Die Firewall verwendet das Address Resolution Protocol (ARP) und Neighbor Discover Protocol (NDP), um die Kommunikation zwischen Hosts im gleichen Subnetz zu ermöglichen. Mithilfe dieser Protokolle, erzeugt die Firewall IP-MAC-Zuordnungen und speichert sie in Nachbar-Caches (Zwischenspeicher). Statische Zuordnungen werden auch unterstützt. Die Firewall verwendet zwischengespeicherte Einträge, um Neighbor-Poisoning-Attempts (versuchte Sicherheitsangriffe von Nachbarn) zu erkennen.
ARP wird verwendet, um die Link-Layer-Adresse (MAC-Adresse) herauszufinden, die mit einer IPv4-Adresse verbunden ist. Hosts finden die physikalische Adresse anderer Hosts heraus, indem sie ein ARP-Abfragepaket sendet, das die IP-Adresse des Empfängers enthält. Wenn die Antwort zurückgeliefert wird, aktualisiert die Firewall den Nachbar-Cache mit der entsprechenden MAC-Adresse. Um den Broadcast-Verkehr zu verringern, greift die Firewall auf vorher gelernte IP-MAC-Zuordnungen zurück. NDP bietet eine ähnliche Funktionalität für IPv6-Adressen.
Dynamische Nachbareinträge sind gelernte Einträge und werden dynamisch aktualisiert.
Nachbar-Caches bestehen bis sie geleert werden. Das Leeren von Caches ermöglicht das Lernen und Speicher von neuen Informationen (z.B. einer geänderten IP-Adresse) in den Caches.
Statische Nachbareinträge werden festgelegt und manuell aktualisiert. Ein statischer Nachbar-Eintrag ermöglicht Ihnen, eine MAC-Adresse an eine IP-Adresse und einen Port zu binden. Sobald die MAC-Adresse an einen Port und eine IP-Adresse gebunden ist, entfernt die Firewall alle dynamisch zwischengespeicherten Bezüge zu dieser IP-Adresse und wird keine zusätzlichen statische Zuordnungen von dieser IP-Adresse zulassen. Die Firewall wird nicht auf dieses IP-MAC-Paar auf irgendeinem anderen Port reagieren.
Die Firewall nimmt die Suche in der statischen Nachbar-Tabelle vor, wenn sie die Anfrage an einem bestimmten Port empfängt. Ist ein Eintrag nicht in der Tabelle verfügbar, schaut die Firewall in den Nachbar-Caches nach und fügt die MAC-Adresse gegebenenfalls zum Nachbar-Cache hinzu.
Wenn die Firewall einen Nachbar-Lookup in der statischen Nachbartabelle durchführt und die Übereinstimmung in einer IP-Adresse oder MAC-Adresse fehlt, geht die Firewall von einem versuchten Nachbar-Sicherheitsangriff aus und aktualisiert ihren Nachbar-Cache nicht.
Im folgenden Beispiel ist IP1 MAC1 zugeordnet und das IP1/MAC1-Paar ist an Port A gebunden. Gleichfalls ist IP2 MAC1 zugeordnet und das IP2/MAC1-Paar ist an Port A gebunden.
IP-Adresse | MAC-Adresse | Port | Versuchter Nachbar-Sicherheitsangriff? |
---|---|---|---|
IP1 | MAC1 | A | Nein |
IP1 | MAC1 | Jeder andere Port außer A | Ja |
IP1 | MAC2 | A | Ja |
IP1 | MAC2 | Jeder andere Port außer A | Ja |
IP3 | MAC1 | Kein statisches ARP | Nein |
IP2 | MAC1 | A | Nein |
IP2 | MAC1 | Jeder andere Port außer A | Ja |