IBM Cloud Docs
Informationen zu IP-Spoofing-Prüfungen

Informationen zu IP-Spoofing-Prüfungen

IBM Cloud® Virtual Private Cloud beinhaltet eine IP-Spoofing-Prüfung auf jeder Netzwerkschnittstelle einer virtuellen Serviceinstanz, um sicherzustellen, dass der von dieser Netzwerkschnittstelle kommende Datenverkehr eine angemessene Adressierung aufweist.

Die Inaktivierung von IP-Spoofing-Prüfungen bewirkt, dass der Datenverkehr nicht an der jeweiligen Netzschnittstelle beendet wird, sondern die Netzschnittstelle durchläuft. Wenn Sie die Instanz als 'nächsten Hop' verwenden, müssen die Netzschnittstellen der Instanz das IP-Spoofing zulassen. Wenn Sie beispielsweise eine angepasste Lastausgleichsfunktion verwenden, müssen Sie allow_ip_spoofing festlegen, damit die Instanz für den Datenverkehr erreichbar ist.

Der Datenverkehr kann an zwei Punkten bei der Prüfung gelöscht werden:

  • Der eingehende Datenverkehr wird überprüft, um sicherzustellen, dass er an die ausgewählte Netzschnittstelle geleitet wird. Der Datenverkehr wird gelöscht, wenn die zugehörige Zieladresse nicht der ausgewählten Netzschnittstellenadresse entspricht.

  • Der abgehende Datenverkehr wird überprüft, um sicherzustellen, dass der Inhalt von der ausgewählten Netzschnittstellenadresse stammt. Der Datenverkehr von der ausgewählten Netzschnittstelle wird gelöscht, wenn die zugehörige Quellenadresse nicht der ausgewählten Netzschnittstellenadresse entspricht.

caption-side=bottom"
Abbildung mit erfolglosem Verkehrsfluss zu und von einer virtuellen

caption-side=bottom"
Abbildung mit erfolgreichem Verkehrsfluss zu und von einer virtuellen

Nur Operatoren mit den IAM-Berechtigungen (IAM = Identity and Access Management) eines IP-Spoofing-Operators können die IP-Spoofing-Prüfung an den Schnittstellen innerhalb einer VPC aktivieren und inaktivieren. IP-Spoofing-Prüfungen für eingehenden und abgehenden Datenverkehr sind standardmäßig aktiviert.

IP-Spoofing-Prüfungen aktivieren

Nach dem Erstellen einer Virtual Server-Instanz kann ein Netzadministrator mit der im Identitäts- und Zugriffsmanagement (IAM) definierten Rolle IP-Spoofing-Operator die Netzschnittstelle aktualisieren, um die IP-Spoofing-Prüfung zu aktivieren oder zu inaktivieren.

Der IAM IP Spoofing Operator ist standardmäßig für alle Benutzer inaktiviert.

Weitere Informationen zu IAM-Berechtigungen finden Sie unter Verwaltung des IAM-Zugriffs für VPC-Infrastrukturdienste.

Um IP-Spoofing in der Konsole zu aktivieren, gehen Sie wie folgt vor:

  1. Wechseln Sie in der horizontalen Navigationsleiste Ihrer Instanz zu Verwalten > Zugriff (IAM).
  2. Wählen Sie Benutzer im Abschnitt Identitäten verwalten aus und wählen Sie den Benutzer aus, dem Sie die IP-Spoofing-Rolle erteilen möchten.
  3. Klicken Sie auf der Registerkarte Zugriffsrichtlinien auf Zugriff zuweisen.
  4. Wählen Sie die Kachel Zugriffsrichtlinie aus.
  5. Wählen Sie "VPC-Infrastrukturservices" im Abschnitt Service aus.
  6. Wählen Sie "Alle" im Abschnitt Ressourcen aus.
  7. Wählen Sie "IP Spoofing Operator" im Abschnitt Rollen und Aktionen aus.
  8. Klicken Sie auf Hinzufügen.

Führen Sie den folgenden Befehl aus, um IP-Spoofing über die Befehlszeilenschnittstelle zu aktivieren:

ibmcloud iam user-policy-create YOUR_USER_EMAIL_ADDRESS --roles "IP Spoofing Operator" --service-name is

Erläuterungen zu den Risiken

Beim Aktivieren von IP-Spoofing in Ihrer Netzwerkschnittstelle sind die damit einhergehenden potenziellen Sicherheitsrisiken zu berücksichtigen. Personen mit der Rolle IP-Spoofing-Operator haben nicht nur die Berechtigung, virtuelle Netzwerk-Appliances zu aktivieren, sondern können auch eine Instanz so konfigurieren, dass sie Datenverkehr im Namen einer anderen Instanz sendet. Diese Konfiguration erhöht die Wahrscheinlichkeit von Situationen, in denen die Plattform durch die Handlungen eines ungebildeten oder böswilligen Benutzers angegriffen werden könnte.

Seien Sie vorsichtig, wenn Sie Benutzern die Rolle IP-Spoofing-Operator zuweisen.

Alertausgabe für IP-Spoofing-Ereignisse

Wenn IP-Spoofing an einer Netzwerkschnittstelle geändert wird, wird ein Protokoll zur Aktivitätsverfolgung erstellt.

Auditing-Ereignisse, die von VPC-Ressourcen erzeugt werden, werden automatisch an die IBM Cloud Activity Tracker Service-Instanz weitergeleitet, die am selben Standort verfügbar ist. Der Dienst kann die Ereignisse an einen von Ihnen definierten Zielspeicherort weiterleiten. Das Ziel kann ein IBM Cloud Object Storage(COS)Ziel, ein IBM Cloud Logs Ziel oder ein IBM® Event Streams for IBM Cloud® Ziel sein. Weitere Informationen enthält der Abschnitt Einführung in IBM Cloud Activity Tracker Event Routing.

Sie können IBM Cloud Logs verwenden, um Ereignisse [zu visualisieren] und zu [melden], die in Ihrem Konto generiert und von IBM Cloud Activity Tracker Event Routing an eine IBM Cloud Logs Instanz weitergeleitet werden. Informationen zum Zugriff auf die Benutzeroberfläche IBM Cloud Logs finden Sie unter Navigieren zur Benutzeroberfläche in der Dokumentation IBM Cloud Logs.