Informazioni sui controlli di spoofing IP

IBM Cloud® Virtual Private Cloud include un controllo dello spoofing IP su ogni interfaccia di rete di un'istanza di servizio virtuale o di un server bare metal per garantire che tutto il traffico in uscita utilizzi un indirizzo IP di origine appropriato.

Il controllo dello spoofing IP viene applicato ai pacchetti di rete in uscita da un'istanza di server virtuale o da un server bare metal. Il controllo verifica che l'IP di origine in questi pacchetti corrisponda all'IP assegnato all'interfaccia di rete specifica collegata al server virtuale o al server bare metal. Se l'IP di origine non corrisponde all'indirizzo assegnato, il pacchetto viene eliminato. Quando i controlli di spoofing IP sono disabilitati, i pacchetti con altri indirizzi IP di origine validi possono passare attraverso l'interfaccia di rete invece di essere eliminati.

Se si utilizza un'istanza di server virtuale o un server bare metal come hop successivo in un percorso personalizzato, si consiglia di configurare le interfacce di rete corrispondenti in modo da consentire lo spoofing IP.

Traffico pubblico L'abilitazione dello spoofing IP non ha alcun impatto sui pacchetti diretti a Internet; lo spoofing IP non è supportato per quel tipo di traffico.

  • Se un indirizzo IP flottante (FIP) è associato all'interfaccia di rete, tale FIP appare come origine nel traffico Internet.
  • Se viene utilizzato un intervallo di indirizzi pubblici, l'IP di origine deve rientrare in tale intervallo.
  • Se è collegato un gateway pubblico, l'indirizzo IP di origine per il traffico Internet in uscita sarà l'indirizzo IP del gateway pubblico.

[Spoofing dell'indirizzo MAC] Lo {: tag-blue} spoofing dell'indirizzo MAC (Media Access Control) non è supportato. Qualsiasi traffico in uscita da un'interfaccia di rete con un indirizzo MAC contraffatto viene eliminato e questo comportamento non può essere disabilitato.

Il diagramma seguente illustra la posizione di un controllo di spoofing IP nel flusso di traffico da e verso un'istanza di server virtuale (o server bare metal):

Figura che mostra un controllo dello spoofing IP in un flusso di traffico da e verso un'istanza di server virtuale o un server bare metalFigura che mostra un controllo dello spoofing IP in un
metalFigura che mostra un controllo dello spoofing IP in un flusso di traffico da e verso un'istanza di server virtuale o un server bare metal

Solo gli operatori a cui è stata concessa l'autorizzazione IP Spoofing Operator in IAM ( Identity and Access Management ) sono autorizzati ad abilitare o disabilitare i controlli di spoofing IP sulle interfacce all'interno di una VPC. Per impostazione predefinita, i controlli di spoofing IP vengono applicati sia al traffico in entrata che a quello in uscita.

Comprendere i rischi

Quando si consente lo spoofing IP sull'interfaccia di rete, considerare i potenziali rischi di sicurezza coinvolti. Chiunque abbia il ruolo di operatore di spoofing IP non solo ha il permesso di abilitare dispositivi di rete virtuali, ma può anche configurare un'istanza per inviare traffico per conto di un'altra istanza. Questa configurazione aumenta la possibilità che la piattaforma venga attaccata a causa delle azioni di un utente inesperto o malintenzionato.

Prestare attenzione quando si assegna il ruolo Operatore di spoofing IP agli utenti.

Creazione di avvisi per eventi di spoofing IP

Quando lo spoofing IP viene modificato su un'interfaccia di rete, viene generato un registro di monitoraggio delle attività.

Gli eventi di auditing generati dalle risorse VPC vengono inoltrati automaticamente all'istanza del servizio IBM Cloud Activity Tracker Event Routing disponibile nella stessa posizione. Il servizio può instradare gli eventi verso una posizione di archiviazione di destinazione definita dall'utente. L'obiettivo può essere un obiettivo IBM Cloud Object Storage, un obiettivo IBM Cloud Logs o un obiettivo IBM® Event Streams for IBM Cloud®. Per ulteriori informazioni, vedi Introduzione a IBM Cloud Activity Tracker Event Routing.

È possibile utilizzare IBM Cloud Logs per [visualizzare] e [segnalare gli] eventi generati nel proprio account e instradati da IBM Cloud Activity Tracker Event Routing a un'istanza IBM Cloud Logs. Per informazioni sull'accesso all'interfaccia utente di IBM Cloud Logs, vedere Navigazione nell'interfaccia utente nella documentazione di IBM Cloud Logs.

Abilitazione dei controlli di spoofing IP

Una volta creata un'istanza del server virtuale, un amministratore di rete con il ruolo di Operatore di spoofing IP in IAM può aggiornare l'interfaccia di rete per abilitare o disabilitare il controllo di spoofing IP.

L 'operatore IAM IP Spoofing è disabilitato per impostazione predefinita per tutti gli utenti. Per ulteriori informazioni sulle autorizzazioni IAM, consulta Gestione dell'accesso IAM per i servizi di infrastruttura VPC.

Abilitazione dei controlli di spoofing IP tramite l'interfaccia utente

Per abilitare lo spoofing IP nella console dell' IBM Cloud, procedere come segue:

  1. Vai su Gestisci > Accesso > Gestisci identità > Utenti.
  2. Fai clic su Utenti e seleziona l'utente a cui desideri assegnare il ruolo di spoofing IP.
  3. Nella scheda Criteri di accesso, fare clic su Assegna accesso.
  4. Fai clic sul riquadro Criteri di accesso.
  5. Fai clic su Servizi infrastruttura VPC nella sezione Servizi.
  6. Seleziona Tutto nella sezione Risorse.
  7. Seleziona Operatore di spoofing IP nella sezione Ruoli e azioni.
  8. Fai clic su Aggiungi.

Abilitazione dei controlli di spoofing IP tramite CLI

Per abilitare lo spoofing IP dalla CLI, immetti il seguente comando:

ibmcloud iam user-policy-create YOUR_USER_EMAIL_ADDRESS --roles "IP Spoofing Operator" --service-name is