Proxy ARP - Proxy ARP

Proxy ARP to technika, za pomocą której serwer proxy w danej sieci odpowiada na zapytania protokołu Address Resolution Protocol (ARP) dotyczące adresu IP, którego nie ma w tej sieci. Serwer proxy jest świadomy lokalizacji celu ruchu i oferuje własny adres MAC jako (rzekomo ostateczne) miejsce docelowe. Ruch kierowany na adres proxy jest następnie zazwyczaj kierowany przez proxy do zamierzonego miejsca docelowego za pośrednictwem innego interfejsu lub tunelu .

Proces, w wyniku którego serwer proxy odpowiada własnym adresem MAC na żądanie ARP dotyczące innego adresu IP do celów proxy, jest czasami nazywany publikowaniem .

Używa

Poniżej znajduje się kilka typowych zastosowań proxy ARP:

Dołączanie do rozgłoszeniowej sieci LAN za pomocą łączy szeregowych (np. Połączenia telefoniczne lub VPN ).
Załóżmy, że domena rozgłoszeniowa Ethernet (np. Grupa stacji podłączonych do tego samego koncentratora lub przełącznika (VLAN)) przy użyciu określonego zakresu adresów IPv4 (np. 192.168.0.0/24, gdzie 192.168.0.1 - 192.168.0.127 są przypisane do sieci przewodowej) węzły). Jeden lub więcej węzłów to router dostępowy, który akceptuje połączenia telefoniczne lub VPN. Router dostępowy nadaje węzłom telefonicznym adresy IP z zakresu 192.168.0.128 - 192.168.0.254; w tym przykładzie załóżmy, że węzeł telefoniczny otrzymuje adres IP 192.168.0.254.
Router dostępowy korzysta z protokołu Proxy ARP, aby węzeł dial-up był obecny w podsieci bez połączenia z siecią Ethernet: serwer dostępu „publikuje” własny adres MAC dla 192.168.0.254. Teraz, gdy inny węzeł podłączony do sieci Ethernet chce rozmawiać z węzłem telefonicznym, zapyta w sieci o adres MAC 192.168.0.254 i znajdzie adres MAC serwera dostępu. Dlatego wysyła swoje pakiety IP do serwera dostępowego, a serwer dostępu będzie wiedział, że powinien przekazać je do określonego węzła telefonicznego. Dlatego wszystkie węzły telefoniczne wyglądają dla przewodowych węzłów Ethernet tak, jakby były podłączone do tej samej podsieci Ethernet.
Pobieranie wielu adresów z sieci LAN
Załóżmy, że stacja (np. Serwer) ma interfejs (10.0.0.2) podłączony do sieci (10.0.0.0/24). Niektóre aplikacje mogą wymagać wielu adresów IP na serwerze. Pod warunkiem, że adresy muszą należeć do zakresu 10.0.0.0/24, sposób rozwiązywania problemu odbywa się za pośrednictwem protokołu Proxy ARP. Pozostałe adresy (powiedzmy 10.0.0.230-10.0.0.240) są alias dla sprzężenia zwrotnego interfejs serwera (lub przypisuje się specjalne interfejsy, ten ostatni zazwyczaj jest w przypadku VMware / UML / więzienia / vservers / inne środowiska wirtualnego serwera) AND „opublikowane” w interfejsie 10.0.0.2 (chociaż wiele systemów operacyjnych umożliwia bezpośrednie przydzielanie wielu adresów do jednego interfejsu, co eliminuje potrzebę stosowania takich sztuczek).
Na firewallu
W tym scenariuszu zaporę można skonfigurować z pojedynczym adresem IP. Prostym przykładem zastosowania tego może być umieszczenie zapory przed pojedynczym hostem lub grupą hostów w podsieci. Przykład - Sieć (10.0.0.0/8) ma serwer, który powinien być chroniony (10.0.0.20), przed serwerem można umieścić zaporę proxy-arp. W ten sposób serwer zostaje umieszczony za zaporą ogniową bez dokonywania jakichkolwiek zmian w sieci.
Mobile-IP
W przypadku Mobile-IP, Agent Macierzysty używa Proxy ARP w celu odbierania wiadomości w imieniu Węzła Mobilnego, tak aby mógł przekazać odpowiednią wiadomość na aktualny adres węzła mobilnego (adres Care-of ).
Przejrzysta brama podsieci
Konfiguracja obejmująca dwa segmenty fizyczne współdzielące tę samą podsieć IP i połączone ze sobą za pośrednictwem routera . To użycie jest udokumentowane w RFC 1027 .
Nadmierność
Techniki manipulacji ARP są podstawą protokołów zapewniających redundancję w sieciach rozgłoszeniowych (np. Ethernet ), w szczególności Common Address Redundancy Protocol i Virtual Router Redundancy Protocol .

Niedogodności

Wadą protokołu proxy ARP jest skalowalność, ponieważ rozwiązanie ARP przez proxy jest wymagane dla każdego urządzenia routowanego w ten sposób, oraz niezawodność, ponieważ nie ma mechanizmu rezerwowego, a maskarada może być myląca w niektórych środowiskach.

Proxy ARP może tworzyć ataki DoS na sieci, jeśli zostanie źle skonfigurowane. Na przykład źle skonfigurowany router z proxy ARP może odbierać pakiety przeznaczone dla innych hostów (ponieważ podaje własny adres MAC w odpowiedzi na żądania ARP dla innych hostów / routerów), ale może nie mieć możliwości prawidłowego przekazywania tych pakietów do ich ostatecznego miejsca przeznaczenia, blokując w ten sposób ruch.

Proxy ARP może ukryć błędne konfiguracje urządzeń, takie jak brakująca lub nieprawidłowa brama domyślna .

Wdrożenia

OpenBSD implementuje Proxy ARP.

Bibliografia

Dalsza lektura