Nachbarn (ARP-NDP)

Die Firewall verwendet das Address Resolution Protocol (ARP) und Neighbor Discover Protocol (NDP), um die Kommunikation zwischen Hosts im gleichen Subnetz zu ermöglichen. Mithilfe dieser Protokolle, erzeugt die Firewall IP-MAC-Zuordnungen und speichert sie in Nachbar-Caches (Zwischenspeicher). Statische Zuordnungen werden auch unterstützt. Die Firewall verwendet zwischengespeicherte Einträge, um Neighbor-Poisoning-Attempts (versuchte Sicherheitsangriffe von Nachbarn) zu erkennen.

ARP wird verwendet, um die Link-Layer-Adresse (MAC-Adresse) herauszufinden, die mit einer IPv4-Adresse verbunden ist. Hosts finden die physikalische Adresse anderer Hosts heraus, indem sie ein ARP-Abfragepaket sendet, das die IP-Adresse des Empfängers enthält. Wenn die Antwort zurückgeliefert wird, aktualisiert die Firewall den Nachbar-Cache mit der entsprechenden MAC-Adresse. Um den Broadcast-Verkehr zu verringern, greift die Firewall auf vorher gelernte IP-MAC-Zuordnungen zurück. NDP bietet eine ähnliche Funktionalität für IPv6-Adressen.

Dynamische Nachbareinträge sind gelernte Einträge und werden dynamisch aktualisiert.

  • Um einen Nachbar-Cache zu sehen, wählen Sie IPv4-Nachbar-Cache oder IPv6-Nachbar-Cache aus der Liste Anzeigen.

Nachbar-Caches bestehen bis sie geleert werden. Das Leeren von Caches ermöglicht das Lernen und Speicher von neuen Informationen (z.B. einer geänderten IP-Adresse) in den Caches.

  • Um das Intervall festzulegen, in dem die Caches automatisch geleert werden, geben Sie einen Wert für Nachbar-Cache-Eintrag-Zeitüberschreitung ein und klicken Sie auf Übernehmen.
  • Um einen Cache manuell zu leeren, wählen Sie einen Cache aus der Liste Anzeigen aus und klicken Sie auf Leeren.

Statische Nachbareinträge werden festgelegt und manuell aktualisiert. Ein statischer Nachbar-Eintrag ermöglicht Ihnen, eine MAC-Adresse an eine IP-Adresse und einen Port zu binden. Sobald die MAC-Adresse an einen Port und eine IP-Adresse gebunden ist, entfernt die Firewall alle dynamisch zwischengespeicherten Bezüge zu dieser IP-Adresse und wird keine zusätzlichen statische Zuordnungen von dieser IP-Adresse zulassen. Die Firewall wird nicht auf dieses IP-MAC-Paar auf irgendeinem anderen Port reagieren.

  • Um statische Nachbareinträge zu sehen, wählen Sie Tabelle statischer Nachbarn aus der Liste Anzeigen aus.
  • Um einen neuen statischen Eintrag hinzuzufügen, klicken Sie auf Hinzufügen.

Die Firewall nimmt die Suche in der statischen Nachbar-Tabelle vor, wenn sie die Anfrage an einem bestimmten Port empfängt. Ist ein Eintrag nicht in der Tabelle verfügbar, schaut die Firewall in den Nachbar-Caches nach und fügt die MAC-Adresse gegebenenfalls zum Nachbar-Cache hinzu.

Wenn die Firewall einen Nachbar-Lookup in der statischen Nachbartabelle durchführt und die Übereinstimmung in einer IP-Adresse oder MAC-Adresse fehlt, geht die Firewall von einem versuchten Nachbar-Sicherheitsangriff aus und aktualisiert ihren Nachbar-Cache nicht.

  • Um mögliche Nachbar-Sicherheitsangriffe aufzuzeichnen, wählen Sie das Kontrollkästchen Mögliche Poisoning-Angriffe des Nachbarn protokollieren und klicken Sie auf Übernehmen.

Nachbar-Sicherheitsangriffe

Im folgenden Beispiel ist IP1 MAC1 zugeordnet und das IP1/MAC1-Paar ist an Port A gebunden. Gleichfalls ist IP2 MAC1 zugeordnet und das IP2/MAC1-Paar ist an Port A gebunden.

IP-Adresse MAC-Adresse Port Versuchter Nachbar-Sicherheitsangriff?
IP1 MAC1 A Nein
IP1 MAC1 Jeder andere Port außer A Ja
IP1 MAC2 A Ja
IP1 MAC2 Jeder andere Port außer A Ja
IP3 MAC1 Kein statisches ARP Nein
IP2 MAC1 A Nein
IP2 MAC1 Jeder andere Port außer A Ja