Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
Sobre verificações de spoofing de IP
IBM Cloud® Virtual Private Cloud inclui uma verificação de falsificação de IP em cada interface de rede de uma instância de serviço virtual para garantir que o tráfego proveniente dessa interface de rede inclua o endereçamento adequado.
A desativação de verificações de spoofing de IP permite que o tráfego passe pela interface de rede, em vez de finalizar na interface de rede. Se você estiver usando a instância como um "próximo hop", as interfaces de rede da instância
deverão permitir o spoofing de IP. Por exemplo, se você estiver usando uma instância customizada do balanceador de carga, allow_ip_spoofing deverá ser configurado para que o tráfego acesse a instância.
O tráfego pode ser eliminado em dois pontos na verificação:
-
O tráfego recebido é verificado para ter certeza de que ele é endereçado à interface da rede selecionada. O tráfego será eliminado se o seu endereço de destino não corresponder ao endereço de interface de rede selecionado.
-
O tráfego de saída é verificado para ver se o conteúdo vem do endereço de interface de rede selecionado. O tráfego da interface de rede selecionada é eliminado se o seu endereço de origem não corresponde ao endereço de interface de rede selecionado.
Apenas operadores com privilégios de Operador de spoofing de IP do Identity and Access Management (IAM) podem ativar ou desativar a verificação de spoofing de IP nas interfaces dentro de uma VPC. Verificações de spoofing de IP de ingresso e egresso são ativadas por padrão.
Ativando verificações de spoofing de IP
Depois que uma instância de servidor virtual é criada, um administrador de rede com a função Operador de Spoofing de IP no IAM pode atualizar a interface de rede para ativar ou desativar a verificação de spoofing do IP.
O Operador de Spoofing IP do IAM é desativado por padrão para todos os usuários.
Para obter mais informações sobre permissões de IAM, consulte Gerenciando o acesso de IAM para serviços de infraestrutura de VPC.
Para ativar a falsificação de IP no console, siga as etapas a seguir:
- Vá em Gerenciar> Acesso (IAM) na barra de navegação horizontal de sua instância.
- Selecione Usuários na seção Gerenciar identidades e escolha o usuário que deseja conceder a função de spoofing IP.
- Na guia Políticas de acesso, clique em Atribuir acesso.
- Selecione a telha Política de acesso.
- Selecione "VPC Infrastructure Services" na seção Serviço.
- Selecione "Todos" na seção Recursos.
- Confira "Operador de Spoofing IP" na seção Funções e ações.
- Clique em Incluir.
Para ativar o spoofing IP a partir da CLI, execute o seguinte comando:
ibmcloud iam user-policy-create YOUR_USER_EMAIL_ADDRESS --roles "IP Spoofing Operator" --service-name is
Entendendo os riscos
Ao permitir spoofing de IP em sua interface de rede, considere os potenciais riscos de segurança envolvidos. Qualquer pessoa com a função IP Spoofing Operator não só tem permissão para ativar dispositivos de rede virtual, como também pode configurar uma instância para enviar tráfego em nome de outra instância. Essa configuração aumenta a chance de situações em que a plataforma pode ser atacada devido à ação de um usuário sem instrução ou mal-intencionado.
Tenha cuidado ao atribuir a função IP Spoofing Operator aos usuários.
Alertando para eventos de spoofing de IP
Quando o IP spoofing é modificado em uma interface de rede, é gerado um registro de rastreamento de atividade.
Os eventos de auditoria gerados por recursos de VPC são encaminhados automaticamente para a instância de serviço IBM Cloud Activity Tracker Event Routing que está disponível no mesmo local. O serviço pode encaminhar os eventos para um local de armazenamento de destino definido por você. O alvo pode ser um alvo IBM Cloud Object Storage(COS), um alvo IBM Cloud Logs ou um alvo IBM® Event Streams for IBM Cloud®. Para obter mais informações, consulte Introdução ao IBM Cloud Activity Tracker Event Routing.
Você pode usar o IBM Cloud Logs para [visualizar] e [alertar] sobre eventos gerados em sua conta e encaminhados pelo IBM Cloud Activity Tracker Event Routing para uma instância do IBM Cloud Logs. Para obter informações sobre como acessar a interface do usuário IBM Cloud Logs, consulte Navegando na interface do usuário na documentação IBM Cloud Logs.