CISCO barang yang satu ini udah ngga asing lagi bagi pecinta IT. salah satu fasilitas CISCO ini adalah Access Control List (ACL). acl dapat di konfigure oleh Administrator, dimana paket yang masuk dalam internal network dapat dibatasi oleh ACL ini.
ACL bisa juga sebagai filter semua paket-paket yang masuk, Routing Filter, Traffic Shapping, Trafic Analisis, dan tentunya security jaringan.
bagaimana ACL bekerja ?
sebenarnya cara kerjanya cukup sederhana, acl melihat semua paket di network dan membuat “langkah yang dilakukan” yang sudah di tentukan rule acl itu sendiri. apakah packet itu di DROP atau di FORWARD acl yang anda bikin dapat melaksanakan itu semua.
pada jaman sekarang banyak artikel maupun tutorial tentang berbagai macam Network Attacking seperti Denial Of Service (DoS). serangan DoS (seperti SMURF atau SYN Attack) membutuhkan target yang dituju. pelaku serangan ini adalah mereka mempunyai talenta yang baik dalam bidang networking.
dan apabila serangan ini sudah di lancarkan, sangat susah untuk memblokirnya. di internet banyak sekali literatul tentang hal ini. semua orang bisa mendownload script tersebut dan menjalan serangan DoS ke network tujuan.
anda jangan berpikir bahwa ACL sebagai jalan/dapat memberhentikan serangan DoS. sebenarnya tidak, sebenarnya dengan ACL anda bisa mengidentifikasi type paket apa saja yang akan masuk ke network anda, bukan menutup serangan ini. biasanya upstream tidak bisa memblok serangan dari “source” serangan, tetapi yang biasa dilakukan adalah menutup “destenation” yang di tuju.
Sebelum saya jelaskan contoh ACL, ada sebaiknya kita harus tau syntax acl sendiri.
access-list list {permit|deny} protocol source source-mask
destination destination-mask [operator operand] [established]
ok sekarang kita belajar …. pertama allow semua packet yang masuk.
access-list 199 permit icmp any any echo
access-list 199 permit icmp any any echo-reply
access-list 199 permit udp any any eq echo
access-list 199 permit udp any eq echo any
access-list 199 permit tcp any any established
access-list 199 permit tcp any any
access-list 199 permit ip any any
nah, jika anda menggunakan cisco up dan down sekaligus maka anda bisa masukan command ini :
interface serial 0
ip access-group 199 in
jika anda menggunakan cisco hanya sebagai upstream only maka commandnya adalah
interface serial 0
ip access-group 199 out
cek apakah acl yang anda buat dapat membaca paket yang masuk/keluar
show access list
show access list 199
hasilnya secara garis besar adalah sebagai berikut :
access-list 199 permit icmp any any echo (18 matches)
access-list 199 permit icmp any any echo-reply (88322 matches)
access-list 199 permit udp any any eq echo
access-list 199 permit udp any eq echo any
access-list 199 permit tcp any any established (2131 matches)
access-list 199 permit tcp any any (89 matches)
access-list 199 permit ip any any (131 matches)
untuk mengidentifikasi serangan SMURF
access-list 199 deny icmp any any echo-reply log-input
dengan adanya log dari perintah diatas, maka anda dapat melihat aktivitas network anda. anda bisa mengidentifikasi dan mengkontak admin bersangkutan tentang akvitas ICMP yang masuk ke network anda.
anda juga bisa memberhentikan paket icmp tersebut
access-list 198 deny ICMP 192.168.0.0 0.0.255.255 any
interface serial 0
access-group 198 in
(192 = ip clien anda)
apabila anda liat masih melakukan aktivitas yang sama dengan menggunakan ip network yang lain maka anda bisa mengetikan
no ip directed broadcast
Freaggle, tipe serangan ini sama dengan smurf dengan menggunakan UDP dan merequest ICMP.
access-list 198 deny udp 192.168.0.0 0.0.255.255 eq
echo any
interface serial 0
access-group 198 in
anda juga bisa memblok ip addres menggunakan ACL
ip access-group 101 in
access-list 101 deny ip 192.168.0.100 0.0.0.255 any
access-list 101 permit ip any any
juga bisa memblok berdasarkan port misalnya port 23 dimana port tersebut adalah service telnet.
access-list 101 permit any any eq 23
interface serial 0
access-group 101 out
atau
access-list 101 deny any any eq 23
maka semua trafik dengan port 23 akan di drop otomatis oleh cisco.