP

sebagai kondisi yang di test, sehingga ACL tidak dapat membedakan tipe dari traffic IP seperti WWW,

UDP, dan telnet. Sedangkan pada Extended ACL, selain bisa mengevaluasi source address dan destination

address extended ACL juga dapat mengevaluasi header layer 3 dan 4 pada paket IP. Nah, berikut adalah

tugas besar dari ACL, baik jenis standar maupun extended, diantaranya:

Membatasi lalulintas jaringan dan menambah performa jaringan. Sebagai contoh, ACL yang

membatasi lalulintas video dapat dengan baik mengurangi beban jaringan dan menambah performa

jaringan.

Menyediakan kontrol aliran lalulintas. ACL dapat membatasi pengiriman update routing. Jika

update tidak diperlukan disebabkan kondisi-kondisi jaringan, akanmenghemat bandwidth.

Menyediakan sebuah level dasar keamanan untuk akses jaringan. ACL dapat mengijinkan satu host

untuk mengakses sebuah bagian dari jaringan dan mencegah host lain untuk mengakses area yang

sama. Sebagai contoh, Host A diperbolehkan untuk mengakses jaringan Sumberdaya Manusia dan

Host B dicegah untuk mengaksesnya.

Memutuskan jenis lalulintas yang dilewatkan atau diblok pada interface-interface router. ACL

dapat mengijinkan pe-rute-an lalulintas e-mail, tapi mem-blok semua lalulintas telnet.

Mengontrol wilayah sebuah client mana yang dapat mengakses pada sebuah jaringan

Menyaring host-host untuk diperbolehkan atau ditolak mengakses ke sebuah segment jaringan.

ACL dapat digunakan untuk memperbolehkan atau menolak seorang user untuk mengakses jenis-

jenis file seperti FTP atau HTTP.

Terakhir sebagai penutup, jika ACL tidak dikonfigurasi pada router, semua paket-paket yang melewati

router akan diperbolehkan untuk mengakses keseluruhan jaringan. Sudah tentu hal ini membahayakan

jaringan internal apabila terkoneksi dengan jaringan internet.

Create By Rasyadi A XII TKJ 1€¦ · XII TKJ 1 Selamat mencoba & semoga menginspirasikan SMK PGRI 13 SBY Menciptakan ACL ACL diciptakan pada mode global configuration. Ada berbagai

Documents