GNU/Linux >> Belajar Linux >  >> Cent OS

Apa itu ACL dalam Jaringan &Bagaimana Menerapkannya?

Pendahuluan

Daftar kontrol akses (ACL) mengelola hak pengguna untuk mengakses lokasi dan sumber daya sistem. Sementara ACL memiliki aplikasinya dalam komputasi pribadi, mereka lebih sering digunakan dalam lingkungan bisnis.

Dalam jaringan, ACL dianggap sebagai praktik keamanan jaringan standar untuk mengontrol lalu lintas jaringan dan mencegah akses tidak sah ke server basis data, sistem manajemen konten, dll.

Artikel ini akan berfokus pada peran ACL dalam jaringan. Ini akan menjelaskan komponen ACL dan jenis ACL umum dan memberikan saran tentang cara terbaik untuk menerapkan daftar kontrol akses pada jaringan.

Apa itu ACL (Access Control List)?

ACL (Access Control List) adalah seperangkat aturan yang mengizinkan atau menolak akses ke jaringan komputer. Perangkat jaringan, yaitu router dan switch, menerapkan pernyataan ACL ke lalu lintas jaringan masuk (inbound) dan keluar (outbound), sehingga mengontrol lalu lintas mana yang dapat melewati jaringan.

Bagaimana Cara Kerja ACL?

ACL berfungsi sebagai firewall stateless. Sementara firewall stateful memeriksa isi paket jaringan, firewall stateless hanya memeriksa apakah paket mengikuti aturan keamanan yang ditentukan.

ACL adalah tabel yang berisi aturan akses yang ditemukan pada antarmuka jaringan seperti router dan switch. Ketika pengguna membuat ACL pada router atau switch, perangkat menjadi filter lalu lintas.

Seperti yang ditunjukkan diagram di atas, ACL memberi tahu router apakah lalu lintas yang berasal dari pengguna (alamat IP) dapat melewati perangkat atau tidak.

ACL bernomor dan bernama

Saat membuat daftar kontrol akses, pengguna dapat memilih untuk memformatnya sebagai bernomor atau bernama daftar.

Dengan daftar kontrol akses bernomor , setiap daftar memiliki nomor identifikasi:

  • Daftar akses standar menggunakan angka 1-99 dan 1300-1999 .
  • Daftar akses yang diperluas ada di 100-199 dan 2000-2699 rentang.

Daftar kontrol akses bernama lebih disukai daripada daftar bernomor karena nama memungkinkan administrator jaringan untuk memberikan informasi tentang tujuan ACL.

Misalnya, saat menyiapkan ACL yang diperluas yang menyediakan aturan untuk kantor InfoSec di gedung perusahaan, pengguna dapat membuat daftar yang diperluas dengan memasukkan perintah berikut pada prompt perintah dari mode konfigurasi router:

access-list extended 120 [rule1] [rule2] [...]

Sementara daftar bernomor yang dibuat dengan cara ini akan memiliki properti yang sama dengan rekanan namanya, membuat daftar bernama membuat tujuannya lebih jelas:

access-list extended INFOSEC [rule1] [rule2] [...]

Jenis ACL

Ada lima jenis ACL:standar , diperpanjang , dinamis , refleksif , dan berdasarkan waktu .

Bagian berikut menjelaskan setiap jenis ACL.

ACL Standar

Jenis dasar ACL menyaring lalu lintas berdasarkan alamat IP sumber. Ketika sebuah paket mencoba masuk atau keluar dari switch, sistem akan memeriksa data IP-nya terhadap aturan yang ditentukan dalam ACL. Proses pemeriksaan berakhir segera setelah aturan yang mengizinkan alamat IP tertentu ditemukan.

Misalnya, daftar akses nomor 5 berikut mengizinkan host di 192.168.15.0/24 jaringan. 

access-list 5 permit 192.168.15.0 0.0.0.255

Sintaks lengkap untuk membuat ACL standar adalah:

access-list list-number-or-name {permit | deny} {source [source-wildcard] | host hostname | any}

Parameter source-wildcard adalah topeng terbalik. Hitung topeng terbalik dengan mengurangkan 255 dari setiap bidang subnet mask. Pada contoh di atas, 0.0.0.255 adalah topeng kebalikan dari 255.255.255.0 subnetmask.

ACL yang Diperpanjang

Tidak seperti daftar kontrol akses standar, ACL yang diperluas menerima aturan berdasarkan alamat IP sumber dan tujuan. Selanjutnya, aturan ACL yang diperluas dapat mencakup pemfilteran menurut jenis protokol, port TCP atau UDP, dll.

Contoh di bawah menunjukkan daftar akses tambahan nomor 150 yang mengizinkan semua lalu lintas dari 192.168.15.0/24 jaringan ke jaringan IPv4 mana pun jika tujuan memiliki port HTTP 80 sebagai port host:

access-list 150 permit tcp 192.168.15.0 0.0.0.255 any eq www

Sintaks lengkap untuk ACL yang diperluas adalah:

access-list access-list-number-or-name {deny | permit} protocol source source-wildcard destination destination-wildcard precedence [precedence] tos [tos] [fragments] time-range [time-range-name] [log]

ACL Dinamis

ACL dinamis diberi nama daftar diperpanjang yang berisi aturan ACL dinamis. Jenis ACL ini juga dikenal sebagai Lock-and-Key Security.

ACL dinamis mengatasi masalah yang timbul dari perubahan alamat IP host resmi, seperti dalam kasus relokasi fisik mesin tepercaya. Untuk mengkonfirmasi identitas, klien harus memasukkan nama pengguna dan kata sandi mereka. Jika validasi berhasil, perangkat jaringan mengubah aturan aksesnya untuk menerima koneksi dari alamat IP baru.

ACL refleksif

Sementara ACL standar tidak melacak sesi, ACL refleksif dapat membatasi lalu lintas ke sesi yang berasal dari dalam jaringan host.

ACL refleksif tidak dapat diterapkan langsung ke antarmuka - sebagai gantinya, biasanya bersarang dalam daftar akses bernama yang diperluas. Jenis kontrol akses ini tidak mendukung aplikasi yang mengubah nomor port selama sesi, seperti klien FTP.

ACL Berbasis Waktu

Jenis ACL yang diperluas ini memungkinkan kontrol akses berbasis waktu. Misalnya, sebuah organisasi dapat mengizinkan karyawan untuk mengakses lokasi internet tertentu hanya selama jam makan siang.

Aturan berbasis waktu dibuat menggunakan time-range memerintah. Perintah tersebut memungkinkan pengguna untuk mengatur mutlak aturan dengan satu waktu mulai dan berakhir, dan berkala aturan, digunakan untuk mengatur periode berulang.

Komponen ACL

Komponen berikut membentuk daftar kontrol akses:

  • Nomor urut mengidentifikasi entri ACL.
  • Nama memberikan identifikasi deskriptif untuk ACL.
  • Pernyataan adalah bagian utama dari ACL. Dengan menggunakan pernyataan, pengguna mengizinkan atau menolak akses ke alamat IP atau rentang IP.
  • Protokol jaringan komponen mengizinkan atau menolak akses ke protokol jaringan tertentu, seperti IP, TCP, UDP, dll.
  • Sumber atau tujuan komponen mendefinisikan alamat atau rentang IP sumber atau tujuan.

Beberapa router memungkinkan menambahkan lebih banyak komponen ACL, seperti:

  • Log , untuk melacak peristiwa ACL.
  • Keterangan , untuk memberikan ruang bagi komentar tambahan tentang tujuan ACL.

ACL kompleks memiliki komponen untuk kontrol lalu lintas jaringan yang lebih terperinci berdasarkan ToS (jenis layanan) atau prioritas DSCP.

Manfaat ACL

Fungsi utama ACL adalah untuk mengamankan jaringan, tetapi juga berguna untuk aspek lain dari kontrol lalu lintas jaringan:

  • Memblokir pengguna atau lalu lintas tertentu, memungkinkan kontrol akses granular berdasarkan alamat, protokol, jenis lalu lintas, dll. Properti ini sangat berguna untuk server yang terhubung ke internet.
  • Sederhanakan identifikasi pengguna dan host, baik lokal maupun jarak jauh.
  • Bantu penghindaran dan pengelolaan kemacetan.
  • Tingkatkan kinerja jaringan dengan mengontrol bandwidth untuk mencegah lalu lintas jaringan yang berlebihan.
  • Membantu mencegah serangan dan spoofing DoS (Denial of Service).

Cara Menerapkan ACL

Router adalah tempat yang optimal untuk menerapkan aturan ACL, jadi mengetahui arus lalu lintas router sangat penting untuk implementasi ACL yang tepat. Konsep lalu lintas masuk (masuk) dan keluar (keluar) sangat penting untuk memahami lalu lintas jaringan.

Diagram berikut menunjukkan lalu lintas masuk dan keluar yang mengalir masuk dan keluar dari jaringan:

  • Lalu lintas masuk adalah lalu lintas yang mengalir ke router.
  • Lalu lintas keluar adalah lalu lintas yang meninggalkan router.

Misalnya, memblokir semua lalu lintas yang datang dari internet memerlukan pengaturan aturan masuk. Sumber untuk aturan ini adalah 0.0.0.0 , yang merupakan karakter pengganti untuk semua alamat IP eksternal. Tujuannya adalah alamat IP jaringan lokal.

Sebaliknya, memblokir akses internet untuk satu mesin dalam jaringan memerlukan pengaturan aturan keluar, di mana sumbernya adalah alamat IP mesin, dan tujuannya adalah 0.0.0.0 karakter pengganti.

Berikut adalah tips yang perlu dipertimbangkan saat menerapkan ACL:

  • Buat ACL sebelum menerapkannya pada router atau switch. Jika Anda memulai dengan membuat daftar kosong pada perangkat jaringan, pernyataan penolakan implisit yang disertakan secara default dapat mengganggu lalu lintas jaringan Anda.
  • Untuk mencegah ACL menolak semua lalu lintas, pastikan ACL berisi setidaknya satu permit penyataan.
  • Menempatkan aturan yang lebih spesifik sebelum yang umum.
  • Gunakan deny explicit yang eksplisit penyataan. Meskipun setiap ACL diakhiri dengan deny implicit implisit pernyataan, hanya pernyataan eksplisit yang ditampilkan saat Anda mencoba menampilkan jumlah paket yang ditolak menggunakan show access-list perintah.
  • Gunakan remark perintah bila memungkinkan untuk memberikan detail tentang ACL.

Cent OS

  1. Cara mengakses email web di Plesk

  2. Cara Memulai Ulang Jaringan di Ubuntu

  3. Bagaimana Cara Mengakses File Ubuntu 11.04 Di Windows 7??

  1. Apa itu FirewallD Dan Bagaimana Menerapkannya Di Linux

  2. Bagaimana Cara Menginstal Gcc 4.7?

  3. Cara Mengakses phpMyAdmin

  1. Cara Menginstal phpMyAdmin di CentOS 7

  2. Cara Mengakses cPanel

  3. Cara Mengonfigurasi ACL (Access Control Lists) di Sistem File Linux