Nachbarn (ARP–NDP)
Die Sophos Firewall verwendet das Address Resolution Protocol (ARP) und das Neighbor Discover Protocol (NDP), um die Kommunikation zwischen Hosts im selben Subnetz zu ermöglichen. Mithilfe dieser Protokolle werden IP/MAC-Zuordnungen erstellt und in Neighbor-Caches gespeichert. Statische Zuordnungen werden ebenfalls unterstützt. Die Firewall erkennt mithilfe zwischengespeicherter Einträge Neighbor-Poisoning-Versuche.
ARP dient zum Ermitteln der Link-Layer-Adresse (MAC-Adresse), die einer IPv4-Adresse zugeordnet ist. Hosts ermitteln die physische Adresse anderer Hosts, indem sie ein ARP-Abfragepaket senden, das die IP-Adresse des Empfängers enthält. Sobald die Antwort zurückkommt, aktualisiert die Firewall den Nachbar-Cache mit der entsprechenden MAC-Adresse. Um den Broadcast-Verkehr zu minimieren, verwendet die Firewall zuvor erlernte IP/MAC-Zuordnungen erneut. NDP bietet ähnliche Funktionen für IPv6-Adressen.
Notiz
Das Standard-Timeout für ARP- und NDP-Anfragen beträgt 600 Sekunden (10 Minuten).
Dynamische Nachbareinträge sind gelernte Einträge und werden dynamisch aktualisiert.
- Um einen Nachbarcache anzuzeigen, wählen Sie IPv4-Nachbarcache oder IPv6-Nachbarcache aus dem Zeigen Liste.
Nachbar-Caches bleiben bestehen, bis sie geleert werden. Durch das Leeren der Caches können neue Informationen (z. B. eine geänderte IP-Adresse) abgerufen und in den Caches gespeichert werden.
- Um das Intervall festzulegen, in dem die Caches automatisch geleert werden, geben Sie einen Wert für das Zeitüberschreitung beim Eintrag im Nachbarcache und klicken Sie auf Anwenden.
- Um einen Cache manuell zu leeren, wählen Sie einen Cache aus dem Zeigen und klicken Sie auf Spülen.
Statische Nachbareinträge werden manuell definiert und aktualisiert. Mit einem statischen Nachbareintrag können Sie eine MAC-Adresse an eine IP-Adresse und einen Port binden. Sobald die MAC-Adresse an einen Port und eine IP-Adresse gebunden ist, entfernt die Firewall alle dynamisch zwischengespeicherten Verweise auf diese IP-Adresse und lässt keine weiteren statischen Zuordnungen dieser IP-Adresse zu. Die Firewall reagiert auf dieses IP/MAC-Paar an keinem anderen Port.
- Um statische Nachbareinträge anzuzeigen, wählen Sie Statische Nachbartabelle aus dem Zeigen Liste.
- Um einen statischen Eintrag hinzuzufügen, klicken Sie auf Hinzufügen.
Die Firewall führt die Nachbarsuche in der statischen Nachbartabelle durch, wenn sie die Anfrage an einem bestimmten Port empfängt. Ist ein Eintrag in der Tabelle nicht verfügbar, prüft die Firewall die Nachbar-Caches und fügt bei Bedarf die MAC-Adresse hinzu.
Wenn die Firewall die Nachbarsuche in der statischen Nachbartabelle durchführt und eine Nichtübereinstimmung bei einer IP-Adresse oder MAC-Adresse vorliegt, betrachtet die Firewall dies als einen Nachbarvergiftungsversuch und aktualisiert den Nachbarcache nicht.
-
Um mögliche Vergiftungsversuche aufzuzeichnen, wählen Sie die Protokollieren Sie mögliche Neighbor-Poisoning-Versuche und klicken Sie auf Anwenden.
Tipp
Sie können ARP-Poisoning-Versuche in der CLI-Konsole mit dem
drop-packet-captureBefehl. Siehe Drop-Paket-Erfassung.
Vergiftung der Nachbarn
Im folgenden Beispiel wird IP1 auf MAC1 abgebildet und das IP1/MAC1-Paar an Port A gebunden. Ebenso wird IP2 auf MAC1 abgebildet und das IP2/MAC1-Paar an Port A gebunden.
| IP-Adresse | MAC-Adresse | Hafen | Vergiftungsversuch für Nachbarn? |
|---|---|---|---|
| IP1 | MAC1 | A | NEIN |
| IP1 | MAC1 | Jeder andere Port als A | Ja |
| IP1 | MAC2 | A | Ja |
| IP1 | MAC2 | Jeder andere Port als A | Ja |
| IP3 | MAC1 | Kein statisches ARP | NEIN |
| IP2 | MAC1 | A | NEIN |
| IP2 | MAC1 | Jeder andere Port als A | Ja |