Комментарии 5
Можете привести пример конфига calico, который ограничивает arp-spoofing? Пока кроме ограничения capabilities у контейнеров ничего не приходит в голову (но это функция cri)
Для ограничения ARP-spoofing с помощью Calico можно использовать настройку, которая включает фильтрацию ARP в профилях безопасности сети. NetworkPolicy в Calico, которая помогает защититься от ARP-spoofing:
apiVersion: projectcalico.org/v3
kind: GlobalNetworkPolicy
metadata:
name: deny-arp-spoofing
spec:
selector: all()
types:
- Ingress
- Egress
ingress:
- action: Allow
protocol: ARP
source:
nets:
- 0.0.0.0/0
destination:
nets:
- 0.0.0.0/0
egress:
- action: Allow
protocol: ARP
source:
nets:
- 0.0.0.0/0
destination:
nets:
- 0.0.0.0/0
doNotTrack: true
preDNAT: true
1. Фильтрация ARP: Политика явно разрешает только ARP-трафик между источниками и назначениями, что помогает предотвратить отправку ложных ARP-запросов.
2. doNotTrack: Отключение отслеживания состояния пакетов делает фильтрацию более строгой.
3. preDNAT: Обеспечивает, что политика применяется до любых изменений NAT.
В protocol нет типа ARP - есть только: TCP
, UDP
, ICMP
, ICMPv6
, SCTP
, UDPLite
, 1
-255. Неужели ChatGPT вам политику сгенерировал?
https://docs.tigera.io/calico/latest/reference/resources/globalnetworkpolicy
Я могу понять написание статьи на Хабр с помощью LLM - SEO там, и в CV упомянуть или на сайте компании.
Но зачем вы и на комментарии отвечаете, даже не проверив, что вам там сеть нагенерировала?
Senior DevOps Engineer 🤦
Привет! Согласен, тут я с конфигом ошибся
В Calico защита от ARP-spoofing реализуется за счет механизма антиспуфинга, который работает на основе проверок IP-адресов на уровне интерфейсов. Этот механизм включается автоматически, когда используется стандартный IPAM Calico и включена изоляция workload'ов.
Однако ручное управление маршрутами для предотвращения ARP-spoofing в Calico не предусмотрено, так как сам CNI-плагин не оперирует ARP напрямую (Calico работает на уровне L3). Но можно дополнительно конфигурировать сетевые маршруты контейнеров, чтобы минимизировать вероятность атак.
Calico автоматически включает защиту от IP и ARP-спуфинга
Подделка IP-адресов предотвращается за счет того, что Calico добавляет строгие маршруты для каждого workload (пода), ограничивая его IP в рамках интерфейса.
ARP-спуфинг защищается автоматически, так как ядро Linux отклоняет пакеты ARP, если они не соответствуют ожидаемому MAC-адресу интерфейса.
Как вариант можно использовать BPF-фильтры. Если вы используете Calico с поддержкой eBPF, можете использовать дополнительные фильтры на уровне eBPF для контроля ARP-трафика.
Как искать и эксплуатировать уязвимости в контейнеризированных средах. Часть 2