Proxy ARP

Aus Foxwiki
Version vom 25. März 2023, 14:52 Uhr von Dirkwagner (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Proxy ARP = [https://de.wikipedia.org/wiki/Proxy_(Rechnernetz) Proxy] ARP erlaubt einem Router, ARP-Anforderungen für Hosts zu beantworten. Die Hosts befinden sich dabei in durch einen Router getrennten Netzen – verwenden untypischerweise jedoch den gleichen [https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing IP-Adressbereich]. Bei der Kommunikation ist für die Hosts der Router transparent, d. h. er braucht nicht speziell angesproche…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Proxy ARP

Proxy ARP erlaubt einem Router, ARP-Anforderungen für Hosts zu beantworten.

Die Hosts befinden sich dabei in durch einen Router getrennten Netzen – verwenden untypischerweise jedoch den gleichen IP-Adressbereich. Bei der Kommunikation ist für die Hosts der Router transparent, d. h. er braucht nicht speziell angesprochen zu werden, sondern die Hosts können wie gewöhnlich Pakete über verschiedene Netze hinweg versenden.

Sendet Computer A eine ARP-Anforderung an Computer B, reagiert der dazwischen liegende Router anstelle des Computers B mit einer ARP-Antwort und der Hardware-Adresse der Schnittstelle (MAC-Adresse des Ports am Router), auf der die Anfrage empfangen wurde. Der anfragende Computer A sendet dann seine Daten an den Router, der sie dann an Computer B weiterleitet.

Proxy ARP kann man am ARP-Cache von Computer A erkennen. Falls für mehrere IP-Adressen dieselbe MAC-Adresse eingetragen ist, arbeitet der Router mit dieser MAC-Adresse als Proxy. Die Einträge können auch ein Hinweis auf einen Angriff durch ARP-Spoofing sein.

https://de.wikipedia.org/wiki/Address_Resolution_Protocol#Proxy_ARP

Proxy ARP

Einleitung

In diesem Dokument wird das Konzept des Proxy Address Resolution Protocol (ARP) erläutert. Proxy-ARP ist das Verfahren, bei dem ein Host, in der Regel ein Router, ARP-Anforderungen für einen anderen Rechner beantwortet. Durch "Fälschen" seiner Identität übernimmt der Router die Verantwortung für das Routing von Paketen an das "echte" Ziel. Proxy-ARP kann Computer in einem Subnetz dabei unterstützen, entfernte Subnetze zu erreichen, ohne dass Routing oder ein Standard-Gateway konfiguriert werden müssen. Proxy ARP wird in RFC 1027 definiert.

Voraussetzungen

Anforderungen

Für dieses Dokument müssen die ARP- und Ethernet-Umgebung verstanden werden.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:* Cisco IOS® Softwareversion 12.2 (10b)

  • Router der Cisco 2500 Serie


Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn sich Ihr Netzwerk in der Produktionsumgebung befindet, müssen Sie sich bei jedem Befehl zunächst dessen potenzielle Auswirkungen vor Augen führen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Wie funktioniert Proxy-ARP?

Dies ist ein Beispiel für die Funktionsweise von Proxy-ARP:

Netzwerkdiagramm

"network diagram"

Host A (172.16.10.100) in Subnetz A muss Pakete an Host D (172.16.20.200) in Subnetz B senden. Wie im Diagramm gezeigt, verfügt Host A über eine /16-Subnetzmaske. Das bedeutet, dass Host A glaubt, direkt mit dem gesamten Netzwerk 172.16.0.0 verbunden zu sein. Wenn Host A mit Geräten kommunizieren muss, die seiner Meinung nach direkt verbunden sind, sendet er eine ARP-Anforderung an das Ziel. Wenn Host A ein Paket an Host D senden muss, glaubt Host A, dass Host D direkt verbunden ist, und sendet daher eine ARP-Anforderung an Host D.

Um Host D (172.16.20.200) zu erreichen, benötigt Host A die MAC-Adresse von Host D.

Host A sendet daher eine ARP-Anforderung an Subnetz A, wie dargestellt:

MAC-Adresse des Absenders IP-Adresse des Absenders MAC-Zieladresse Target IP address
00-00-0c-94-36-aa 172.16.10.100 00-00-00-00-00-00 172.16.20.200

In dieser ARP-Anforderung fordert Host A (172.16.10.100) an, dass Host D (172.16.20.200) seine MAC-Adresse sendet. Das ARP-Anforderungspaket wird dann in einem Ethernet-Frame mit der MAC-Adresse von Host A als Quelladresse und einer Broadcast-Adresse (FFFF.FFFF.FFFF) als Zieladresse gekapselt. Da es sich bei der ARP-Anforderung um eine Broadcast-Anforderung handelt, erreicht sie alle Knoten im Subnetz A, das die e0-Schnittstelle des Routers enthält, jedoch nicht Host D. Der Broadcast erreicht Host D nicht, da die Router standardmäßig keine Broadcasts weiterleiten.

Da der Router weiß, dass sich die Zieladresse (172.16.20.200) in einem anderen Subnetz befindet und Host D erreichen kann, antwortet er mit seiner eigenen MAC-Adresse auf Host A.

MAC-Adresse des Absenders IP-Adresse des Absenders MAC-Zieladresse Target IP address
00-00-0c-94-36-ab 172.16.20.200 00-00-0c-94-36-aa 172.16.10.100

Dies ist die Proxy-ARP-Antwort, die der Router an Host A sendet. Das Proxy-ARP-Antwortpaket wird in einem Ethernet-Frame mit der MAC-Adresse des Routers als Quelladresse und der MAC-Adresse von Host A als Zieladresse eingekapselt. Die ARP-Antworten werden immer als Unicast an den ursprünglichen Anforderer gesendet.

Nach Erhalt dieser ARP-Antwort aktualisiert Host A seine ARP-Tabelle wie folgt:

IP-Adresse MAC-Adresse
172.16.20.200 00-00-0c-94-36-ab

Von nun an leitet Host A alle Pakete, die 172.16.20.200 (Host D) erreichen sollen, an die MAC-Adresse 00-00-0c-94-36-ab (Router) weiter. Da der Router weiß, wie er Host D erreicht, leitet der Router das Paket an Host D weiter. Der ARP-Cache auf den Hosts in Subnetz A wird mit der MAC-Adresse des Routers für alle Hosts in Subnetz B gefüllt. Daher werden alle Pakete, die an Subnetz B gerichtet sind, an den Router gesendet. Der Router leitet diese Pakete an die Hosts in Subnetz B weiter.

Der ARP-Cache von Host A ist in der folgenden Tabelle dargestellt:

IP-Adresse MAC-Adresse
172.16.20.200 00-00-0c-94-36-ab
172.16.20.100 00-00-0c-94-36-ab
172.16.10.99 00-00-0c-94-36-ab
172.16.10.200 00-00-0c-94-36-bb

Hinweis: Einer einzelnen MAC-Adresse, der MAC-Adresse dieses Routers, werden mehrere IP-Adressen zugeordnet. Dies zeigt an, dass Proxy-ARP verwendet wird.

Die Cisco-Schnittstelle muss so konfiguriert werden, dass sie Proxy-ARP akzeptiert und darauf reagiert. Dies ist standardmäßig aktiviert. Die Fehlermeldung no ip proxy-arp muss auf der Schnittstelle des mit dem ISP-Router verbundenen Routers konfiguriert werden. Proxy-ARP kann über den Schnittstellenkonfigurationsbefehl für jede Schnittstelle einzeln deaktiviert werden. no ip proxy-arp, wie dargestellt:

Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# interface ethernet 0 Router(config-if)# no ip proxy-arp Router(config-if)# ^Z Router#

Um den Proxy-ARP auf einer Schnittstelle zu aktivieren, geben Sie ip proxy-arp interface configuration-Befehl.

Hinweis: Wenn Host B (172.16.10.200/24) in Subnetz A versucht, Pakete an Ziel-Host D (172.16.20.200) in Subnetz B zu senden, prüft er dessen IP-Routing-Tabelle und leitet das Paket entsprechend weiter. Host B (172.16.10.200/24) führt für die IP-Adresse von Host D (172.16.20.200) kein ARP aus, da er zu einem anderen Subnetz gehört als das, was auf der Host-B-Ethernet-Schnittstelle 172.16.20.200/24 konfiguriert ist.

Vorteile von Proxy-ARP

Der Hauptvorteil des Proxy-ARP besteht darin, dass es einem einzelnen Router in einem Netzwerk hinzugefügt werden kann und die Routing-Tabellen der anderen Router im Netzwerk nicht stört.

Proxy-ARP muss im Netzwerk verwendet werden, in dem IP-Hosts nicht mit einem Standard-Gateway konfiguriert sind oder über keine intelligenten Routingfunktionen verfügen.

Nachteile von Proxy-ARP

Hosts haben keine Ahnung von den physischen Details ihres Netzwerks und nehmen an, dass es sich um ein flaches Netzwerk handelt, in dem sie jedes Ziel erreichen können, indem sie einfach eine ARP-Anfrage senden. Die Verwendung von ARP hat jedoch Nachteile. Dies sind einige der Nachteile: * Dies erhöht den ARP-Datenverkehr in Ihrem Segment.

  • Hosts benötigen größere ARP-Tabellen, um IP-MAC-Adresszuordnungen handhaben zu können.
  • Sicherheit kann untergraben werden. Eine Maschine kann behaupten, eine andere zu sein, um Pakete abzufangen, was als "Spoofing" bezeichnet wird.
  • Dies funktioniert nicht in Netzwerken, die ARP nicht für die Adressauflösung verwenden.
  • Es wird nicht für alle Netzwerktopologien verallgemeinert. Beispiel: mehrere Router, die zwei physische Netzwerke verbinden.


Zugehörige Informationen


https://www.cisco.com/c/de_de/support/docs/ip/dynamic-address-allocation-resolution/13718-5.html

Proxy ARP

Proxy ARP is a technique by which a proxy server on a given network answers the Address Resolution Protocol (ARP) queries for an IP address that is not on that network. The proxy is aware of the location of the traffic's destination and offers its own MAC address as the (ostensibly final) destination.[1] The traffic directed to the proxy address is then typically routed by the proxy to the intended destination via another interface or via a tunnel.

The process, which results in the proxy server responding with its own MAC address to an ARP request for a different IP address for proxying purposes, is sometimes referred to as publishing.

Uses

Below are some typical uses for proxy ARP:

Joining a broadcast LAN with serial links (e.g., dialup or VPN connections).
Assume an Ethernet broadcast domain (e.g., a group of stations connected to the same hub or switch (VLAN)) using a certain IPv4 address range (e.g., 192.168.0.0/24, where 192.168.0.1 – 192.168.0.127 are assigned to wired nodes). One or more of the nodes is an access router accepting dialup or VPN connections. The access router gives the dial-up nodes IP addresses in the range 192.168.0.128 – 192.168.0.254; for this example, assume a dial-up node gets IP address 192.168.0.254.
The access router uses proxy ARP to make the dial-up node present in the subnet without being wired into the Ethernet: the access router 'publishes' its own MAC address for 192.168.0.254. Now, when another node wired into the Ethernet wants to talk to the dial-up node, it will ask on the network for the MAC address of 192.168.0.254 and find the access router's MAC address. It will therefore send its IP packets to the access router, and the access router will know to pass them on to the particular dial-up node. All dial-up nodes therefore appear to the wired Ethernet nodes as if they are wired into the same Ethernet subnet.
Taking multiple addresses from a LAN
Assume a station (e.g., a server) with an interface (10.0.0.2) connected to a network (10.0.0.0/24). Certain applications may require multiple IP addresses on the server. Provided the addresses have to be from the 10.0.0.0/24 range, the way the problem is solved is through proxy ARP. Additional addresses (say, 10.0.0.230-10.0.0.240) are aliased to the loopback interface of the server (or assigned to special interfaces, the latter typically being the case with VMware/UML/jails/vservers/other virtual server environments) and 'published' on the 10.0.0.2 interface (although many operating systems allow direct allocation of multiple addresses to one interface, thus eliminating the need for such workarounds).
On a firewall
In this scenario a firewall can be configured with a single IP address. One simple example of a use for this would be placing a firewall in front of a single host or group of hosts on a subnetwork. Example: A network (10.0.0.0/8) has a server (10.0.0.20) that should be protected. A proxy ARP firewall can be placed in front of the server. In this way the server is put behind a firewall without having to make any further changes to the network.
Mobile-IP
In case of Mobile-IP the Home Agent uses proxy ARP in order to receive messages on behalf of the Mobile Node so that it can forward the appropriate message to the actual mobile node's address (Care-of address).
Transparent subnet gatewaying
A setup that involves two physical segments sharing the same IP subnet and connected together via a router. This use is documented in RFC 1027.
Redundancy
ARP manipulation techniques are the basis for protocols providing redundancy on broadcast networks (e.g., Ethernet), most notably Common Address Redundancy Protocol and Virtual Router Redundancy Protocol.

Disadvantages

Disadvantage of proxy ARP include scalability as ARP resolution by a proxy is required for every device routed in this manner, and reliability as no fallback mechanism is present, and masquerading can be confusing in some environments.

Proxy ARP can create DoS attacks on networks if misconfigured. For example, a misconfigured router with proxy ARP has the ability to receive packets destined for other hosts (as it gives its own MAC address in response to ARP requests for other hosts/routers), but may not have the ability to correctly forward these packets on to their final destination, thus blackholing the traffic.

Proxy ARP can hide device misconfigurations, such as a missing or incorrect default gateway.

Implementations


References

  1. "Pseudo-bridges with Proxy-ARP".


Further reading

  • Multi-LAN Address Resolution. RFC 925.
  • Using ARP to Implement Transparent Subnet Gateways. RFC 1027.
  • W. Richard Stevens. The Protocols (TCP/IP Illustrated, Volume 1). Addison-Wesley Professional; 1st edition (December 31, 1993). ISBN 0-201-63346-9


https://en.wikipedia.org/wiki/Proxy_ARP

Abgerufen von „https://wiki.foxtom.de/index.php?title=Proxy_ARP&oldid=60036