Zur Startseite gehen
0,00 €*

Nachbarn (ARP–NDP)

Die Sophos Firewall verwendet das Address Resolution Protocol (ARP) und das Neighbor Discover Protocol (NDP), um die Kommunikation zwischen Hosts im selben Subnetz zu ermöglichen. Mithilfe dieser Protokolle werden IP/MAC-Zuordnungen erstellt und in Neighbor-Caches gespeichert. Statische Zuordnungen werden ebenfalls unterstützt. Die Firewall erkennt mithilfe zwischengespeicherter Einträge Neighbor-Poisoning-Versuche.

ARP dient zum Ermitteln der Link-Layer-Adresse (MAC-Adresse), die einer IPv4-Adresse zugeordnet ist. Hosts ermitteln die physische Adresse anderer Hosts, indem sie ein ARP-Abfragepaket senden, das die IP-Adresse des Empfängers enthält. Sobald die Antwort zurückkommt, aktualisiert die Firewall den Nachbar-Cache mit der entsprechenden MAC-Adresse. Um den Broadcast-Verkehr zu minimieren, verwendet die Firewall zuvor erlernte IP/MAC-Zuordnungen erneut. NDP bietet ähnliche Funktionen für IPv6-Adressen.

Notiz

Das Standard-Timeout für ARP- und NDP-Anfragen beträgt 600 Sekunden (10 Minuten).

Dynamische Nachbareinträge sind gelernte Einträge und werden dynamisch aktualisiert.

  • Um einen Nachbarcache anzuzeigen, wählen Sie IPv4-Nachbarcache oder IPv6-Nachbarcache aus dem Zeigen Liste.

Nachbar-Caches bleiben bestehen, bis sie geleert werden. Durch das Leeren der Caches können neue Informationen (z. B. eine geänderte IP-Adresse) abgerufen und in den Caches gespeichert werden.

  • Um das Intervall festzulegen, in dem die Caches automatisch geleert werden, geben Sie einen Wert für das Zeitüberschreitung beim Eintrag im Nachbarcache und klicken Sie auf Anwenden.
  • Um einen Cache manuell zu leeren, wählen Sie einen Cache aus dem Zeigen und klicken Sie auf Spülen.

Statische Nachbareinträge werden manuell definiert und aktualisiert. Mit einem statischen Nachbareintrag können Sie eine MAC-Adresse an eine IP-Adresse und einen Port binden. Sobald die MAC-Adresse an einen Port und eine IP-Adresse gebunden ist, entfernt die Firewall alle dynamisch zwischengespeicherten Verweise auf diese IP-Adresse und lässt keine weiteren statischen Zuordnungen dieser IP-Adresse zu. Die Firewall reagiert auf dieses IP/MAC-Paar an keinem anderen Port.

  • Um statische Nachbareinträge anzuzeigen, wählen Sie Statische Nachbartabelle aus dem Zeigen Liste.
  • Um einen statischen Eintrag hinzuzufügen, klicken Sie auf Hinzufügen.

Die Firewall führt die Nachbarsuche in der statischen Nachbartabelle durch, wenn sie die Anfrage an einem bestimmten Port empfängt. Ist ein Eintrag in der Tabelle nicht verfügbar, prüft die Firewall die Nachbar-Caches und fügt bei Bedarf die MAC-Adresse hinzu.

Wenn die Firewall die Nachbarsuche in der statischen Nachbartabelle durchführt und eine Nichtübereinstimmung bei einer IP-Adresse oder MAC-Adresse vorliegt, betrachtet die Firewall dies als einen Nachbarvergiftungsversuch und aktualisiert den Nachbarcache nicht.

  • Um mögliche Vergiftungsversuche aufzuzeichnen, wählen Sie die Protokollieren Sie mögliche Neighbor-Poisoning-Versuche und klicken Sie auf Anwenden.

    Tipp

    Sie können ARP-Poisoning-Versuche in der CLI-Konsole mit dem drop-packet-capture Befehl. Siehe Drop-Paket-Erfassung.

Vergiftung der Nachbarn

Im folgenden Beispiel wird IP1 auf MAC1 abgebildet und das IP1/MAC1-Paar an Port A gebunden. Ebenso wird IP2 auf MAC1 abgebildet und das IP2/MAC1-Paar an Port A gebunden.

IP-Adresse MAC-Adresse Hafen Vergiftungsversuch für Nachbarn?
IP1 MAC1 A NEIN
IP1 MAC1 Jeder andere Port als A Ja
IP1 MAC2 A Ja
IP1 MAC2 Jeder andere Port als A Ja
IP3 MAC1 Kein statisches ARP NEIN
IP2 MAC1 A NEIN
IP2 MAC1 Jeder andere Port als A Ja
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung