terk luster e
TRANSCRIPT
TUGAS SISTEM TERDISTRIBUSINAMA : AZHAR HIDAYATNOBP : 0510115261595
Access Control Lists (ACLs)
ACL sederhananya digunakan untuk mengijinkan atau tidak paket dari host
menuju ke tujuan tertentu. ACL terdiri atas aturan-aturan dan kondisi yang menentukan
trafik jaringan dan menentukan proses di router apakah nantinya paket akan dilewatkan
atau tidak. Modul ini akan menerangkan standard an extended ACL, penempatan ACL
dan beberapa aplikasi dari penggunaan ACL.
Setelah melalui modul ini diharapkan mahasiswa mampu:
- Menggambarkan perbedaan anatar standard an extended ACL
- Menjelaskan aturan-aturan untuk penempatan ACL
- Membuat dan mengaplikasikan ACL
- Menggambarkan fungsi dari firewall
- Menggunakan ACL untuk mem-blok akses virtual terminal
1. Dasar ACL
1. Pendahuluan
ACL adalah daftar kondisi yang digunakan untuk mengetes trfaik jaringan yang
mencoba melewati interface router. Daftar ini memberitahu router paket-paket mana yang
akan diterima atau ditolak. Penerimaan dan penolakan berdasarkan kondisi tertentu.
Gambar 1.1 ACL
Untuk mem-filter trafik jaringa, ACL menentukan jika paket itu dilewatkan atau
diblok pada interface router. Router ACL membuat keputusan berdasarkan alamat asal,
alamat tujuan, protokol, dan nomor port.
ACL harus didefinisikan berdasarkan protokol, arah atau port. Untuk mengontrol
aliran trafik pada interface, ACL harus didefinisikan setiap protokol pada interface. ACL
kontrol trafik pada satu arah dalam interface. Dua ACL terpisah harus dibuat untuk
mengontrol trafik inbound dan outbound. Setiap interface boleh memiliki banyak
protokol dan arah yang sudah didefinisikan. Jika router mempunyai dua interface diberi
IP, AppleTalkdan IPX, maka dibutuhkan 12 ACL. Minimal harus ada satu ACL setiap
interface.
Gambar 1.2 Cisco ACL memeriksa paket pada header upper-layer
Gambar 1.3 Grup access list dalam Router
Berikut ini adalah fungsi dari ACL:
- Membatasi trafik jaringan dan meningkatkan unjuk kerja jaringan. Misalnya,
ACL memblok trafik video, sehingga dapat menurunkan beban jaringan dan
meningkatkan unjuk kerja jaringan.
- Mengatur aliran trafik. ACL mampu memblok update routing. Jika update tidak
dibutuhkan karena kondisi jaringan, maka bandwidth dapat dihemat.
- Mampu membrikan dasar keamanan untuk akses ke jaringan. Misalnya, host A
tidak diijinkan akses ke jaringan HRD dan host B diijinkan.
- Memutuskan jenis trafik mana yang akan dilewatkan atau diblok melalui interface
router. Misalnya, trafik email dilayani, trafik telnet diblok.
- Mengontrol daerah-daerah dimana klien dapat mengakses jaringan.
- Memilih host-hots yang diijinkan atau diblok akses ke segmen jaringan. Misal,
ACL mengijinkan atau memblok FTP atau HTTP.
2.Cara kerja ACL
Gambar 1.4 Cara kerja ACL
Keputusan dibuat berdasarkan pernyataan/statement cocok dalam daftar akses dan
kemudian menerima atau menolak sesuai apa yang didefinisikan di daftar pernyataan.
Perintah dalam pernyataan ACL adalah sangat penting, kalau ditemukan pernyataan yang
cocok dengan daftar akses, maka router akan melakukan perintah menerima atau menolak
akses.
Pada saat frame masuk ke interface, router memeriksa apakah alamat layer 2
cocok atau apakah frame broadcast. Jika alamat frame diterima, maka informasi frame
ditandai dan router memeriksa ACL pada interface inbound. Jika ada ACL, paket
diperiksa lagi sesuai dengan daftar akses. Jika paket cocok dengan pernyataan, paket akan
diterima atau ditolak. Jika paket diterima di interface, ia akan diperiksa sesuai dengan
table routing untuk menentukan interface tujuan dan di-switch ke interface itu.
Selanjutnya router memriksa apakah interface tujuan mempunyai ACL. Jika ya, paket
diperiksa sesuai dengan daftar akses. Jika paket cocok dengan daftar akses, ia akan
diterima atau ditolak. Tapi jika tidak ada ACL paket diterima dan paket dienkapsulasi di
layer 2 dan di-forward keluar interface device berikutnya.
3. Membuat ACL
Ada dua tahap untuk membuat ACL. Tahap pertama masuk ke mode global
config kemudian memberikan perintah access-list dan diikuti dengan parameter-
parameter. Tahap kedua adalah menentukan ACL ke interface yang ditentukan.
Dalam TCP/IP, ACL diberikan ke satu atau lebih interface dan dapat memfilter
trafik yang masuk atau trafik yang keluar dengan menggunakan perintah ip access-group
pada mode configuration interface. Perintah access-group dikeluarkan harus jelas dalam
interface masuk atau keluar. Dan untuk membatalkan perintah cukup diberikan perintah
no access-list list-number.
Aturan-aturan yang digunakan untuk membuat access list:
- Harus memiliki satu access list per protokol per arah.
- Standar access list harus diaplikasikan ke tujuan terdekat.
- Extended access list harus harus diaplikasikan ke asal terdekat.
- Inbound dan outbound interface harus dilihat dari port arah masuk router.
- Pernyataan akses diproses secara sequencial dari atas ke bawah sampai ada yang
cocok. Jika tidak ada yang cocok maka paket ditolak dan dibuang.
- Terdapat pernyataan deny any pada akhir access list. Dan tidak kelihatan di
konfigurasi.
- Access list yang dimasukkan harus difilter dengan urutan spesifik ke umum. Host
tertentu harus ditolak dulu dan grup atau umum kemudian.
- Kondisi cocok dijalankan dulu. Diijinkan atau ditolak dijalankan jika ada
pernyataan yang cocok.
- Tidak pernah bekerja dengan access list yang dalam kondisi aktif.
- Teks editor harus digunakan untuk membuat komentar.
- Baris baru selalu ditambahkan di akhir access list. Perintah no access-list x akan
menghapus semua daftar.
- Access list berupa IP akan dikirim sebagai pesan ICMP host unreachable ke
pengirim dan akan dibuang.
- Access list harus dihapus dengan hati-hati. Beberapa versi IOS akan
mengaplikasikan default deny any ke interface dan semua trafik akan berhenti.
- Outbound filter tidak akan mempengaruhi trafik yang asli berasal dari router local.
Gambar 1.5 protokol dengan ACL berdasar nomor
4 Fungsi dari wildcard mask
Wildcard mask panjangnya 32-bit yang dibagi menjadi empat octet. Wildcard
mask adalah pasangan IP address. Angka 1 dan 0 pada mask digunakan untuk
mengidentifikasikan bit-bit IP address. Wildcard mask mewakili proses yang cocok
dengan ACL mask-bit. Wildcard mask tidak ada hubungannya dengan subnet mask.
Wildcard mask dan subnet mask dibedakan oleh dua hal. Subnet mask
menggunakan biner 1 dan 0 untuk mengidentifikasi jaringan, subnet dan host. Wildcard
mask menggunakan biner 1 atau 0 untuk memfilter IP address individual atau grup untuk
diijinkan atau ditolak akses. Persamaannya hanya satu dua-duanya sama-sama 32-bit.
Gambar 1.7 any dan host Option
Ada dua kata kunci di sini yaitu any dan host. Any berarti mengganti 0.0.0.0
untuk IP address dan 255.255.255.255 untuk wildcard mask. Host berarti mengganti
0.0.0.0 untuk mask. Mask ini membutuhkan semua bit dari alamat ACL dan alamat paket
yang cocok. Opsi ini akan cocok hanya untuk satu alamat saja.
5 .Verifikasi ACL
Untuk menampilkan informasi interface IP dan apakah terdapat ACL di interface
itu gunakan perintah show ip interface. Perintah show access-lists untuk menampilkan
isi dari ACL dalam router. Sedangkan perintah show running-config untuk melihat
konfigurasi access list.
Gambar 1.8 standar ACL
Gambar 1.9 pernyataan standar ACL
2. Access Control Lists Standar access-list digunakan untuk mendefinisikan standar ACL dengan nomor antara 1 sampai 99 (dan juga antara 1300 sampai 1999 pada IOS yang baru).
Gambar 2.1 Pernyataan standar ACL
Untuk Cisco IOS Software Release 12.0.1, standar ACL dimulai dengan 1300
sampai 1999 untuk menyediakan kemungkinan ACL 798. Pada gambar di atas ACL
pertama, menunjukkan tidak ada wildcard mask. Dan default mask 0.0.0.0 diguanakan.
Sintak lengkap perintah ACL adalah:
Router(config)#access-list access-list-number deny permit
remark source [source-wildcard] [log]
Kata kunci remark membuat access list lebih muda untuk dimengerti. Setiap
remark dibatasi sampai 100 karakter. Sebagai contoh:
Router(config)#access-list 1 permit 172.69.2.88
Lebih mudah lagi dengan entri yang lebih spesifik:
Router(config)#access-list 1 remark Permit only Jones
workstation through access-list 1 permit 171.69.2.88
Perintah no untuk menghapus ACL:
Router(config)#no access-list access-list-number
Perintah ip access-group ACL dihubungkan dengan interface:
Router(config-if)#ip access-group {access-list-number |
access-list-name} {in | out}
Penggunaan ACL mempunyai beberapa kesulitan. Pada banyak organisasi
pemerintah maupun industri, setiap end user tidak ‘memiliki’ setiap informasi yang
mereka akses. Informasi itu dimiliki oleh organisasi atau perusahaan.
Dari pandangan manajemen otorisasi, setiap web server dianggap sebagai ‘stand
alone device’. Web server mempunyai manajemen yang berdiri sendiri tanpa adanya
koordinasi antar web server pada satu network. Manajemen server pada kelas perusahaan
yang cukup besar tidak akan mencukupi jika dilakukan dengan ACL stand alone. Karena
alasan inilah maka organisasi tidak ingin menampilkan informasi yang sensitif pada web
server. Hal ini akan berpengaruh pada peningkatan kinerja perusahaan.
Role-Based Access Control
Mandatory access Control (MAC) sering digunakan pada dunia militer. MAC
adalah suatu teknik pembatasan akses terhadap suatu obyek dengan mendefinsikan
berbagai tingkatan sekuriti. Dengan adanya tingkatan sekuriti tersebut maka dapat dibuat
suatu aturan dalam mengakses suatu obyek. Tingkatan dari hak akses ditandai dengan
label seperti TOP SECRET, SECRET, dan CONFIDENTIAL.
RBAC adalah bentuk dari Mandatory Access Control, akan tetapi RBAC tidak
berdasarkan pada multilevel security, akan tetapi hak akses kontrol berdasakan dari role
dari setiap individu yang merupakan bagian dari sebuah organisasi. Policy dari setiap
organisasi menentukan keanggotaan role dan alokasi dari hak setiap role. Tidak seperti
DAC, pada RBAC user tidak dapat mendelegasikan hal akses pada user lainnya.
Keuntungan dari RBAC
Keuntungan utama dari RBAC adalah fleksibilitas dan manajemen yang relatif
mudah. Fleksibilitas memungkinkan administrator dapat membuat privilege yang
seminimal mungkin untuk setiap user, menghindari konflik dari tugas antar user,
pemisahan tugas secara dinamis maupun statis. Administrator dengan mudah dah
mendaftarkan atau menolak seorang user kedalam sebuah role berdasarkan dari tanggung
jawab dan tugasnya. Pada organisasi yang besar RBAC dapat membuat tugas
administratif menjadi tersebar(decentralised). Hal ini tentu merupakan gambaran dari
struktrur dari sebuah organisasi[4]
Konsep RBAC dapat digambarkan seperti pada gambar 1. Ada beberapa definIsi
yang perlu diketahui sebelum pembahasan tentang konsep RBAC lebih lanjut. Definisi
itu adalah
1. Role (ROLES)
2. User (USERS)
3. Permission (PRMS)
4. Object (OBS)
5. Operation (OPS)
6. Sessions (SESSIONS)
Kesimpulan
- ACL adalah daftar urutan pernyataan penerimaan atau penolakan yang dijalankan
untuk pengalamatan atau protokol layer atas
- Penempatan dan urutan pernyataan ACL adalah hal yang sangat penting untuk unjuk
kerja jaringan
- Standar ACL digunakan untuk memeriksa alamat asal dari paket yang akan
dirutekan
- Sedangkan extended ACL digunakan lebih spesifik daripada standar ACL yang
menyediakan lebih banyak parameter dan argumen
Sistem Terkluster
Seiring dengan perkembangan teknologi komputer dan server, muncullah trend
DDP (distributed data processing), yaitu prosesor, data, dan aspek-aspek lainnya bisa
tersebar dalam lingkup tertentu. Sistem seperti ini melibatkan adanya pembagian proses
komputasi, pengendali, dan interaksi dalam jaringan. Dalam perusahaan-perushaan besar
misalnya, sering digunakan kombinasi antara komputer dan server. Komputer untuk
menjalankan aplikasi-aplikasi seperti pengolah grafis, word processing, spreadsheet,
sementara server sebagai back-end mengendalikan database dan sistem informasi
perusahaan.
Hal seperti ini adalah dampak dari perkembangan sistem terdistribusi. Tetapi,
apakah sistem terdistribusi itu? Sistem terdistribusi adalah koleksi prosesor yang
terhubung dalam jaringan serta tidak berbagi memori, yaitu memiliki memori masing-
masing. Prosesor-prosesor itu bisa berkomunikasi melalui banyak cara, misalnya melalui
jalur telepon atau high speed bus.
Keuntungan:
a. Resource sharing . Suatu komputer bisa mengakses sumber daya yang ada di
komputer lain. Misalkan, komputer A bisa mengakses database yang ada di
komputer B. Sebaliknya, komputer B bisa mencetak dokumen dengan
menggunakan printer yang terpasang di komputer A.
b. Computation speedup . Jika suatu proses komputasi bisa dipecah-pecah menjadi
sejumlah bagian yang berjalan secara konkuren, dalam sistem terdistribusi bagian-
bagian komputasi ini bisa terbagi dalam komputer-komputer yang ada. Inilah
yang menimbulkan adanya speedup. Lebih jauh lagi, bisa terjadi load sharing,
yaitu jika suatu komputer mengerjakan tugas terlalu banyak, sebagian dari
tugasnya itu bisa dialihkan ke komputer lain.
c. Reliability . Jika satu komputer mengalami kegagalan, maka secara keseluruhan
sistem masih tetap dapat berjalan. Contoh: jika sistem terdiri atas komputer-
komputer yang tersusun secara independen, kegagalan salah satu komputer
seharusnya tidak mempengaruhi keseluruhan sistem. Tapi jika sistem terdiri atas
komputer-komputer yang mengatur tugas spesifik seperti terminal I/O atau
filesystem, maka kerusakan satu komputer saja bisa menyebabkan keseluruhan
sistem mati. Tentunya, perlu mekanisme untuk mendeteksi kegagalan seperti ini,
sehingga jika ada komputer yang rusak, sumber daya yang ada padanya tidak
digunakan dan sebagai gantinya komputer yang lain bisa menangani itu.
d. Communication . Karena satu komputer terhubung dengan komputer-komputer
laiinya, sangat dimungkinkan terjadi pertukaran informasi. Dengan adanya
message passing, fungsi fungsi yang ada di suatu komputer misal file transfer,
login, web browsing, bisa diperluas dalam sistem terdistribusi. Ini menyebabkan
fungsi-fungsi ini bisa diakses secara jarak jauh. Misalnya, sejumlah orang yang
terlibat dalam satu proyek, walaupun terpisah secara geografis, tetap bisa
berkolaborasi dalam proyek itu. Dalam dunia industri, terjadi downsizing.
Downsizing adalah mengganti mainframe dengan komputer atau workstation
yang terhubung via jaringan. Dengan itu, mereka bisa mendapatkan fungsionalitas
yang sesuai dengan biaya, kemudahan mengatur sumber daya, kemudahan
maintenance/perawatan, dan lain-lain.
Gambar Sistem Terdistribusi dan Terkluster
Disamping memiliki beberapa keuntungan, sistem terdistribusi juga memiliki beberapa
kelemahan, misalnya:
Jika tidak direncanakan dengan tepat, sistem terdistribusi bisa menurunkan proses
komputasi, misalnya jika kegagalan salah satu komputer mempengaruhi
komputer-komputer yang lain.
Troubleshooting menjadi lebih rumit, karena bisa memerlukan koneksi ke
komputer lain yang terhubung secara remote, atau menganalisis komunikasi antar
komputer.
Tidak semua proses komputasi cocok untuk dilakukan dalam sistem terdistribusi,
karena besarnya keperluan komunikasi dan sinkronisasi antar komputer. Jika
bandwith, latency, atau kebutuhan komunikasi terlalu besar, maka performanya
bisa menjadi lebih jelek daripada sistem yang tidak terdistribusi sama sekali.
Karena itu, lebih baik komputasi dilakukan di sistem yang tidak terdistribusi.
Salah satu topik yang sedang hangat dibicarakan dalam dunia komputer adalah sistem
terkluster. Sistem terkluster menjadi alternatif SMP untuk memperoleh performa dan
ketersediaan yang tinggi. Saat ini, sistem terkluster populer untuk aplikasi-aplikasi server.
Sistem terkluster pada dasarnya adalah sekumpulan komputer independen (bisa berjalan
sendiri) yang terhubung satu sama lain untuk menyatukan sumber daya yang ada
sehingga seolah-olah menjadi satu komputer saja.
Keuntungan:
a. Absolute scalability . Adalah mungkin untuk menciptakan sistem terkluster yang
jauh lebih powerful daripada satu komputer standalone yang terbesar sekalipun.
Satu kluster bisa terdiri atas puluhan, bahkan ratusan komputer, dan masing-
masing adalah multiprosesor.
b. Incremental scalability . Kluster diatur sedemikian rupa sehingga bisa dupgrade
sedikit demi sedikit sesuai dengan kebutuhan, tanpa harus mengupgrade
keseluruhan sistem sekaligus secara besar-besaran.
c. High availability . Karena setiap komputer yang tergabung adalah standalone
(mandiri), maka kegagalan salah satu komputer tidak menyebabkan kegagalan
sistem.
d. Superior price/performance . Dengan konfigurasi yang tepat, dimungkinkan
untuk membangun sistem yang jauh lebih powerful atau sama dengan komputer
standalone, dengan biaya yang lebih rendah
Melaksanakan komputasi secara terdistribusi diantara beberapa prosesor. Hanya saja
komputasinya bersifat loosely coupled system yaitu setiap prosesor mempunyai local
memory sendiri. Komunikasi terjadi melalui bus atau jalur telepon.
Keuntungannya hampir sama dengan multiprocessor, yaitu adanya pembagian sumber
daya dan komputasi lebih cepat. Namun, pada distributed system juga terdapat
keuntungan lain, yaitu memungkinkan komunikasi antar komputer.
Terdiri atas dua model yaitu Client-Server Systems di mana hampir seluruh proses
dilakukan terpusat di server berdasarkan permintaan client. Model ini masih dibagi dua
jenis lagi yaitu compute server system di mana server menyediakan sarana komputasi dan
file server system di mana server menyediakan tempat penyimpanan data. Model yang
lain ialah Peer-to-peer System (P2P) beberapa komputer saling bertukar data.
Sistem operasi tersebut diatas, ialah NetOS/Distributed OS.
Contoh penerapan Distributed System: Small Area Network (SAN), Local Area Network
(LAN), Metropolitan Area Network (MAN), Online Service (OL)/Outernet, Wide Area
Network (WAN)/Internet.
Gambar Distributed System
Secara umum, sistem kluster ialah gabungan dari beberapa sistem individual
(komputer) yang dikumpulkan pada suatu lokasi, saling berbagi tempat penyimpanan
data (storage), dan saling terhubung dalam jaringan lokal (Local Area Network).
Sistem kluster memiliki persamaan dengan sistem paralel dalam hal
menggabungkan beberapa CPU untuk meningkatkan kinerja komputasi. Jika salah satu
mesin mengalami masalah dalam menjalankan tugas maka mesin lain dapat mengambil
alih pelaksanaan tugas itu. Dengan demikian, sistem akan lebih andal dan fault tolerant
dalam melakukan komputasi.
Dalam hal jaringan, sistem kluster mirip dengan sistem terdistribusi (distributed
system). Bedanya, jika jaringan pada sistem terdistribusi melingkupi komputer-komputer
yang lokasinya tersebar maka jaringan pada sistem kluster menghubungkan banyak
komputer yang dikumpulkan dalam satu tempat.
Dalam ruang lingkup jaringan lokal, sistem kluster memiliki beberapa model
dalam pelaksanaannya: asimetris dan simetris. Kedua model ini berbeda dalam hal
pengawasan mesin yang sedang bekerja.
Pengawasan dalam model asimetris menempatkan suatu mesin yang tidak
melakukan kegiatan apapun selain bersiap-siaga mengawasi mesin yang bekerja. Jika
mesin itu mengalami masalah maka pengawas akan segera mengambil alih tugasnya.
Mesin yang khusus bertindak pengawas ini tidak diterapkan dalam model simetris.
Sebagai gantinya, mesin-mesin yang melakukan komputasi saling mengawasi keadaan
mereka. Mesin lain akan mengambil alih tugas mesin yang sedang mengalami masalah.
Jika dilihat dari segi efisiensi penggunaan mesin, model simetris lebih unggul
daripada model asimetris. Hal ini disebabkan terdapat mesin yang tidak melakukan
kegiatan apapun selain mengawasi mesin lain pada model asimetris. Mesin yang
'menganggur' ini dimanfaatkan untuk melakukan komputasi pada model simetris. Inilah
yang membuat model simetris lebih efisien.
Isu yang menarik tentang sistem kluster ialah bagaimana mengatur mesin-mesin
penyusun sistem dalam berbagi tempat penyimpanan data (storage). Untuk saat ini,
biasanya sistem kluster hanya terdiri dari 2 hingga 4 mesin berhubung kerumitan dalam
mengatur akses mesin-mesin ini ke tempat penyimpanan data.
Isu di atas juga berkembang menjadi bagaimana menerapkan sistem kluster secara
paralel atau dalam jaringan yang lebih luas (Wide Area Network). Hal penting yang
berkaitan dengan penerapan sistem kluster secara paralel ialah kemampuan mesin-mesin
penyusun sistem untuk mengakses data di storage secara serentak. Berbagai
software khusus dikembangkan untuk mendukung kemampuan itu karena kebanyakan
sistem operasi tidak menyediakan fasilitas yang memadai. Salah satu contoh perangkat-
lunak-nya-nya ialah Oracle Parallel Server yang khusus didesain untuk sistem kluster
paralel.
Seiring dengan perkembangan pesat teknologi kluster, sistim kluster diharapkan
tidak lagi terbatas pada sekumpulan mesin pada satu lokasi yang terhubung dalam
jaringan lokal. Riset dan penelitian sedang dilakukan agar pada suatu saat sistem kluster
dapat melingkupi berbagai mesin yang tersebar di seluruh belahan dunia.
Sistem terdistribusi merupakan kebalikan dari Sistem Operasi Prosesor Jamak.
Pada sistem tersebut, setiap prosesor memiliki memori lokal tersendiri. Kumpulan
prosesornya saling berinteraksi melalui saluran komunikasi seperti LAN dan WAN
menggunakan protokol standar seperti TCP/IP. Karena saling berkomunikasi, kumpulan
prosesor tersebut mampu saling berbagi beban kerja, data, serta sumber daya lainnya.
Namun, keduanya berbagi keunggulan yang serupa seperti dibahas sebelum ini.
Model Sistem Terkluster
Asimetris
Pengawasan dalam model asimetris menempatkan suatu mesin yang tidak
melakukan kegiatan apapun selainbersiapsiaga mengawasi mesin yang bekerja. Jika
mesinitu mengalami masalah maka pengawas akan segera mengambil alih tugasnya.
Simetris
Mesin yang khusus bertindak pengawas ini tidak diterapkan dalam model
simetris. Sebagai gantinya,mesin mesin yang melakukan komputasi keadaan mereka.
Mesin lain akan mengambil