myACL
Berikut penjelasan lengkap tentang ACL (Access Control List), termasuk penggunaan, contoh topologi, dan best practice:
1. Kapan & Di Mana ACL Digunakan?
ACL digunakan untuk memfilter traffic berdasarkan kriteria tertentu. Aplikasi umumnya:
| Lokasi | Tujuan | Contoh Kasus |
|---|---|---|
| Router Boundary | Mengontrol akses masuk/keluar jaringan | Blokir akses dari internet ke jaringan LAN |
| Interface VLAN | Isolasi traffic antar VLAN | Mencegah HR mengakses jaringan Finance |
| Firewall | Filter traffic layer 3/4 | Izinkan hanya HTTPS (port 443) |
| NAT | Menentukan traffic yang akan di-NAT | NAT hanya untuk subnet tertentu |
| QoS | Mengklasifikasikan traffic untuk prioritasi | Prioritaskan VoIP (port 5060) |
2. Jenis ACL
a. Standard ACL
- Filter berdasarkan source IP saja.
- Cocok untuk blokir traffic kasar.
- Contoh (Cisco):
bash access-list 10 deny 192.168.1.100 0.0.0.0 # Blokir IP spesifik access-list 10 permit any # Izinkan lainnya
b. Extended ACL
- Filter berdasarkan source/destination IP, port, protokol (TCP/UDP/ICMP).
- Lebih presisi.
- Contoh (Cisco):
bash access-list 110 deny tcp 192.168.1.0 0.0.0.255 any eq 22 # Blokir SSH dari subnet access-list 110 permit ip any any # Izinkan lainnya
3. Contoh Topologi & Implementasi ACL
Topologi:
[Internet] ─── [Router] ─── [Switch] ─── [Server: 10.1.1.10]
│
└── [PC User: 192.168.1.0/24]
Kasus:
- Requirement:
- Blokir akses internet dari PC User ke sosial media (Facebook/Twitter).
- Izinkan akses ke server internal (HTTP/HTTPS).
Konfigurasi ACL di Router (Cisco):
! Blokir sosial media
access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq www
access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 443
access-list 101 permit ip any any
! Izinkan akses ke server internal
access-list 102 permit tcp 192.168.1.0 0.0.0.255 host 10.1.1.10 eq 80
access-list 102 permit tcp 192.168.1.0 0.0.0.255 host 10.1.1.10 eq 443
! Terapkan ACL ke interface
interface GigabitEthernet0/1 # Interface ke PC User
ip access-group 101 out # Filter traffic keluar
ip access-group 102 in # Filter traffic masuk
4. Best Practice ACL
Urutan Rules:
ACL dieksekusi secara berurutan. Letakkan rule spesifik di atas, general di bawah.access-list 110 deny tcp host 192.168.1.100 any eq 22 # Blokir SSH dari IP tertentu access-list 110 permit tcp 192.168.1.0 0.0.0.255 any eq 22 # Izinkan SSH dari subnetImplicit Deny:
Setiap ACL memilikideny anydi akhir. Pastikan adapermituntuk traffic yang diizinkan.Named ACL:
Lebih mudah dikelola daripada numbered ACL.ip access-list extended BLOCK_SOCIAL_MEDIA deny tcp 192.168.1.0 0.0.0.255 any eq www deny tcp 192.168.1.0 0.0.0.255 any eq 443 permit ip any anyLogging:
Tambahkanloguntuk memantau traffic yang diblokir:access-list 110 deny tcp any any eq 22 log
5. Batasan ACL
- Tidak Bisa:
- Filter berdasarkan konten (layer 7).
- Enkripsi/decryption traffic.
- Hati-hati:
- Salah konfigurasi bisa memblokir semua traffic.
- ACL tidak stateful (tidak track koneksi seperti firewall).
6. Contoh Lain: ACL untuk Proteksi Server
Kasus:
- Hanya izinkan akses RDP (port 3389) ke server dari admin (
192.168.1.50). - Blokir ping (ICMP) dari luar.
Konfigurasi:
access-list 103 permit tcp host 192.168.1.50 host 10.1.1.20 eq 3389
access-list 103 deny icmp any host 10.1.1.20
access-list 103 permit ip any any
interface GigabitEthernet0/2 # Interface ke server
ip access-group 103 in
7. Tools Verifikasi
- Cisco:
bash show access-lists # Lihat semua ACL show ip interface # Cek ACL yang diterapkan di interface - Monitoring:
Gunakanlogatau syslog server untuk lacak traffic yang diblokir.
ACL adalah pertahanan pertama di jaringan. Untuk kebutuhan kompleks (seperti filter aplikasi), kombinasikan dengan firewall layer 7 atau IPS. 🛠️
Tidak, tidak semua router di dunia memiliki kemampuan ACL. Kemampuan ACL tergantung pada jenis router, kelas perangkat, dan sistem operasi yang berjalan di dalamnya. Berikut penjelasan detailnya:
1. Router yang Mendukung ACL
a. Enterprise/Grade Router
- Contoh: Cisco ISR/ASR, Juniper MX, Huawei AR/NE, MikroTik CCR.
- Fitur ACL:
- Support Standard/Extended ACL (filter IP, port, protokol).
- Bisa pakai named ACL (konfigurasi lebih mudah).
- Contoh (Cisco):
bash access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80
b. Router ISP (Carrier-Grade)
- Contoh: Cisco NCS, Juniper PTX, Nokia 7750.
- Fitur ACL:
- Support ACL skala besar (untuk filter traffic backbone).
- Sering dipakai untuk anti-DDoS atau BGP filtering.
c. Router Prosumer/SMB
- Contoh: Ubiquiti EdgeRouter, MikroTik hEX, TP-Link Omada.
- Fitur ACL:
- Support ACL dasar (filter IP/port).
- GUI-friendly (e.g., di MikroTik:
IP → Firewall → Filter Rules).
2. Router yang Tidak Memiliki ACL
a. Consumer Router Murah
- Contoh: TP-Link Archer, D-Link DIR, Xiaomi Mi Router.
- Keterbatasan:
- Hanya punya firewall sederhana (port forwarding/blokir IP dasar).
- Tidak bisa bikin ACL kompleks (e.g., filter berdasarkan port tujuan).
b. Open-Source Router (Custom OS)
- Contoh: Router dengan DD-WRT/OpenWRT (tanpa fitur ACL tambahan).
- Keterbatasan:
- Butuh konfigurasi manual via
iptables(Linux-based). - Tidak selalu user-friendly.
- Butuh konfigurasi manual via
c. Router IoT/Embedded
- Contoh: Perangkat IoT seperti Raspberry Pi sebagai router.
- Keterbatasan:
- Fungsi routing sangat dasar.
- ACL harus diimplementasikan manual (pakai
nftables/iptables).
3. Bagaimana Mengetahui Router Support ACL?
- Cek Dokumentasi:
- Cari kata kunci: "Access Control List", "Packet Filtering", atau "Firewall Rules".
- CLI/GUI:
- Enterprise router: Cek perintah
show access-lists(Cisco) atausecurity firewall(Juniper). - Consumer router: Cari menu Firewall atau Parental Control.
- Enterprise router: Cek perintah
- Spesifikasi Hardware:
- Router low-end sering tidak punya CPU/RAM cukup untuk handle ACL kompleks.
4. Solusi Jika Router Tidak Support ACL
- Gunakan Firewall Eksternal:
- Contoh: pfSense, OPNsense, atau FortiGate.
- Upgrade Firmware:
- Install DD-WRT/OpenWRT untuk tambah fitur ACL (jika hardware support).
- L3 Switch:
- Switch managed (e.g., Cisco Catalyst) bisa handle ACL untuk traffic lokal.
5. Contoh Topologi Tanpa ACL
[Internet] ─── [Router Murah] ─── [PC]
- Masalah: Router tidak bisa blokir akses ke situs tertentu.
- Solusi: Tambahkan firewall seperti pfSense di antara router dan PC.
6. Daftar Vendor Router + Support ACL
| Vendor | Model | ACL Support? | Tipe ACL |
|---|---|---|---|
| Cisco | Catalyst 9200 | ✅ | Extended, Named ACL |
| MikroTik | hEX PoE | ✅ | Firewall Rules (Mangle) |
| TP-Link | Archer C7 | ❌ | Hanya blokir IP dasar |
| Ubiquiti | EdgeRouter X | ✅ | CLI/GUI ACL |
| Huawei | AR2200 | ✅ | Advanced ACL |
Kesimpulan
- Enterprise router pasti support ACL.
- Router murah/consumer biasanya hanya punya fitur firewall terbatas.
- Jika butuh ACL di router non-enterprise, pertimbangkan firewall eksternal atau upgrade firmware.
Jika Anda punya model router spesifik, saya bisa bantu cek apakah support ACL! 🔍
Berikut penjelasan spesifik untuk ACL (Access Control List) pada Peplink Balance 580 dan 380:
1. Apakah Peplink Balance 580/380 Support ACL?
✅ Ya, tetapi tidak disebut "ACL" secara eksplisit. Fitur filtering-nya tersebar di beberapa menu dengan istilah berbeda:
- Firewall Rules (untuk filter traffic layer 3/4).
- Access Policies (untuk kontrol akses berbasis user/group).
2. Cara Mengimplementasikan "ACL" di Peplink Balance 580/380
a. Filter Traffic dengan Firewall Rules
Lokasi:
Network > Firewall > Firewall Rules
Contoh blokir akses SSH (port 22) dari subnet LAN ke WAN:
1. Klik Add Rule.
2. Isi parameter:
- Action: Deny
- Service: SSH (TCP 22)
- Source: IP Address → Masukkan subnet (e.g., 192.168.1.0/24)
- Destination: Any
3. Simpan dan terapkan.
b. Kontrol Akses dengan Access Policies
Lokasi:
Users > Access Policies
Contoh izinkan hanya grup "Finance" akses ke server accounting:
1. Buat policy baru.
2. Atur:
- User/Group: Pilih Finance
- Destination: Masukkan IP server (e.g., 10.1.1.100)
- Service: Pilih protokol (e.g., HTTP/HTTPS).
3. Fitur Lain yang Mirip ACL
| Menu | Fungsi | Lokasi |
|---|---|---|
| Outbound Policy | Filter traffic keluar berdasarkan protokol/IP | Network > Outbound Policy |
| Port Forwarding | Restrict akses inbound ke server | Network > NAT > Port Forwarding |
| IP Passthrough | Izinkan device tertentu bypass NAT | Network > IP Passthrough |
4. Contoh Kasus + Konfigurasi
Requirement:
- Blokir semua device di VLAN 10 (
192.168.10.0/24) mengakses sosial media (Facebook/Twitter).
Langkah di Peplink:
- Buka
Network > Firewall > Firewall Rules. - Tambahkan rule:
- Action:
Deny - Service: Buat custom service dengan port
80, 443, 5222(port Facebook/Twitter). - Source:
192.168.10.0/24 - Destination:
Any
- Action:
- Letakkan rule di atas rule permit lainnya.
5. Kelebihan dan Kekurangan
| Kelebihan | Kekurangan |
|---|---|
| GUI mudah dipahami | Tidak support wildcard mask seperti Cisco |
| Bisa gabungkan filter + QoS | Tidak ada "named ACL" yang terpusat |
| Support layer 7 (aplikasi) via Deep Packet Inspection | Logging terbatas |
6. Tips Troubleshooting
- Jika rule tidak bekerja:
- Cek urutan rule (Peplink proses rule dari atas ke bawah).
- Verifikasi interface tempat rule diterapkan (WAN/LAN).
- Gunakan Live Tools (
Status > Live Tools) untuk monitor traffic real-time.
7. Dokumentasi Resmi Peplink
Berikut penjelasan rinci tentang ACL berbasis MAC vs. IP, termasuk contoh dan perbandingannya:
1. Perbedaan ACL Berbasis MAC vs. IP
| Aspek | ACL Berbasis MAC | ACL Berbasis IP |
|---|---|---|
| Layer Jaringan | Layer 2 (Data Link) | Layer 3 (Network) |
| Target Filter | Alamat fisik perangkat (contoh: AA:BB:CC:DD:EE:FF) |
Alamat logikal (contoh: 192.168.1.100) |
| Cara Bypass | Sulit (butuh ganti NIC/kloning MAC) | Mudah (ganti IP static atau DHCP release/renew) |
| Implementasi | Switch (biasanya), beberapa router | Router/firewall |
| Contoh Penggunaan | Blokir perangkat tertentu di jaringan lokal | Blokir akses ke situs/web dari subnet tertentu |
2. Contoh ACL Berbasis MAC
a. Kasus:
- Blokir perangkat dengan MAC
AA:BB:CC:DD:EE:FFagar tidak bisa akses internet.
b. Konfigurasi di Switch Cisco:
! Buat MAC ACL
mac access-list extended BLOCK_MAC
deny host AA:BB:CC:DD:EE:FF any
permit any any
! Terapkan ke interface
interface GigabitEthernet1/0/1
mac access-group BLOCK_MAC in
Efek:
- Perangkat dengan MAC tersebut tidak bisa komunikasi sama sekali (TCP/IP diabaikan).
- Jika coba ganti IP, tetap terblokir karena filter di layer 2.
3. Contoh ACL Berbasis IP
a. Kasus:
- Blokir akses SSH (port 22) dari IP
192.168.1.100.
b. Konfigurasi di Router Peplink:
- Buka
Network > Firewall > Firewall Rules. - Tambahkan rule:
- Action:
Deny - Service:
SSH (TCP 22) - Source:
192.168.1.100 - Destination:
Any
- Action:
Efek:
- Jika user ganti IP (misal ke 192.168.1.101), akses SSH bisa kembali normal.
4. Kelebihan & Kekurangan
| Metode | Kelebihan | Kekurangan |
|---|---|---|
| MAC Filtering | - Lebih sulit bypass (butuh ganti hardware) - Efektif untuk keamanan fisik |
- Tidak fleksibel (device legit bisa terblokir jika ganti NIC) - Tidak bisa filter berdasarkan port/protokol |
| IP Filtering | - Bisa filter spesifik (port, protokol) - Mudah dikelola |
- Mudah bypass dengan ganti IP - Tidak efektif jika DHCP tersedia |
5. Solusi Hybrid untuk Keamanan Lebih Kuat
Gabungkan MAC + IP Filtering:
- DHCP Reservation:
- Bind MAC
AA:BB:CC:DD:EE:FFke IP192.168.1.100di server DHCP.
- Bind MAC
- ACL Berbasis IP:
- Blokir IP
192.168.1.100di router.
- Blokir IP
Hasil:
- User tidak bisa bypass hanya dengan ganti IP (karena DHCP selalu assign IP yang sama ke MAC tersebut).
- Tetap bisa manfaatkan filter layer 3 (port, protokol).
6. Best Practice
- Untuk Keamanan Kritis:
- Gunakan MAC filtering + 802.1X authentication (jika switch support).
- Untuk Fleksibilitas:
- Gunakan IP filtering + Monitor DHCP lease (lacak perubahan IP mencurigakan).
- Di Peplink:
- Manfaatkan Access Policies + User Authentication untuk kontrol granular.
7. Contoh Bypass dan Pencegahannya
Kasus: User ganti IP untuk bypass ACL.
- Cara Bypass:
- Jika pakai DHCP:
ipconfig /release→ipconfig /renew. - Jika static: Ganti manual ke IP lain.
- Jika pakai DHCP:
- Pencegahan:
- Aktifkan DHCP Snooping di switch.
- Gunakan Port Security untuk limit MAC per port.
8. Referensi
- MAC ACL di Cisco
-
🛠️ Berikut penjelasan lengkap tentang DHCP Snooping, termasuk konsep, cara kerja, dan implementasinya:
1. Pengertian DHCP Snooping
DHCP Snooping adalah fitur keamanan pada switch layer 2 yang bertujuan: - Mencegah serangan DHCP spoofing (rogue DHCP server). - Membuat binding table yang mencatat alamat IP + MAC + Port yang valid. - Memfilter pesan DHCP yang tidak sah dalam jaringan.
2. Mengapa DHCP Snooping Dibutuhkan?
Contoh Serangan yang Diblokir:
Rogue DHCP Server:
Hacker menyisipkan server DHCP palsu yang memberikan IP dengan gateway berbahaya (misal: untuk MITM attack).[PC] -- [Switch] -- [DHCP Server Resmi] └-- [DHCP Server Palsu] ← DHCP Snooping akan memblokir ini!DHCP Starvation Attack:
Penyerang membanjiri jaringan dengan request DHCP palsu hingga pool IP habis.
3. Cara Kerja DHCP Snooping
a. Membangun DHCP Binding Table
Switch akan: 1. Mencatat informasi dari transaksi DHCP yang valid: - MAC address client. - IP yang diberikan. - Lease time. - Port switch tempat client terhubung.
Contoh binding table:
| MAC Address | IP Address | Port | VLAN | Lease Time |
|---|---|---|---|---|
| AA:BB:CC:DD:EE:FF | 192.168.1.100 | Gi1/0/1 | 10 | 86400 detik |
b. Klasifikasi Port
Trusted Port:
Port yang terhubung ke DHCP server resmi (boleh menerima pesan DHCP Offer/Ack).interface GigabitEthernet1/0/24 ip dhcp snooping trustUntrusted Port:
Port yang terhubung ke client (hanya boleh mengirim DHCP Discover/Request).
Jika menerima DHCP Offer dari port ini, akan diblokir.
c. Memfilter Traffic
- Switch akan memeriksa pesan DHCP yang masuk:
- Jika pesan DHCP Offer datang dari untrusted port, langsung di-drop.
- Jika IP atau MAC tidak sesuai binding table, traffic di-blokir.
4. Konfigurasi DHCP Snooping (Contoh: Cisco Switch)
! Aktifkan DHCP Snooping secara global
ip dhcp snooping
! Aktifkan per VLAN
ip dhcp snooping vlan 10,20
! Set port ke trusted (DHCP server)
interface Gig1/0/24
ip dhcp snooping trust
! Verifikasi
show ip dhcp snooping binding
show ip dhcp snooping
5. Manfaat DHCP Snooping
| Manfaat | Penjelasan |
|---|---|
| Blokir Rogue Server | Hacker tidak bisa menyebarkan IP palsu. |
| Deteksi Serangan | Logging mencakup percobaan akses ilegal. |
| Integrasi dengan DAI | Binding table bisa dipakai untuk Dynamic ARP Inspection (anti-ARP spoofing). |
| Stabilitas Jaringan | Mencegah konflik IP dan exhaustion. |
6. Batasan DHCP Snooping
- Tidak Bisa:
- Mencegah serangan di jaringan yang sudah terkompromi (misal: jika hacker bisa akses port trusted).
- Memfilter traffic non-DHCP (butuh tambahan fitur seperti IP Source Guard).
- Harus Manual:
Port ke DHCP server harus dikonfigurasi sebagai trusted secara manual.
7. Contoh Kasus Nyata
Topologi:
[PC Client] -- [Switch] -- [DHCP Server Resmi]
└-- [Laptop Hacker] ← Mencoba jadi DHCP server palsu
Hasil dengan DHCP Snooping:
- Laptop hacker tidak bisa memberikan IP ke PC client.
- Switch akan memblokir semua DHCP Offer dari port laptop hacker.
- Binding table hanya mencatat IP dari DHCP server resmi.
8. Troubleshooting
Problem: Client tidak dapat IP.
Solusi:- Cek apakah port DHCP server sudah di-set trusted.
- Verifikasi dengan:
bash show ip dhcp snooping show ip dhcp snooping binding
Problem: Binding table kosong.
Solusi:
Pastikan DHCP Snooping sudah diaktifkan di VLAN yang benar.
9. Referensi
DHCP Snooping adalah pertahanan pertama untuk keamanan jaringan berbasis DHCP. 🛠️