Proxy ARP es una técnica mediante la cual un servidor proxy en una red determinada responde a las consultas del Protocolo de resolución de direcciones (ARP) para una dirección IP que no está en esa red. El proxy conoce la ubicación del destino del tráfico y ofrece su propia dirección MAC como destino (aparentemente final). [1] El tráfico dirigido a la dirección del proxy generalmente es enrutado por el proxy al destino previsto a través de otra interfaz o mediante un túnel .
El proceso, que hace que el servidor proxy responda con su propia dirección MAC a una solicitud ARP de una dirección IP diferente con fines de proxy, a veces se denomina publicación .
Usos
A continuación, se muestran algunos usos típicos del proxy ARP:
- Unirse a una LAN de difusión con enlaces seriales (por ejemplo, conexiones de acceso telefónico o VPN ).
- Suponga un dominio de transmisión de Ethernet (por ejemplo, un grupo de estaciones conectadas al mismo concentrador o conmutador (VLAN)) utilizando un cierto rango de direcciones IPv4 (por ejemplo, 192.168.0.0/24, donde 192.168.0.1 - 192.168.0.127 están asignados a nodos). Uno o más de los nodos es un enrutador de acceso que acepta conexiones de acceso telefónico o VPN. El enrutador de acceso proporciona a los nodos de acceso telefónico direcciones IP en el rango 192.168.0.128 - 192.168.0.254; para este ejemplo, suponga que un nodo de acceso telefónico obtiene la dirección IP 192.168.0.254.
- El enrutador de acceso usa Proxy ARP para hacer que el nodo de acceso telefónico esté presente en la subred sin estar conectado a Ethernet: el servidor de acceso 'publica' su propia dirección MAC para 192.168.0.254. Ahora, cuando otro nodo conectado a Ethernet quiera hablar con el nodo de acceso telefónico, solicitará en la red la dirección MAC 192.168.0.254 y buscará la dirección MAC del servidor de acceso. Por lo tanto, enviará sus paquetes IP al servidor de acceso, y el servidor de acceso sabrá pasarlos al nodo de acceso telefónico en particular. Por lo tanto, todos los nodos de acceso telefónico aparecen a los nodos Ethernet cableados como si estuvieran conectados a la misma subred Ethernet.
- Tomando múltiples direcciones de una LAN
- Suponga una estación (por ejemplo, un servidor) con una interfaz (10.0.0.2) conectada a una red (10.0.0.0/24). Algunas aplicaciones pueden requerir varias direcciones IP en el servidor. Siempre que las direcciones tengan que ser del rango 10.0.0.0/24, la forma en que se resuelve el problema es a través de Proxy ARP. Direcciones adicionales (digamos, 10.0.0.230-10.0.0.240) son alias para el bucle de retorno de interfaz del servidor (o asignados a interfaces especiales, siendo este último el caso típico de VMware / UML / cárceles / vservers / otros entornos de servidores virtuales) y 'publicado' en la interfaz 10.0.0.2 (aunque muchos sistemas operativos permiten la asignación directa de múltiples direcciones a una interfaz, eliminando así la necesidad de tales trucos).
- En un cortafuegos
- En este escenario, se puede configurar un firewall con una única dirección IP. Un ejemplo simple de un uso para esto sería colocar un firewall frente a un solo host o grupo de hosts en una subred. Ejemplo: una red (10.0.0.0/8) tiene un servidor que debe estar protegido (10.0.0.20) y se puede colocar un firewall proxy-arp frente al servidor. De esta manera, el servidor se coloca detrás de un firewall sin realizar ningún cambio en la red.
- IP móvil
- En el caso de Mobile-IP, el Home Agent usa Proxy ARP para recibir mensajes en nombre del Mobile-Node para que pueda reenviar el mensaje apropiado a la dirección del nodo móvil real ( Care-of address ).
- Pasarela de subred transparente
- Una configuración que involucra dos segmentos físicos que comparten la misma subred IP y están conectados a través de un enrutador . Este uso está documentado en RFC 1027.
- Redundancia
- Las técnicas de manipulación ARP son la base de los protocolos que proporcionan redundancia en las redes de transmisión (p. Ej., Ethernet ), principalmente el Protocolo de Redundancia de Direcciones Común y el Protocolo de Redundancia de Enrutador Virtual .
Desventajas
Las desventajas de Proxy ARP incluyen la escalabilidad, ya que se requiere la resolución de ARP mediante un proxy para cada dispositivo enrutado de esta manera, y la confiabilidad, ya que no existe ningún mecanismo de respaldo y el enmascaramiento puede ser confuso en algunos entornos.
El proxy ARP puede crear ataques DoS en las redes si está mal configurado. Por ejemplo, un enrutador mal configurado con proxy ARP tiene la capacidad de recibir paquetes destinados a otros hosts (ya que da su propia dirección MAC en respuesta a las solicitudes de ARP para otros hosts / enrutadores), pero es posible que no tenga la capacidad de reenviar correctamente estos paquetes. hacia su destino final, ennegreciendo así el tráfico.
Proxy ARP puede ocultar configuraciones incorrectas del dispositivo, como una puerta de enlace predeterminada incorrecta o faltante .
Implementaciones
Referencias
- ^ Hal Stern (10 de octubre de 2001). "Trucos de redes ARP" . ITworld.
- ^ Página de manual de arp (8)
Otras lecturas
- RFC 925 - Resolución de direcciones de LAN múltiple
- RFC 1027: uso de ARP para implementar puertas de enlace de subred transparentes
- W. Richard Stevens . Los protocolos (TCP / IP ilustrado, volumen 1). Addison-Wesley Professional; 1a edición (31 de diciembre de 1993). ISBN 0-201-63346-9