Proxy ARP

Proxy ARP es una técnica mediante la cual un servidor proxy en una red determinada responde a las consultas del Protocolo de resolución de direcciones (ARP) para una dirección IP que no está en esa red. El proxy conoce la ubicación del destino del tráfico y ofrece su propia dirección MAC como destino (aparentemente final). El tráfico dirigido a la dirección del proxy suele ser enrutado por el proxy al destino previsto a través de otra interfaz oa través de un túnel.

El proceso, que hace que el servidor proxy responda con su propia dirección MAC a una solicitud ARP de una dirección IP diferente con fines de proxy, a veces se denomina publicación.

Usos

A continuación, se muestran algunos usos típicos del proxy ARP:

Unirse a una red de radiodifusión con enlaces de serie (por ejemplo, conexiones de línea o VPN).

Consuma un dominio de transmisión Ethernet (por ejemplo, un grupo de estaciones conectadas al mismo centro o conmutador (VLAN)) utilizando un determinado rango de direcciones IPv4 (por ejemplo, 192.168.0.0/24, donde 192.168.0.1 – 192.168.0.127 se asignan a nodos cableados). Uno o más de los nodos es un router de acceso que acepta las conexiones de marcado o VPN. El router de acceso da las direcciones IP de los nodos de marcado en el rango 192.168.0.128 – 192.168.0.254; por este ejemplo, asumen un nodo de marcado obtiene la dirección IP 192.168.0.254.

El router de acceso utiliza ARP proxy para hacer presente el nodo de marcado en la subred sin ser cableado en la Ethernet: el router de acceso 'publishes' su propia dirección MAC para 192.168.0.254. Ahora, cuando otro nodo conectado a Ethernet quiere hablar con el nodo de marcado, pedirá en la red la dirección MAC de 192.168.0.254 y encontrará la dirección MAC del router de acceso. Por lo tanto, enviará sus paquetes IP al router de acceso, y el router de acceso sabrá pasarlos al nodo de marcado particular. Por lo tanto, todos los nodos marcados aparecen en los nodos Ethernet cableados como si estuvieran conectados a la misma red Ethernet.

Tomando múltiples direcciones desde una LAN

Asuma una estación (por ejemplo, un servidor) con una interfaz (10.0.0.2) conectada a una red (10.0.0.0/24). Algunas aplicaciones pueden requerir múltiples direcciones IP en el servidor. Si las direcciones tienen que ser de la gama 10.0.0.0/24, la forma en que se resuelve el problema es a través de ARP proxy. Las direcciones adicionales (por ejemplo, 10.0.0.230-10.0.0.240) se alian a la interfaz de la plataforma del servidor (o se asignan a interfaces especiales, este último suele ser el caso con VMware/UML/jails/vservers/otros entornos de servidor virtuales) y "publicado" en la interfaz 10.0.0.2 (aunque muchos sistemas operativos permiten la asignación directa de múltiples direcciones a una interfaz, eliminando así la necesidad de trabajo).

En un cortafuegos

En este escenario se puede configurar un firewall con una sola dirección IP. Un simple ejemplo de uso para esto sería colocar un cortafuegos delante de un solo host o grupo de anfitriones en una subredwork. Ejemplo: Una red (10.0.0.0/8) tiene un servidor (10.0.0.20) que debe ser protegido. Se puede colocar un firewall ARP proxy delante del servidor. De esta manera el servidor es puesto detrás de un cortafuegos sin tener que hacer ningún cambio adicional en la red.

Mobile-IP

En caso de Mobile-IP el Home Agent utiliza ARP proxy para recibir mensajes en nombre del Nodo Móvil para que pueda transmitir el mensaje apropiado a la dirección del nodo móvil (Care-of address).

Transparent subnet gatewaying

Una configuración que implica dos segmentos físicos que comparten el mismo subnet IP y se conectan juntos a través de un router. Este uso está documentado en RFC 1027.

Redundancia

Las técnicas de manipulación de ARP son la base para protocolos que proporcionan redundancia en las redes de radiodifusión (por ejemplo, Ethernet), sobre todo el Protocolo de Redundancia de Dirección Común y el Protocolo de Redundancia de Router Virtual.

Desventajas

La desventaja del proxy ARP incluye la escalabilidad, ya que se requiere resolución ARP por un proxy para cada dispositivo enrutado de esta manera, y la confiabilidad, ya que no hay un mecanismo de respaldo presente, y el enmascaramiento puede ser confuso en algunos entornos.

Proxy ARP puede crear ataques DoS en las redes si está mal configurado. Por ejemplo, un enrutador mal configurado con proxy ARP tiene la capacidad de recibir paquetes destinados a otros hosts (ya que brinda su propia dirección MAC en respuesta a solicitudes ARP para otros hosts/enrutadores), pero es posible que no tenga la capacidad de reenviar correctamente estos paquetes. a su destino final, bloqueando así el tráfico.

El proxy ARP puede ocultar configuraciones incorrectas del dispositivo, como una puerta de enlace predeterminada faltante o incorrecta.

Implementaciones

• OpenBSD implementa ARP proxy.
• Linux implementa ARP proxy.