ネイバー (ARP-NDP)
Sophos Firewall は ARP (Address Resolution Protocol) と NDP (Neighbor Discovery Protocol) というプロトコルを使って、同じサブネットにあるホスト間の通信を有効にします。これらのプロトコルによって IP/MAC マッピングが作成され、ネイバーキャッシュに保存されます。スタティックマッピングもサポートされています。ファイアウォールはキャッシュされたエントリを使って、ネイバーに危害を与える試みを検出します。
ARP は、IPv4 アドレスに関連付けられているリンク層アドレス (MAC アドレス) を検出するための仕組みです。受信者の IP アドレスを含む ARP クエリパケットを送信して、ホストは別のホストの物理アドレスを検出します。応答が返されると、ファイアウォールはネイバーキャッシュをその MAC アドレスで更新します。ブロードキャストトラフィックを最小に抑えるために、ファイアウォールは学習済みの IP/MAC マッピング情報を再利用します。NDP は、IPv6 アドレスについて同様の処理を行います。
注
ARP 要求および NDP 要求のデフォルトのタイムアウトは 600秒 (10分) です。
ダイナミックネイバーエントリとは、自動的に学習・更新されるエントリです。
- ネイバーキャッシュを表示するには、「表示」リストから「IPv4 ネイバーのキャッシュ」または「IPv6 ネイバーのキャッシュ」を選択します。
ネイバーキャッシュはフラッシュされるまで持続します。キャッシュをフラッシュすることにより、新規情報 (変更後の IP アドレスなど) を学習して保存できるようになります。
- キャッシュを自動的にフラッシュする間隔を指定するには、「ネイバーのキャッシュエントリのタイムアウト」の値を入力し、「適用」をクリックします。
- キャッシュを手動でフラッシュするには、「表示」リストからキャッシュを選択し、「フラッシュ」をクリックします。
スタティックネイバーエントリは、手動で定義・更新するエントリです。スタティクネイバーエントリを使うと、MAC アドレスを IP アドレスとポートにバインドすることができます。MAC アドレスをいったんポートと IP アドレスにバインドすると、その IP アドレスに動的にキャッシュされた参照が削除されます。また、その IP アドレスにスタティックマッピングを追加することはできません。ファイアウォールは、他のポートではこの IP/MAC ペアに応答しません。
- スタティックネイバーエントリを表示するには、「表示」リストから「スタティックネイバーのテーブル」を選択します。
- スタティックエントリを追加するには、「追加」をクリックします。
ファイアウォールは、特定のポートからリクエストを受信すると、スタティックネイバーテーブルでネイバー検索を実行します。テーブル内にエントリがない場合、ネイバーキャッシュを確認し、必要に応じて MAC アドレスを追加します。
ファイアウォールがスタティックネイバーテーブルでネイバー検索を実行したときに、IP アドレスまたは MAC アドレスに不一致が生じた場合、デバイスはネイバーに危害を与える行為とみなし、ネイバーキャッシュを更新しなくなります。
- 危害を与える試みを記録するには、「ネイバーに危害を与える行為をログに記録する」チェックボックスを選択し、「適用」をクリックします。
ネイバーに危害を与える行為
次の例では、IP1 が MAC1 にマップされ、IP1/MAC1 ペアがポート A にバインドされています。同様に、IP2 が MAC1 にマップされ、IP2/MAC1 ペアがポート A にバインドされています。
| IP アドレス | MAC アドレス | ポート | ネイバーに危害を与える行為? |
|---|---|---|---|
| IP1 | MAC1 | A | いいえ |
| IP1 | MAC1 | A 以外のすべてのポート | はい |
| IP1 | MAC2 | A | はい |
| IP1 | MAC2 | A 以外のすべてのポート | はい |
| IP3 | MAC1 | スタティック ARP なし | いいえ |
| IP2 | MAC1 | A | いいえ |
| IP2 | MAC1 | A 以外のすべてのポート | はい |