IP スプーフィング・チェックについて

IBM Cloud® Virtual Private Cloud 仮想サービスインスタンスまたはベアメタルサーバーの各ネットワークインターフェースに対してIPスプーフィングチェックを実施し、すべての送信トラフィックが適切な送信元IPアドレスを使用することを保証します。

IPスプーフィングチェックは、仮想サーバーインスタンスまたはベアメタルサーバーからの送信ネットワークパケットに適用されます。 このチェックは、これらのパケット内の送信元IPアドレスが、仮想サーバーまたはベアメタルサーバーに接続された特定のネットワークインターフェースに割り当てられたIPアドレスと一致することを確認します。 送信元IPアドレスが割り当てられたアドレスと一致しない場合、パケットは破棄される。 IPスプーフィングチェックが無効化されている場合、他の有効な送信元IPアドレスを持つパケットは、破棄される代わりにネットワークインターフェースを通過することが許可される。

カスタムルートの次のホップとして仮想サーバーインスタンスまたはベアメタルサーバーを使用する場合、対応するネットワークインターフェースをIPスプーフィングを許可するように設定することを推奨します。

[パブリックトラフィック] IPスプーフィング{: tag-blue} を有効化しても、インターネットへのパケットには影響しません。そのトラフィックではIPスプーフィングはサポートされていません。

  • ネットワークインターフェースにフローティングIP (FIP)が割り当てられている場合、そのFIPがインターネットトラフィックの送信元として表示されます。
  • パブリックアドレス範囲が使用される場合、送信元IPアドレスはその範囲内にある必要があります。
  • パブリックゲートウェイが接続されている場合、インターネットへの送信トラフィックの送信元IPアドレスは、パブリックゲートウェイのIPアドレスとなります。

MACアドレスの 偽装MAC(メディアアクセス制御)アドレスの偽装はサポートされていません。 偽装されたMACアドレスを持つネットワークインターフェースから送信されるトラフィックはすべて破棄され、この動作は無効化できません。

以下の図は、仮想サーバーインスタンス(またはベアメタルサーバー)へのトラフィックフローおよびからのトラフィックフローにおけるIPスプーフィングチェックの位置を示しています:

仮想サーバー
仮想サーバーインスタンスまたはベアメタルサーバーへのトラフィックフローにおけるIPスプーフィングチェックを示す図

Identity and Access Management (IAM) でIPスプーフィングオペレーター の権限が付与されたオペレーターのみが、VPC内のインターフェースにおけるIPスプーフィングチェックの有効化または無効化を許可されます。 デフォルトでは、IPスプーフィングチェックは着信トラフィックと発信トラフィックの両方で実施されます。

リスクについて

ネットワーク・インターフェースで IP スプーフィングを許可する場合は、それに伴う潜在的なセキュリティー・リスクを考慮してください。 IPスプーフィングオペレーター ロールを持つユーザーは、仮想ネットワークアプライアンスを有効化する権限を持つだけでなく、あるインスタンスに代わってトラフィックを送信するよう別のインスタンスを設定することも可能です。 この構成では、知識不足または悪意のあるユーザーの行動により、プラットフォームが攻撃を受ける可能性が高まります。

ユーザーに IPスプーフィングオペレーター 役割を割り当てる際は注意してください。

IP スプーフィングのイベントについてのアラートの生成

ネットワークインターフェース上でIPスプーフィングが変更されると、アクティビティ追跡ログが生成される。

VPCリソースによって生成される監査イベントは、同じリージョンで利用可能な IBM Cloud Activity Tracker Event Routing サービスインスタンスに自動的に転送されます。 サービスは、定義したターゲット・ストレージにイベントをルーティングすることができる。 ターゲットは、 IBM Cloud Object Storage ターゲットIBM Cloud Logs ターゲット、または IBM® Event Streams for IBM Cloud® ターゲット のいずれかである可能性があります。 詳しくは、IBM Cloud Activity Tracker Event Routing の紹介を参照してください。

IBM Cloud Logs を使用して、アカウントで生成され、 IBM Cloud Activity Tracker Event Routing によって IBM Cloud Logs インスタンスにルーティングされたイベントを[視覚化]し、 [アラートする]ことができます。 IBM Cloud Logs UI へのアクセスについては、 IBM Cloud Logs ドキュメントの Navigating to UI を参照。

IP スプーフィング・チェックの有効化

仮想サーバー・インスタンスが作成された後に、IAM の IP スプーフィングのオペレーター役割を持っているネットワーク管理者が、IP スプーフィング・チェックを有効または無効にするようにネットワーク・インターフェースを更新できます。

IAM IPスプーフィングオペレーター は、デフォルトですべてのユーザーに対して無効化されています。 IAM 権限の詳細については、 「VPC インフラストラクチャ サービスの IAM アクセス管理」 を参照してください。

UIを使用したIPスプーフィングチェックの有効化

IBM Cloud コンソールでIPスプーフィングを有効にするには、次の手順に従ってください:

  1. 管理 > アクセス > 識別情報の管理 > ユーザー に移動します。
  2. [ユーザー] をクリックし、IPスプーフィングの役割を付与したいユーザーを選択します。
  3. アクセスポリシータブで、 [アクセスを割り当てる] をクリックします。
  4. アクセスポリシータイルをクリックします。
  5. サービス セクションで VPC インフラストラクチャ サービスをクリックします。
  6. ソースセクションで 「すべて選択」を選択してください。
  7. 役割とアクション 」セクションで IPスプーフィングオペレーター を確認してください。
  8. 追加 をクリックします。

CLIを使用したIPスプーフィングチェックの有効化

CLI から IP スプーフィングを有効にするには、次のコマンドを実行します。

ibmcloud iam user-policy-create YOUR_USER_EMAIL_ADDRESS --roles "IP Spoofing Operator" --service-name is