Wer ausgiebig mit Proxmox VE arbeitet, der stolpert irgendwann automatisch über das Thema IP Spoofing. Aber was genau ist IP Spoofing überhaupt? Ein Administrator ist in der völligen Lage eine virtuelle Maschine zu administrieren und somit auch berechtigt die IP-Adresse der VM zu ändern. Wenn dieser nun unberechtigter Weise diese ändert, könnte er Zugriff erhalten auf Bereiche, welche Ihm sonst nicht freigegeben wären. Zum Beispiel bei NFS Freigaben könnte dieser dadurch Zugriff auf weitere Exports erhalten und diese Manipulieren oder gar löschen.
Also könnte man unter IP-Spoofing das klauen einer nicht zugewiesenen IP-Adresse verstehen.
Proxmox VE bietet 2 verschiedene Lösungsmöglichkeiten
IP Filter aktivieren
Den Netfilter kann man einfach unterhalb der Firewall Einstellungen aktivieren und dann mittels den IPSets konfigurieren. Also Schritt für Schritt erklärt geht das so.
- Unter den Firewall-Einstellungen der KVM oder dem LXC in die Optionen.
- IP Filter aktivieren
- In den IPSets eine Regel erstellen mit folgendem Namen „ipfilter-<NET-NAME-DES-INTERFACES>“ also wie bei mir hier als Beispiel „ipfilter-net0„. Net0 ist bei mir mein Interface, welches ich vor Spoofing schützen will. Im IPSet selber kann man dann eine oder mehrere IPs definieren, welche benutzt werden dürfen.
IP Tables (Firewall Regeln)
Die Rot markierte Regel definiert für den ausgehenden Datenverkehr, lediglich den Source Port und beschränkt diesen auf die entsprechende IP. So können keine Datenpakete von fremden IPs gesendet werden.
Proxmox Wikipedia
Wer noch mehr zum Thema Proxmox Firewall und Features wissen will, wird in der Proxmox VE Wikipedia fündig werden.
Schreibe einen Kommentar