Как стать автором
Обновить

Комментарии 5

Можете привести пример конфига calico, который ограничивает arp-spoofing? Пока кроме ограничения capabilities у контейнеров ничего не приходит в голову (но это функция cri)

Для ограничения ARP-spoofing с помощью Calico можно использовать настройку, которая включает фильтрацию ARP в профилях безопасности сети. NetworkPolicy в Calico, которая помогает защититься от ARP-spoofing:

apiVersion: projectcalico.org/v3

kind: GlobalNetworkPolicy

metadata:

  name: deny-arp-spoofing

spec:

  selector: all() 

  types:

    - Ingress

    - Egress

  ingress:

    - action: Allow

      protocol: ARP

      source:

        nets:

          - 0.0.0.0/0

      destination:

        nets:

          - 0.0.0.0/0

  egress:

    - action: Allow

      protocol: ARP

      source:

        nets:

          - 0.0.0.0/0

      destination:

        nets:

          - 0.0.0.0/0

  doNotTrack: true

  preDNAT: true

1. Фильтрация ARP: Политика явно разрешает только ARP-трафик между источниками и назначениями, что помогает предотвратить отправку ложных ARP-запросов.

2. doNotTrack: Отключение отслеживания состояния пакетов делает фильтрацию более строгой.

3. preDNAT: Обеспечивает, что политика применяется до любых изменений NAT.

Я могу понять написание статьи на Хабр с помощью LLM - SEO там, и в CV упомянуть или на сайте компании.

Но зачем вы и на комментарии отвечаете, даже не проверив, что вам там сеть нагенерировала?

Senior DevOps Engineer 🤦

Привет! Согласен, тут я с конфигом ошибся

В Calico защита от ARP-spoofing реализуется за счет механизма антиспуфинга, который работает на основе проверок IP-адресов на уровне интерфейсов. Этот механизм включается автоматически, когда используется стандартный IPAM Calico и включена изоляция workload'ов.

Однако ручное управление маршрутами для предотвращения ARP-spoofing в Calico не предусмотрено, так как сам CNI-плагин не оперирует ARP напрямую (Calico работает на уровне L3). Но можно дополнительно конфигурировать сетевые маршруты контейнеров, чтобы минимизировать вероятность атак.

Calico автоматически включает защиту от IP и ARP-спуфинга

Подделка IP-адресов предотвращается за счет того, что Calico добавляет строгие маршруты для каждого workload (пода), ограничивая его IP в рамках интерфейса.

ARP-спуфинг защищается автоматически, так как ядро Linux отклоняет пакеты ARP, если они не соответствуют ожидаемому MAC-адресу интерфейса.

Как вариант можно использовать BPF-фильтры. Если вы используете Calico с поддержкой eBPF, можете использовать дополнительные фильтры на уровне eBPF для контроля ARP-трафика.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий