В Calico защита от ARP-spoofing реализуется за счет механизма антиспуфинга, который работает на основе проверок IP-адресов на уровне интерфейсов. Этот механизм включается автоматически, когда используется стандартный IPAM Calico и включена изоляция workload'ов.
Однако ручное управление маршрутами для предотвращения ARP-spoofing в Calico не предусмотрено, так как сам CNI-плагин не оперирует ARP напрямую (Calico работает на уровне L3). Но можно дополнительно конфигурировать сетевые маршруты контейнеров, чтобы минимизировать вероятность атак.
Calico автоматически включает защиту от IP и ARP-спуфинга
Подделка IP-адресов предотвращается за счет того, что Calico добавляет строгие маршруты для каждого workload (пода), ограничивая его IP в рамках интерфейса.
ARP-спуфинг защищается автоматически, так как ядро Linux отклоняет пакеты ARP, если они не соответствуют ожидаемому MAC-адресу интерфейса.
Как вариант можно использовать BPF-фильтры. Если вы используете Calico с поддержкой eBPF, можете использовать дополнительные фильтры на уровне eBPF для контроля ARP-трафика.
Для ограничения ARP-spoofing с помощью Calico можно использовать настройку, которая включает фильтрацию ARP в профилях безопасности сети. NetworkPolicy в Calico, которая помогает защититься от ARP-spoofing:
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: deny-arp-spoofing
spec:
selector: all()
types:
- Ingress
- Egress
ingress:
- action: Allow
protocol: ARP
source:
nets:
- 0.0.0.0/0
destination:
nets:
- 0.0.0.0/0
egress:
- action: Allow
protocol: ARP
source:
nets:
- 0.0.0.0/0
destination:
nets:
- 0.0.0.0/0
doNotTrack: true
preDNAT: true
1. Фильтрация ARP: Политика явно разрешает только ARP-трафик между источниками и назначениями, что помогает предотвратить отправку ложных ARP-запросов.
2. doNotTrack: Отключение отслеживания состояния пакетов делает фильтрацию более строгой.
3. preDNAT: Обеспечивает, что политика применяется до любых изменений NAT.
Спасибо, справедливые замечания. Текст подправлен. Это будет видеокурс, 24.11 до 19 часов будут открыты сразу все темы. Изучать их можно в любом темпе, доступ не закрывается.
Инструменты решают разные задачи и имеют разную архитектуру.
В k8 можно пробовать запускать готовые LLM и масштабировать их, второй инструмент может быть полезен для быстрого прототипирования и в рамках MLOps.
Также есть kuberay-operator, для синергии технологий.
Привет! Согласен, тут я с конфигом ошибся
В Calico защита от ARP-spoofing реализуется за счет механизма антиспуфинга, который работает на основе проверок IP-адресов на уровне интерфейсов. Этот механизм включается автоматически, когда используется стандартный IPAM Calico и включена изоляция workload'ов.
Однако ручное управление маршрутами для предотвращения ARP-spoofing в Calico не предусмотрено, так как сам CNI-плагин не оперирует ARP напрямую (Calico работает на уровне L3). Но можно дополнительно конфигурировать сетевые маршруты контейнеров, чтобы минимизировать вероятность атак.
Calico автоматически включает защиту от IP и ARP-спуфинга
Подделка IP-адресов предотвращается за счет того, что Calico добавляет строгие маршруты для каждого workload (пода), ограничивая его IP в рамках интерфейса.
ARP-спуфинг защищается автоматически, так как ядро Linux отклоняет пакеты ARP, если они не соответствуют ожидаемому MAC-адресу интерфейса.
Как вариант можно использовать BPF-фильтры. Если вы используете Calico с поддержкой eBPF, можете использовать дополнительные фильтры на уровне eBPF для контроля ARP-трафика.
Для ограничения ARP-spoofing с помощью Calico можно использовать настройку, которая включает фильтрацию ARP в профилях безопасности сети. NetworkPolicy в Calico, которая помогает защититься от ARP-spoofing:
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: deny-arp-spoofing
spec:
selector: all()
types:
- Ingress
- Egress
ingress:
- action: Allow
protocol: ARP
source:
nets:
- 0.0.0.0/0
destination:
nets:
- 0.0.0.0/0
egress:
- action: Allow
protocol: ARP
source:
nets:
- 0.0.0.0/0
destination:
nets:
- 0.0.0.0/0
doNotTrack: true
preDNAT: true
1. Фильтрация ARP: Политика явно разрешает только ARP-трафик между источниками и назначениями, что помогает предотвратить отправку ложных ARP-запросов.
2. doNotTrack: Отключение отслеживания состояния пакетов делает фильтрацию более строгой.
3. preDNAT: Обеспечивает, что политика применяется до любых изменений NAT.
Идея хорошая ?
Берем в работу, обновления coming soon
Верно подмечено! Исправили, спасибо!
Спасибо! Перефразировали.
Только если они не идут туда работать:)
Верно, время московское. Сейчас и в тексте уточню, спасибо!
Формат видеоркуса — это предзаписанные уроки. Проходить вы их сможете и после 24 ноября.
Спасибо, что обратили внимание. Действительно, ссылка слетела, но уже всё исправили.
Нет, курс полностью бесплатный. А программу просто наглядно разделили на основной и продвинутый уровни.
Спасибо, справедливые замечания. Текст подправлен. Это будет видеокурс, 24.11 до 19 часов будут открыты сразу все темы. Изучать их можно в любом темпе, доступ не закрывается.