ネイバー (ARP-NDP)

Sophos Firewall は ARP (Address Resolution Protocol) と NDP (Neighbor Discovery Protocol) というプロトコルを使って、同じサブネットにあるホスト間の通信を有効にします。これらのプロトコルによって IP/MAC マッピングが作成され、ネイバーキャッシュに保存されます。スタティックマッピングもサポートされています。ファイアウォールはキャッシュされたエントリを使って、ネイバーに危害を与える試みを検出します。

ARP は、IPv4 アドレスに関連付けられているリンク層アドレス (MAC アドレス) を検出するための仕組みです。受信者の IP アドレスを含む ARP クエリパケットを送信して、ホストは別のホストの物理アドレスを検出します。応答が返されると、ファイアウォールはネイバーキャッシュをその MAC アドレスで更新します。ブロードキャストトラフィックを最小に抑えるために、ファイアウォールは学習済みの IP/MAC マッピング情報を再利用します。NDP は、IPv6 アドレスについて同様の処理を行います。

ダイナミックネイバーエントリとは、自動的に学習・更新されるエントリです。

• ネイバーキャッシュを表示するには、「表示」リストから「IPv4 ネイバーのキャッシュ」または「IPv6 ネイバーのキャッシュ」を選択します。

ネイバーキャッシュはフラッシュされるまで持続します。キャッシュをフラッシュすることにより、新規情報 (変更後の IP アドレスなど) を学習して保存できるようになります。

• キャッシュを自動的にフラッシュする間隔を指定するには、「ネイバーのキャッシュエントリのタイムアウト」の値を入力し、「適用」をクリックします。
• キャッシュを手動でフラッシュするには、「表示」リストからキャッシュを選択し、「フラッシュ」をクリックします。

スタティックネイバーエントリは、手動で定義・更新するエントリです。スタティクネイバーエントリを使うと、MAC アドレスを IP アドレスとポートにバインドすることができます。MAC アドレスをいったんポートと IP アドレスにバインドすると、その IP アドレスに動的にキャッシュされた参照が削除されます。また、その IP アドレスにスタティックマッピングを追加することはできません。ファイアウォールは、他のポートではこの IP/MAC ペアに応答しません。

• スタティックネイバーエントリを表示するには、「表示」リストから「スタティックネイバーのテーブル」を選択します。
• スタティックエントリを追加するには、「追加」をクリックします。

ファイアウォールは、特定のポートからリクエストを受信すると、スタティックネイバーテーブルでネイバー検索を実行します。テーブル内にエントリがない場合、ネイバーキャッシュを確認し、必要に応じて MAC アドレスを追加します。

ファイアウォールがスタティックネイバーテーブルでネイバー検索を実行したときに、IP アドレスまたは MAC アドレスに不一致が生じた場合、デバイスはネイバーに危害を与える行為とみなし、ネイバーキャッシュを更新しなくなります。

• 危害を与える試みを記録するには、「ネイバーに危害を与える行為をログに記録する」チェックボックスを選択し、「適用」をクリックします。

  ヒント

  ARP ポイズニングの試行は、CLI コンソールで drop-packet-capture コマンドを使用して表示できます。drop-packet-capture を参照してください。

ネイバーに危害を与える行為

次の例では、IP1 が MAC1 にマップされ、IP1/MAC1 ペアがポート A にバインドされています。同様に、IP2 が MAC1 にマップされ、IP2/MAC1 ペアがポート A にバインドされています。