Regisztráció

ARP Proxy

A Proxy ARP (Meghatalmazott ARP) egy olyan hálózati technika, amely során egy réteg-3-as eszköz (leggyakrabban egy router vagy tűzfal) válaszol meg egy olyan ARP-kérést, amelyet eredetileg egy másik eszköznek címeztek.

A router lényegében „beugrik” a valódi címzett helyett: a saját hálózati kártyájának a fizikai MAC-címét küldi vissza a kérdezőnek. Erre akkor van szükség, ha a küldő eszköz azt hiszi, hogy a célpont ugyanazon a helyi (Ethernet) hálózaton van, mint ő, de a valóságban egy másik hálózatban (alhalózatban) helyezkedik el, amit egy router választ el tőlük.

Egyszerű hasonlat a működésére

Maradjunk az ARP-nél használt iskolai példánál, de csavarjunk rajta egyet.

Egy diák az „A” osztályteremben be akar adni egy dolgozatot Németh Pálnak (IP-cím). A diák tévesen azt hiszi, hogy Németh Pál is az „A” teremben ül, ezért elkiáltja magát: „Ki az a Németh Pál? Kérlek, emeld fel a kezed!”

Németh Pál azonban valójában a szomszédos „B” osztályteremben ül, így nem is hallja a kiabálást.

Szerencsére a két terem közötti ajtóban áll a folyosói ügyeletes tanár (a router). A tanár hallja a kiabálást, és pontosan tudja, hogy Németh Pál a másik teremben van. Ahelyett, hogy hagyná elnémulni a kérdést, a tanár felemeli a kezét, és visszaszól az „A” terembe: „Én vagyok az, add ide nekem a papírt!” (Proxy ARP-válasz).

A diák odaadja a dolgozatot a tanárnak (a router MAC-címére küldi az adatot). A tanár ezután átsétál a „B” terembe, és személyesen átadja azt Németh Pálnak. A küldő diák az egészből semmit sem vesz észre: szentül meg van győződve róla, hogy közvetlenül a címzettnek adta oda a papírt.

Működés az Ethernet hálózaton

Tegyük fel, hogy az „A” gép IP-címe 192.168.1.10, a „B” gépé pedig 192.168.2.50. Az „A” gép hibás hálózati beállítások (például rossz alhálózati maszk) miatt azt hiszi, hogy „B” gép vele egy hálózaton van.

  1. Az ARP-kérés kiküldése:

    Az „A” gép ahelyett, hogy az alapártelmezett átjárónak (routernek) küldené a csomagot, egy helyi Broadcast ARP-kérést indít el: „Kié a 192.168.2.50-es IP-cím? Küldd el a MAC-címedet!”

  2. A Router közbelépése:

    Mivel a „B” gép egy másik hálózaton van, a Broadcast üzenet nem ér el hozzá. A két hálózatot összekötő router viszont megkapja ezt a kérést az egyik interfészén.

  3. A Router ellenőrzése:

    A router megnézi a saját belső útválasztási tábláját (Routing Table), és látja, hogy a 192.168.2.50-es IP-cím (a „B” gép) a másik oldalán, egy másik hálózati interfészen keresztül elérhető.

  4. A Proxy ARP-válasz:

    A router összeállít egy ARP-választ, és visszaküldi az „A” gépnek. A üzenetben ez áll: „A 192.168.2.50 én vagyok, küldd az adatokat a 00:11:22:AA:BB:CC MAC-címre!” (Ez a router saját hálózati kártyájának címe).

  5. Adatforgalom:

    Az „A” gép elmenti az ARP-táblájába, hogy a távoli „B” gép IP-címéhez a router MAC-címe tartozik. Ezután minden adatcsomagot közvetlenül a routernek címezve küld el. A router átveszi ezeket a csomagokat, és a normál útválasztási szabályok szerint továbbküldi őket a valódi „B” gépnek.

Miért jó, és miért veszélyes?

  • Előnye: Segít összekötni olyan hálózatokat vagy régebbi eszközöket, amelyek nincsenek tisztában a hálózati határokkal (alhálózatokkal), anélkül, hogy át kellene konfigurálni őket.

  • Hátránya / Veszélye: Növeli a hálózati Broadcast forgalmat, feleslegesen duzzasztja az eszközök ARP-tábláját, illetve biztonsági kockázatot is jelenthet (mivel a támadók hasonló módon, hamis ARP-válaszokkal hallgathatják le a forgalmat – ezt nevezzük ARP Spoofing-nak).