Support-Portal
keyboard_arrow_right keyboard_arrow_left
Auf dieser Seite können Sie die IPv4- und IPv6-ARP-NDP-Nachbarn anzeigen, statische Nachbarn erstellen und vorhandene Nachbarn löschen.
ARP-NDP
TCP/IP verwendet das ARP-Protokoll (Address Resolution Protocol), um eine IPv4-Adresse in eine MAC-Adresse (physische Netzwerkadresse) zu übersetzen. Mit anderen Worten: Es ordnet Schicht 3 (IPv4-Adressen) Schicht 2 (physikalischen oder MAC-Adressen) zu, um die Kommunikation zwischen Hosts zu ermöglichen, die sich im gleichen Subnetz befinden. Zur Übersetzung von IPv6-Adressen wird entsprechend NDP (Neighbor Discovery Protocol) verwendet.
ARP wird von Hosts verwendet, die direkt in einem lokalen Netzwerk verbunden sind, und nutzt entweder Unicast- oder Broadcast-Übertragungen oder beides. Der Host sucht in seinem Netzwerk nach der physikalischen Adresse des anderen Host, indem er ein ARP-Abfragepaket sendet, das die IP-Adresse des Empfängers enthält. Da es sich um ein Broadcast-Protokoll handelt, kann sich der Netzwerk-Datenverkehr in Ihrem Netzwerk dadurch stark erhöhen. Zur Minimierung dieses Datenverkehrs wird ein ARP-Cache eingerichtet, um bereits gelernte ARP-Informationen zu speichern und wiederzuverwenden.
Der Einsatz von NDP für IPv6 ist vergleichbar mit ARP für IPv4. Der Hauptzweck beider Protokolle besteht darin, einem Host (Knoten) die Möglichkeit zu geben, die Link Layer-Adresse (MAC-Adresse) des Knotens, mit dem er kommunizieren möchte, im lokalen Netzwerk zu ermitteln und die Link Layer-Adresse des Routers herauszufinden, über den er auf einen Knoten in einem externen Netzwerk zugreifen kann. Somit kann der eigentliche Nachrichtenaustausch zwischen den beiden Knoten stattfinden. Abgesehen von der Nachbar-Lokalisierung beinhaltet die NDP-Funktionalität die Router-Lokalisierung, Nachbar-Präsenz, Redirects, Netzwerkoptionen (wie bei den DHCP-Optionen) und zustandslose automatische Konfiguration. Ähnlich wie bei ARP ist NDP ebenfalls anfällig für Flooding- und Poisoning-Angriffe.
Bei NDP gibt es Neighbor Solicitations analog zu ARP-Anfragen und Neighbor Advertisements analog zu ARP-Antworten. Nicht angeforderte Neighbor Advertisements bei IPv6 entsprechen unaufgefordert gesendeten ARP-Antworten bei IPv4. Die statische Nachbar-Konfiguration schützt den Nachbar-Cache vor vertrauenswürdigen oder verwundbaren Knoten im Netzwerk. Die statische Nachbar-Lokalisierung hilft zu verhindern, dass Anfragen für konfigurierte Einträge gestellt werden; dabei werden eingehende ND-Solicitations oder -Advertisements für konfigurierte Einträge ignoriert.
Nachbarn
ARP- und NDP-Datenverkehr stellt eine wesentliche Kommunikation in einem Netzwerk dar und ist standardmäßig auf den Appliance-Schnittstellen aktiviert.
Ein statischer Nachbar-Eintrag ermöglicht die Zuordnung der MAC-Adresse zu IP-Adresse und Port. Sobald die MAC-Adresse einem Port und einer IP-Adresse zugewiesen ist, aktualisiert die Appliance ihre Nachbar-Tabelle nicht dynamisch und antwortet diesem IP-MAC-Paar auf keinem anderen Port. Außerdem werden etwaige dynamisch zwischengespeicherte Verweise auf diese IP-Adresse entfernt und es sind keine weiteren statischen Zuordnungen zu dieser IP-Adresse möglich.
Diese Einträge werden in der Tabelle Statischer Nachbarn, dem IPv4-Nachbar-Cache und dem IPv6-Nachbar-Cache gespeichert. Die Appliance nimmt die Suche in der statischen Nachbar-Tabelle vor, wenn sie die Anfrage an einem bestimmten Port empfängt. Bei fehlender Übereinstimmung in einer IP-Adresse oder MAC-Adresse geht die Appliance von einem versuchten Sicherheitsangriff des Nachbarn aus und aktualisiert nicht ihren Nachbar-Cache. Ist ein Eintrag nicht in der Tabelle verfügbar, schaut die Appliance im IPv4- oder IPv6-Nachbar-Cache nach und fügt die MAC-Adresse gegebenenfalls zum Nachbar-Cache hinzu.
Beispiel: IP1 ist MAC1 zugeordnet und das IP1-MAC1-Paar ist Port A zugewiesen bzw. IP2 ist MAC1 zugeordnet und das IP2-MAC1-Paar ist Port A zugewiesen.
Table 5. Abbildung: Sicherheitsangriff des Nachbarn
IP-Adresse
MAC-Adresse
Port
Versuchter Sicherheitsangriff des Nachbarn
IP1
MAC1
A
Nein
IP1
MAC1
Jeder andere Port außer A
Ja
IP1
MAC2
A
Ja
IP1
MAC2
Jeder andere Port außer A
Ja
IP3
MAC1
Kein statisches ARP
Nein
IP2
MAC1
A
Nein
IP2
MAC1
Jeder andere Port außer A
Ja