Penyerang dapat menggunakan IP spoofing untuk mengirim paket dengan alamat IP sumber yang dipalsukan, sehingga membuat lalu lintas tampak berasal dari jaringan tepercaya. Mengaktifkan Source/Destination Check pada antarmuka jaringan elastis (ENI) mencegah serangan tersebut dan meningkatkan keamanan jaringan Anda.
Apa itu Source/Destination Check
Saat Source/Destination Check diaktifkan pada suatu ENI, ENI tersebut hanya menerima paket yang ditujukan ke alamat IP-nya sendiri dan hanya mengirim paket yang berasal dari alamat IP-nya sendiri. Jika dinonaktifkan, ENI tidak memverifikasi alamat IP sumber atau tujuan dari paket-paket tersebut.
Untuk meningkatkan keamanan dan stabilitas, fitur ini akan diaktifkan secara default untuk instans dan ENI baru dalam rilis bertahap mulai 22 April 2025. Untuk informasi selengkapnya, lihat pengumuman.
Manfaat mengaktifkan Source/Destination Check
-
Mencegah IP spoofing: Fitur ini memverifikasi bahwa alamat IP sumber suatu paket sesuai dengan alamat IP perangkat yang mengirimnya, sehingga mencegah serangan IP spoofing.
-
Meningkatkan keamanan: Mengaktifkan Source/Destination Check mengurangi risiko transmisi data tanpa izin. Fitur ini berguna jika Anda ingin mencegah instans Anda merutekan paket untuk layanan lain. Dengan pemeriksaan ini diaktifkan, hanya lalu lintas yang dihasilkan oleh atau ditujukan untuk instans itu sendiri yang diproses, sehingga membantu mencegah potensi kerentanan keamanan.
-
Menjaga stabilitas dan efisiensi jaringan: Fitur ini mencegah gangguan aliran data akibat perutean yang salah, sehingga berkontribusi terhadap stabilitas jaringan dan meningkatkan pemanfaatan resource.
Perlu diperhatikan bahwa Source/Destination Check saja tidak cukup untuk melindungi dari semua jenis ancaman jaringan. Untuk perlindungan menyeluruh, kombinasikan fitur ini dengan teknologi dan strategi lain sesuai kebutuhan bisnis Anda, seperti konfigurasi security group, ACL jaringan, enkripsi SSL/TLS, mekanisme otentikasi, Perlindungan DDoS, serta pencadangan data penting, guna melindungi jaringan Anda dari berbagai bentuk serangan.
Wilayah yang didukung
Fitur Source/Destination Check hanya tersedia di wilayah-wilayah berikut. Di wilayah lain, fitur ini dinonaktifkan secara default.
Kapan harus menonaktifkan source/destination check
Nonaktifkan Source/Destination Check dalam skenario berikut:
-
Skenario multi-ENI: Pada instans dengan beberapa ENI, paket bisa masuk melalui satu antarmuka jaringan (misalnya, eth1) dan keluar melalui antarmuka lain (misalnya, eth0). Jika Source/Destination Check diaktifkan pada ENI primer, hal ini dapat memengaruhi lalu lintas pada antarmuka jaringan elastis sekunder.
Untuk mengatasi masalah ini, Anda dapat mengonfigurasi Perutean berbasis kebijakan setelah menyambungkan ENI ke instans. Untuk informasi selengkapnya, lihat Konfigurasi Perutean berbasis kebijakan untuk ENI.
-
Network address translation: Instans yang berperan sebagai perangkat network address translation (NAT) perlu menerima paket dari instans lain di jaringan dan meneruskannya ke internet atau jaringan lain. Dalam kasus ini, Anda harus menonaktifkan Source/Destination Check agar lalu lintas dapat dilewatkan.
-
Router: Saat instans dikonfigurasi sebagai router jaringan, instans tersebut harus menangani seluruh lalu lintas, bukan hanya lalu lintas yang dialamatkan kepadanya. Dalam kasus ini, menonaktifkan Source/Destination Check diperlukan agar instans dapat meneruskan paket dengan benar.
-
Load balancer kustom: Saat instans berperan sebagai load balancer kustom, instans tersebut mungkin perlu menerima permintaan klien dan mendistribusikannya ke server backend yang berbeda. Dalam situasi ini, Source/Destination Check juga harus dinonaktifkan agar pola lalu lintas tersebut dapat berjalan.
-
Titik akhir VPN: Saat instans digunakan sebagai server VPN, instans tersebut mungkin perlu memproses paket dari jaringan yang berbeda, yang juga mengharuskan penonaktifan Source/Destination Check agar paket-paket tersebut dapat dilewatkan.
-
Arsitektur jaringan lanjutan: Untuk desain jaringan yang lebih kompleks, seperti menerapkan aturan pengendalian lalu lintas tertentu, mengintegrasikan solusi firewall khusus, atau melakukan pemantauan jaringan secara detail, Anda mungkin juga perlu menonaktifkan Source/Destination Check untuk memenuhi persyaratan spesifik tersebut.
Mengonfigurasi pemeriksaan sumber/tujuan
Konfigurasi saat pembuatan ENI
Kecuali skenario Anda termasuk dalam skenario yang mungkin memerlukan penonaktifan Source/Destination Check, kami merekomendasikan untuk mengaktifkan fitur ini guna meningkatkan keamanan jaringan.
Bersama instans
Saat membeli Instance ECS, Anda dapat mengaktifkan atau menonaktifkan Source/Destination Check untuk ENI primer dan antarmuka jaringan elastis sekunder apa pun yang dibuat bersama instans tersebut. Untuk informasi selengkapnya, lihat Buat instans menggunakan wizard. Di halaman pembelian instans, temukan opsi Source/Destination Check di bagian Networking and Security Group. Secara default, fitur ini dinonaktifkan.
-
Beberapa tipe instans ECS tidak mendukung penyambungan antarmuka jaringan elastis sekunder saat pembuatan instans. Anda dapat menyambungkan ENI tersebut setelah instans dibuat. Untuk informasi selengkapnya, lihat Tipe instans ECS yang harus dihentikan sebelum Anda menyambungkan ENI.
-
Saat membeli instans, Anda dapat menyambungkan maksimal dua ENI: satu ENI primer (secara otomatis dicocokkan) dan satu antarmuka jaringan elastis sekunder.
Standalone
Anda dapat mengonfigurasi Source/Destination Check saat membuat ENI standalone, lalu menyambungkan ENI tersebut ke instans. Untuk informasi selengkapnya, lihat Buat dan gunakan ENI.
Anda juga dapat memanggil operasi API CreateNetworkInterface. Saat membuat antarmuka jaringan elastis, atur parameter SourceDestCheck ke true untuk mengaktifkan fitur atau ke false untuk menonaktifkannya.
Ubah pengaturan pemeriksaan
Setelah ENI dibuat, Anda dapat mengaktifkan atau menonaktifkan fitur Source/Destination Check-nya.
Konsol
-
Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya dari ENI target.
-
Klik ID ENI target untuk membuka halaman detailnya.
-
Anda dapat melihat dan mengubah status fitur Source/Destination Check.
Di bagian Informasi Dasar pada halaman detail ENI, temukan bidang Source/Destination Check dan klik tautan Enable atau Disable di sebelahnya untuk mengubah status.
API
-
Panggil operasi API ModifyNetworkInterfaceAttribute. Untuk ENI yang ditentukan oleh NetworkInterfaceId, atur parameter SourceDestCheck ke
trueuntuk mengaktifkan Source/Destination Check atau kefalseuntuk menonaktifkannya. -
Setelah modifikasi berhasil, panggil operasi DescribeNetworkInterfaceAttribute untuk mengkueri atribut ENI yang ditentukan oleh NetworkInterfaceId. Parameter SourceDestCheck dalam respons bernilai
truejika fitur diaktifkan danfalsejika dinonaktifkan.