Nachbarn (ARP–NDP)
Die Sophos Firewall nutzt das Address Resolution Protocol (ARP) und das Neighbor Discover Protocol (NDP), um die Kommunikation zwischen Hosts im selben Subnetz zu ermöglichen. Mithilfe dieser Protokolle erstellt sie IP/MAC-Zuordnungen und speichert diese in Nachbarcaches. Statische Zuordnungen werden ebenfalls unterstützt. Die Firewall verwendet zwischengespeicherte Einträge, um Neighbor-Poisoning-Versuche zu erkennen.
ARP dient der Ermittlung der zu einer IPv4-Adresse gehörenden Link-Layer-Adresse (MAC-Adresse). Hosts ermitteln die physische Adresse anderer Hosts, indem sie ein ARP-Anfragepaket senden, das die IP-Adresse des Empfängers enthält. Nach Erhalt der Antwort aktualisiert die Firewall den Nachbarcache mit der entsprechenden MAC-Adresse. Um den Broadcast-Verkehr zu minimieren, verwendet die Firewall bereits gelernte IP/MAC-Zuordnungen wieder. NDP bietet eine ähnliche Funktionalität für IPv6-Adressen.
Notiz
Das Standard-Timeout für ARP- und NDP-Anfragen beträgt 600 Sekunden (10 Minuten).
Dynamische Nachbareinträge sind gelernte Einträge und werden dynamisch aktualisiert.
- Um einen Nachbar-Cache anzuzeigen, wählen Sie IPv4-Nachbarcache oder IPv6-Nachbarcache von Zeigen Liste.
Nachbar-Caches bleiben so lange erhalten, bis sie geleert werden. Durch das Leeren der Caches können neue Informationen (z. B. eine geänderte IP-Adresse) erfasst und in den Caches gespeichert werden.
- Um das Intervall festzulegen, in dem die Caches automatisch geleert werden, geben Sie einen Wert für die Timeout für Nachbar-Cache-Eintrag und klicken Anwenden.
- Um einen Cache manuell zu leeren, wählen Sie einen Cache aus der Liste aus. Zeigen Liste und Klick Spülen.
Statische Nachbareinträge werden manuell definiert und aktualisiert. Mit einem statischen Nachbareintrag können Sie eine MAC-Adresse an eine IP-Adresse und einen Port binden. Sobald die MAC-Adresse an einen Port und eine IP-Adresse gebunden ist, entfernt die Firewall alle dynamisch zwischengespeicherten Verweise auf diese IP-Adresse und lässt keine weiteren statischen Zuordnungen dieser IP-Adresse zu. Die Firewall antwortet auf dieses IP/MAC-Paar auf keinem anderen Port.
- Um statische Nachbareinträge anzuzeigen, wählen Sie Statische Nachbartabelle von Zeigen Liste.
- Um einen statischen Eintrag hinzuzufügen, klicken Sie Hinzufügen.
Die Firewall führt beim Empfang einer Anfrage über einen bestimmten Port eine Nachbarsuche in der statischen Nachbartabelle durch. Ist kein Eintrag in der Tabelle vorhanden, prüft die Firewall die Nachbarcaches und fügt die MAC-Adresse gegebenenfalls hinzu.
Wenn die Firewall die Nachbarsuche in der statischen Nachbartabelle durchführt und dabei eine Diskrepanz zwischen einer IP-Adresse oder einer MAC-Adresse feststellt, betrachtet die Firewall dies als Neighbor Poisoning-Versuch und aktualisiert den Nachbarcache nicht.
-
Um mögliche Vergiftungsversuche zu protokollieren, wählen Sie die entsprechende Option aus. Mögliche Vergiftungsversuche von Nachbarn protokollieren Kontrollkästchen aktivieren und klicken Anwenden.
Tipp
Sie können ARP-Poisoning-Versuche in der CLI-Konsole mit dem
drop-packet-captureBefehl. Siehe drop-packet-capture.
Vergiftung des Nachbarn
Im folgenden Beispiel wird IP1 auf MAC1 abgebildet und das IP1/MAC1-Paar an Port A gebunden. Analog dazu wird IP2 auf MAC1 abgebildet und das IP2/MAC1-Paar an Port A gebunden.
| IP-Adresse | MAC-Adresse | Hafen | Vergiftungsversuch des Nachbarn? |
|---|---|---|---|
| IP1 | MAC1 | A | NEIN |
| IP1 | MAC1 | Jeder andere Anschluss außer A | Ja |
| IP1 | MAC2 | A | Ja |
| IP1 | MAC2 | Jeder andere Anschluss außer A | Ja |
| IP3 | MAC1 | Kein statisches ARP | NEIN |
| IP2 | MAC1 | A | NEIN |
| IP2 | MAC1 | Jeder andere Anschluss außer A | Ja |