Proxy ARP - Proxy ARP
Proxy ARP to technika, za pomocą której serwer proxy w danej sieci odpowiada na zapytania protokołu Address Resolution Protocol (ARP) dotyczące adresu IP, którego nie ma w tej sieci. Serwer proxy jest świadomy lokalizacji celu ruchu i oferuje własny adres MAC jako (rzekomo ostateczne) miejsce docelowe. Ruch kierowany na adres proxy jest następnie zazwyczaj kierowany przez proxy do zamierzonego miejsca docelowego za pośrednictwem innego interfejsu lub tunelu .
Proces, w wyniku którego serwer proxy odpowiada własnym adresem MAC na żądanie ARP dotyczące innego adresu IP do celów proxy, jest czasami nazywany publikowaniem .
Używa
Poniżej znajduje się kilka typowych zastosowań proxy ARP:
- Dołączanie do rozgłoszeniowej sieci LAN za pomocą łączy szeregowych (np. Połączenia telefoniczne lub VPN ).
- Załóżmy, że domena rozgłoszeniowa Ethernet (np. Grupa stacji podłączonych do tego samego koncentratora lub przełącznika (VLAN)) przy użyciu określonego zakresu adresów IPv4 (np. 192.168.0.0/24, gdzie 192.168.0.1 - 192.168.0.127 są przypisane do sieci przewodowej) węzły). Jeden lub więcej węzłów to router dostępowy, który akceptuje połączenia telefoniczne lub VPN. Router dostępowy nadaje węzłom telefonicznym adresy IP z zakresu 192.168.0.128 - 192.168.0.254; w tym przykładzie załóżmy, że węzeł telefoniczny otrzymuje adres IP 192.168.0.254.
- Router dostępowy korzysta z protokołu Proxy ARP, aby węzeł dial-up był obecny w podsieci bez połączenia z siecią Ethernet: serwer dostępu „publikuje” własny adres MAC dla 192.168.0.254. Teraz, gdy inny węzeł podłączony do sieci Ethernet chce rozmawiać z węzłem telefonicznym, zapyta w sieci o adres MAC 192.168.0.254 i znajdzie adres MAC serwera dostępu. Dlatego wysyła swoje pakiety IP do serwera dostępowego, a serwer dostępu będzie wiedział, że powinien przekazać je do określonego węzła telefonicznego. Dlatego wszystkie węzły telefoniczne wyglądają dla przewodowych węzłów Ethernet tak, jakby były podłączone do tej samej podsieci Ethernet.
- Pobieranie wielu adresów z sieci LAN
- Załóżmy, że stacja (np. Serwer) ma interfejs (10.0.0.2) podłączony do sieci (10.0.0.0/24). Niektóre aplikacje mogą wymagać wielu adresów IP na serwerze. Pod warunkiem, że adresy muszą należeć do zakresu 10.0.0.0/24, sposób rozwiązywania problemu odbywa się za pośrednictwem protokołu Proxy ARP. Pozostałe adresy (powiedzmy 10.0.0.230-10.0.0.240) są alias dla sprzężenia zwrotnego interfejs serwera (lub przypisuje się specjalne interfejsy, ten ostatni zazwyczaj jest w przypadku VMware / UML / więzienia / vservers / inne środowiska wirtualnego serwera) AND „opublikowane” w interfejsie 10.0.0.2 (chociaż wiele systemów operacyjnych umożliwia bezpośrednie przydzielanie wielu adresów do jednego interfejsu, co eliminuje potrzebę stosowania takich sztuczek).
- Na firewallu
- W tym scenariuszu zaporę można skonfigurować z pojedynczym adresem IP. Prostym przykładem zastosowania tego może być umieszczenie zapory przed pojedynczym hostem lub grupą hostów w podsieci. Przykład - Sieć (10.0.0.0/8) ma serwer, który powinien być chroniony (10.0.0.20), przed serwerem można umieścić zaporę proxy-arp. W ten sposób serwer zostaje umieszczony za zaporą ogniową bez dokonywania jakichkolwiek zmian w sieci.
- Mobile-IP
- W przypadku Mobile-IP, Agent Macierzysty używa Proxy ARP w celu odbierania wiadomości w imieniu Węzła Mobilnego, tak aby mógł przekazać odpowiednią wiadomość na aktualny adres węzła mobilnego (adres Care-of ).
- Przejrzysta brama podsieci
- Konfiguracja obejmująca dwa segmenty fizyczne współdzielące tę samą podsieć IP i połączone ze sobą za pośrednictwem routera . To użycie jest udokumentowane w RFC 1027 .
- Nadmierność
- Techniki manipulacji ARP są podstawą protokołów zapewniających redundancję w sieciach rozgłoszeniowych (np. Ethernet ), w szczególności Common Address Redundancy Protocol i Virtual Router Redundancy Protocol .
Niedogodności
Wadą protokołu proxy ARP jest skalowalność, ponieważ rozwiązanie ARP przez proxy jest wymagane dla każdego urządzenia routowanego w ten sposób, oraz niezawodność, ponieważ nie ma mechanizmu rezerwowego, a maskarada może być myląca w niektórych środowiskach.
Proxy ARP może tworzyć ataki DoS na sieci, jeśli zostanie źle skonfigurowane. Na przykład źle skonfigurowany router z proxy ARP może odbierać pakiety przeznaczone dla innych hostów (ponieważ podaje własny adres MAC w odpowiedzi na żądania ARP dla innych hostów / routerów), ale może nie mieć możliwości prawidłowego przekazywania tych pakietów do ich ostatecznego miejsca przeznaczenia, blokując w ten sposób ruch.
Proxy ARP może ukryć błędne konfiguracje urządzeń, takie jak brakująca lub nieprawidłowa brama domyślna .
Wdrożenia
OpenBSD implementuje Proxy ARP.
Bibliografia
Dalsza lektura
- RFC 925 - rozwiązywanie adresów w wielu sieciach LAN
- RFC 1027 - Korzystanie z protokołu ARP do implementacji przezroczystych bram podsieci
- W. Richarda Stevensa . Protokoły (TCP / IP Illustrated, Tom 1). Addison-Wesley Professional; Wydanie I (31 grudnia 1993). ISBN 0-201-63346-9 .Linki zewnętrzne