« Proxy ARP » : différence entre les versions
mAucun résumé des modifications |
Fonctionnalité de suggestions de liens : 3 liens ajoutés. |
||
(41 versions intermédiaires par 13 utilisateurs non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
{{voir homonymes|Proxy (homonyme)}} |
|||
⚫ | Un ''' |
||
⚫ | Un '''proxy ARP''' ou parfois '''mandataire ARP''', est un serveur qui répond aux requêtes [[Address Resolution Protocol|ARP]] (''Address Resolution Protocol'') émises sur un réseau [[Internet Protocol|IP]] concernant une ou plusieurs [[adresse IP|adresses IP]] qui ne sont pas présentes sur ce réseau. Cette technique est décrite dans la {{RFC|1027|titre=Using ARP to Implement Transparent Subnet Gateways|date=novembre 1987}}. |
||
== Principe == |
== Principe == |
||
Le mandataire ARP connait<!-- orthographe 1990--> le véritable emplacement de l'équipement qui possède cette adresse IP. Il répond aux requêtes ARP avec sa propre [[adresse MAC]]<ref>Ce n'est que dans le cas d'un réseau [[Ethernet]] que le mandataire ARP répond avec sa propre adresse MAC ; dans le cas général, il répond avec sa propre adresse de couche 2.</ref>. Les échanges IP ultérieurs lui seront donc envoyés et il se chargera de les communiquer à l'emplacement réel de l'équipement à qui ils étaient destinés. Pour cela, il utilise souvent une autre interface ou un [[tunnel (réseau informatique)|tunnel réseau]]. |
Le mandataire ARP connait<!-- orthographe 1990--> le véritable emplacement de l'équipement qui possède cette adresse IP. Il répond aux requêtes ARP avec sa propre [[adresse MAC]]<ref>Ce n'est que dans le cas d'un réseau [[Ethernet]] que le mandataire ARP répond avec sa propre adresse MAC ; dans le cas général, il répond avec sa propre adresse de couche 2.</ref>. Les échanges IP ultérieurs lui seront donc envoyés et il se chargera de les communiquer à l'emplacement réel de l'équipement à qui ils étaient destinés. Pour cela, il utilise souvent une autre interface ou un [[tunnel (réseau informatique)|tunnel réseau]]. |
||
; Exemple |
|||
Le principe du mandataire ARP est très voisin de celui de l'[[usurpation ARP]] qui est utilisée par les pirates dans le cadre d'[[attaque de l'homme du milieu|attaques de l'homme du milieu]]. Il y a néanmoins des différences : |
|||
* l'adresse IP dont les échanges sont détournés n'existe pas sur ce réseau dans le cas du mandataire ARP, alors qu'elle existe dans le cas de l'usurpation ARP ; |
|||
Supposons qu'un hôte ''A'' cherche à joindre un hôte ''B'' qui se trouve sur un autre réseau local Ethernet adjacent au premier réseau. Supposons également que l'on place un mandataire ARP possédant deux cartes réseau à cheval entre les deux réseaux. Supposons enfin que les adresses réseau soient : |
|||
* la technique du mandataire ARP est normalement légitime, alors que celle de l'usurpation ARP est en général un acte hostile<ref>Avec l'exception d'un administrateur qui intercepterait des échanges en employant l'usurpation ARP à des fins légitimes de débogage d'un problème applicatif ou réseau, dans les limites de ce que permettent la Loi et la déontologie.</ref>. |
|||
{| class="wikitable" |
|||
|- |
|||
! Adresses !! Réseau 1 !! Réseau 2 |
|||
|- |
|||
| MAC du mandataire || 00:DE:AD:BE:EF:01 || 00:DE:AD:BE:EF:02 |
|||
|- |
|||
| IP de ''A'' || 10.100.0.1 || 10.200.0.1 ''(fictive)'' |
|||
|- |
|||
| IP de ''B'' || 10.100.0.2 ''(fictive)'' || 10.200.0.2 |
|||
|} |
|||
L'hôte ''A'' envoie une requête ARP demandant l'adresse MAC de ''B''. Le mandataire ARP répond à la demande de ''A'' en indiquant que l'adresse IP de ''B'' 10.100.0.2 est associée à son adresse MAC 00:DE:AD:BE:EF:01. Quand ''A'' envoie un paquet IP à B, il l'envoie avec l'adresse MAC du mandataire, qui le transmet à B. B reçoit ce paquet et voit que l'adresse IP source est 10.200.0.1 et que l'adresse MAC source est 00:DE:AD:BE:EF:02 : il ajoute cette correspondance à sa table ARP. Le paquet retour passera donc lui aussi par le mandataire. Finalement, on a remplacé un routeur, et ni ''A'' ni ''B'' ne se doutent qu'ils ne sont pas sur le même réseau. |
|||
== Utilisations possibles == |
== Utilisations possibles == |
||
; Joindre par une liaison point à point deux réseaux distants de façon transparente |
; Joindre par une [[liaison point à point]] deux réseaux distants de façon transparente |
||
: Les deux réseaux distants peuvent être reliés par exemple par des modems ou par un tunnel chiffré. |
: Les deux réseaux distants peuvent être reliés par exemple par des modems ou par un tunnel chiffré. |
||
Ligne 15 : | Ligne 29 : | ||
: D'habitude, dans ce genre de situations, on met en place des routeurs aux deux extrémités de la liaison point à point. Toutefois, si l'on remplace ces routeurs par des mandataires ARP, cela permet d'utiliser la même plage d'adresses (par exemple, 192.168.1.0/24) pour les machines locales aussi bien que pour les machines distantes, ce qui est impossible avec le routage. |
: D'habitude, dans ce genre de situations, on met en place des routeurs aux deux extrémités de la liaison point à point. Toutefois, si l'on remplace ces routeurs par des mandataires ARP, cela permet d'utiliser la même plage d'adresses (par exemple, 192.168.1.0/24) pour les machines locales aussi bien que pour les machines distantes, ce qui est impossible avec le routage. |
||
: Dans le cas particulier d'un tunnel, on construit ainsi un [[ |
: Dans le cas particulier d'un tunnel, on construit ainsi un [[Réseau_privé_virtuel|VPN]] complètement transparent (tous les utilisateurs croient être sur un même réseau local). |
||
; Remplacer temporairement un équipement défectueux |
; Remplacer temporairement un équipement défectueux |
||
: Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un serveur web, une imprimante ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP, ou que tous les postes clients ne soient reconfigurés. |
: Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un [[serveur web]], une [[imprimante]] ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP, ou que tous les postes clients ne soient reconfigurés. |
||
: Dans le cas particulier ou l'on remplace un routeur en panne, le routeur de dépannage peut avoir une adresse IP différente de celle du routeur en panne, bien que les deux soient (forcément) sur le même réseau IP. Le mandataire ARP évite de reconfigurer aussi bien l'adresse IP du routeur de dépannage que celle des clients lorsque l'on veut basculer. On |
: Dans le cas particulier ou l'on remplace un routeur en panne, le routeur de dépannage peut avoir une adresse IP différente de celle du routeur en panne, bien que les deux soient (forcément) sur le même réseau IP. Le mandataire ARP évite de reconfigurer aussi bien l'adresse IP du routeur de dépannage que celle des clients lorsque l'on veut basculer. On construit ainsi une solutions de [[redondance des matériels]]. De fait, des solutions bien connues de redondance comme [[Hot Standby Router Protocol|HSRP]] et [[Virtual Router Redundancy Protocol|VRRP]] utilisent une technique voisine, puisque les routeurs redondants adoptent une adresse ARP fictive commune. |
||
; Faire passer les flux réseau par un pare-feu ou un mandataire applicatif |
; Faire passer les flux réseau par un pare-feu ou un mandataire applicatif |
||
: On peut ainsi détourner les échanges avec, par exemple, un serveur Web pour les filtrer. Dans cette situation, il n'y a pas besoin de reconfigurer les clients. Le serveur sera sur un réseau différent ou sera reconfiguré avec une adresse IP différente. |
: On peut ainsi détourner les échanges avec, par exemple, un serveur Web pour les filtrer. Dans cette situation, il n'y a pas besoin de reconfigurer les clients. Le serveur sera sur un réseau différent ou sera reconfiguré avec une adresse IP différente. |
||
; Mobilité IP |
; Mobilité IP |
||
Ligne 31 : | Ligne 46 : | ||
: Dans le cadre de la [[mobilité IP]], l'agent personnel (''Home Agent'') peut devenir mandataire ARP pour recevoir les paquets destinés à la machine temporairement absente du réseau local et les transmettre à l'adresse « aux bons soins de » (''Care-of address'') de cette machine. |
: Dans le cadre de la [[mobilité IP]], l'agent personnel (''Home Agent'') peut devenir mandataire ARP pour recevoir les paquets destinés à la machine temporairement absente du réseau local et les transmettre à l'adresse « aux bons soins de » (''Care-of address'') de cette machine. |
||
; Migration d'un plan d'adressage |
|||
⚫ | |||
{{en cours}} |
|||
: La mise en place d'un proxy-arp permettra d'éclater un réseau en plusieurs sous-réseaux. Lors de la modification complète des [[Adresse_ip|adresses IP]] et [[Sous-r%C3%A9seau|masques des sous-réseau]] des machines d'un réseau, un proxy-arp répondra aux machines dont les paramètres réseau correspondent à l'ancien adressage. Le proxy-arp pourra ensuite être désactivé à l'issue de la migration, quand toutes les machines auront rejoint leur nouveau plan d'adressage. |
|||
⚫ | |||
Un des avantages des mandataires ARP est la simplicité de la solution. On peut ainsi étendre un réseau sans devoir déclarer un routeur de sortie. |
Un des avantages des mandataires ARP est la simplicité de la solution. On peut ainsi étendre un réseau sans devoir déclarer un routeur de sortie. |
||
Parmi les désavantages du mandataire ARP, le principal est qu'il monte difficilement en charge, puisqu'il doit à la fois répondre aux requêtes ARP de toutes les machines concernées et transmettre tous les flux réseau. |
|||
Disadvantage of Proxy ARP include scalability (ARP resolution is required for every device routed in this manner) and reliability (no fallback mechanism is present, and masquerading can be confusing in some environments). ARP manipulation techniques, however, are the basis for protocols providing [[redundancy (engineering)|redundancy]] on broadcast networks (e.g., [[Ethernet]]), most notably [[Common Address Redundancy Protocol|CARP]] and [[Virtual Router Redundancy Protocol]]. |
|||
Si un mandataire ARP fonctionne mal ou est mal configuré, il risque d'attirer à lui tous les flux réseau sans les transmettre aux bons destinataires, créant ainsi un [[Black hole (informatique)|trou noir]] (''black hole'') sur le réseau. |
|||
Proxy ARP can create DoS attacks on networks if misconfigured. For example a misconfigured router with proxy ARP has the ability to receive packets destined for other hosts (as it gives its own MAC address in response to ARP requests for other hosts/routers), but may not have the ability to correctly forward these packets on to their final destination, thus blackholing the traffic. |
|||
S'il tombe entre de mauvaises mains, un mandataire réseau permet d'écouter les échanges réseau et même de les trafiquer (mais c'est également le cas de n'importe quel autre équipement intermédiaire). |
|||
Un mandataire ARP a tendance à augmenter la quantité de trafic ARP transitant sur le segment réseau sur lequel il est mis en œuvre et de fait à augmenter la taille des [[Table_ARP | tables ARP]] des machines présentes sur ce segment<ref>[http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml Explication sur le site de Cisco]</ref>. |
|||
== Notes et références == |
== Notes et références == |
||
Ligne 43 : | Ligne 65 : | ||
== Voir aussi == |
== Voir aussi == |
||
=== |
=== Sources === |
||
{{Traduction/Référence|en|Proxy ARP|468212111}} |
|||
⚫ | |||
⚫ | |||
⚫ | |||
== Articles connexes == |
=== Articles connexes === |
||
⚫ | |||
* [[Mandataire (informatique)]] |
|||
* [[ARP poisoning]] |
|||
* [[Address_Resolution_Protocol | ARP]] |
|||
=== Bibliographie === |
|||
⚫ | |||
=== Liens externes === |
|||
⚫ | |||
⚫ | |||
* {{en}} [http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094adb.shtml Cisco Proxy ARP] Advantages/Disadvantages |
|||
{{Portail|informatique|télécommunications}} |
{{Portail|informatique|télécommunications}} |
||
[[Catégorie: |
[[Catégorie:Proxy]] |
||
[[Catégorie:Serveur mandataire]] |
|||
⚫ | |||
[[de:Address Resolution Protocol#Proxy ARP]] |
[[de:Address Resolution Protocol#Proxy ARP]] |
||
[[es:Proxy ARP]] |
|||
[[en:Proxy ARP]] |
|||
[[it:Proxy ARP]] |
|||
[[pt:Proxy arp]] |
|||
[[ru:Proxy ARP]] |
Dernière version du 19 octobre 2023 à 07:45
Un proxy ARP ou parfois mandataire ARP, est un serveur qui répond aux requêtes ARP (Address Resolution Protocol) émises sur un réseau IP concernant une ou plusieurs adresses IP qui ne sont pas présentes sur ce réseau. Cette technique est décrite dans la RFC 1027[1].
Principe
[modifier | modifier le code]Le mandataire ARP connait le véritable emplacement de l'équipement qui possède cette adresse IP. Il répond aux requêtes ARP avec sa propre adresse MAC[2]. Les échanges IP ultérieurs lui seront donc envoyés et il se chargera de les communiquer à l'emplacement réel de l'équipement à qui ils étaient destinés. Pour cela, il utilise souvent une autre interface ou un tunnel réseau.
- Exemple
Supposons qu'un hôte A cherche à joindre un hôte B qui se trouve sur un autre réseau local Ethernet adjacent au premier réseau. Supposons également que l'on place un mandataire ARP possédant deux cartes réseau à cheval entre les deux réseaux. Supposons enfin que les adresses réseau soient :
Adresses | Réseau 1 | Réseau 2 |
---|---|---|
MAC du mandataire | 00:DE:AD:BE:EF:01 | 00:DE:AD:BE:EF:02 |
IP de A | 10.100.0.1 | 10.200.0.1 (fictive) |
IP de B | 10.100.0.2 (fictive) | 10.200.0.2 |
L'hôte A envoie une requête ARP demandant l'adresse MAC de B. Le mandataire ARP répond à la demande de A en indiquant que l'adresse IP de B 10.100.0.2 est associée à son adresse MAC 00:DE:AD:BE:EF:01. Quand A envoie un paquet IP à B, il l'envoie avec l'adresse MAC du mandataire, qui le transmet à B. B reçoit ce paquet et voit que l'adresse IP source est 10.200.0.1 et que l'adresse MAC source est 00:DE:AD:BE:EF:02 : il ajoute cette correspondance à sa table ARP. Le paquet retour passera donc lui aussi par le mandataire. Finalement, on a remplacé un routeur, et ni A ni B ne se doutent qu'ils ne sont pas sur le même réseau.
Utilisations possibles
[modifier | modifier le code]- Joindre par une liaison point à point deux réseaux distants de façon transparente
- Les deux réseaux distants peuvent être reliés par exemple par des modems ou par un tunnel chiffré.
- D'habitude, dans ce genre de situations, on met en place des routeurs aux deux extrémités de la liaison point à point. Toutefois, si l'on remplace ces routeurs par des mandataires ARP, cela permet d'utiliser la même plage d'adresses (par exemple, 192.168.1.0/24) pour les machines locales aussi bien que pour les machines distantes, ce qui est impossible avec le routage.
- Dans le cas particulier d'un tunnel, on construit ainsi un VPN complètement transparent (tous les utilisateurs croient être sur un même réseau local).
- Remplacer temporairement un équipement défectueux
- Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un serveur web, une imprimante ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP, ou que tous les postes clients ne soient reconfigurés.
- Dans le cas particulier ou l'on remplace un routeur en panne, le routeur de dépannage peut avoir une adresse IP différente de celle du routeur en panne, bien que les deux soient (forcément) sur le même réseau IP. Le mandataire ARP évite de reconfigurer aussi bien l'adresse IP du routeur de dépannage que celle des clients lorsque l'on veut basculer. On construit ainsi une solutions de redondance des matériels. De fait, des solutions bien connues de redondance comme HSRP et VRRP utilisent une technique voisine, puisque les routeurs redondants adoptent une adresse ARP fictive commune.
- Faire passer les flux réseau par un pare-feu ou un mandataire applicatif
- On peut ainsi détourner les échanges avec, par exemple, un serveur Web pour les filtrer. Dans cette situation, il n'y a pas besoin de reconfigurer les clients. Le serveur sera sur un réseau différent ou sera reconfiguré avec une adresse IP différente.
- Mobilité IP
- Dans le cadre de la mobilité IP, l'agent personnel (Home Agent) peut devenir mandataire ARP pour recevoir les paquets destinés à la machine temporairement absente du réseau local et les transmettre à l'adresse « aux bons soins de » (Care-of address) de cette machine.
- Migration d'un plan d'adressage
- La mise en place d'un proxy-arp permettra d'éclater un réseau en plusieurs sous-réseaux. Lors de la modification complète des adresses IP et masques des sous-réseau des machines d'un réseau, un proxy-arp répondra aux machines dont les paramètres réseau correspondent à l'ancien adressage. Le proxy-arp pourra ensuite être désactivé à l'issue de la migration, quand toutes les machines auront rejoint leur nouveau plan d'adressage.
Avantages et inconvénients
[modifier | modifier le code]Un des avantages des mandataires ARP est la simplicité de la solution. On peut ainsi étendre un réseau sans devoir déclarer un routeur de sortie.
Parmi les désavantages du mandataire ARP, le principal est qu'il monte difficilement en charge, puisqu'il doit à la fois répondre aux requêtes ARP de toutes les machines concernées et transmettre tous les flux réseau.
Si un mandataire ARP fonctionne mal ou est mal configuré, il risque d'attirer à lui tous les flux réseau sans les transmettre aux bons destinataires, créant ainsi un trou noir (black hole) sur le réseau.
S'il tombe entre de mauvaises mains, un mandataire réseau permet d'écouter les échanges réseau et même de les trafiquer (mais c'est également le cas de n'importe quel autre équipement intermédiaire).
Un mandataire ARP a tendance à augmenter la quantité de trafic ARP transitant sur le segment réseau sur lequel il est mis en œuvre et de fait à augmenter la taille des tables ARP des machines présentes sur ce segment[3].
Notes et références
[modifier | modifier le code]- (en) « Using ARP to Implement Transparent Subnet Gateways », Request for comments no 1027,
- Ce n'est que dans le cas d'un réseau Ethernet que le mandataire ARP répond avec sa propre adresse MAC ; dans le cas général, il répond avec sa propre adresse de couche 2.
- Explication sur le site de Cisco
Voir aussi
[modifier | modifier le code]Sources
[modifier | modifier le code]- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Proxy ARP » (voir la liste des auteurs).
Articles connexes
[modifier | modifier le code]Bibliographie
[modifier | modifier le code]- (en) W. Richard Stevens. The Protocols (TCP/IP Illustrated, Volume 1). Addison-Wesley Professional; 1re édition, . (ISBN 0-201-63346-9)
Liens externes
[modifier | modifier le code]- (en) RFC 925 – Multi-LAN Address Resolution
- (en) RFC 1027 – Using ARP to Implement Transparent Subnet Gateways
- (en) Cisco Proxy ARP Advantages/Disadvantages