Aller au contenu

« Proxy ARP » : différence entre les versions

Un article de Wikipédia, l'encyclopédie libre.
Navigation interactive dans l’historique
← Modification précédenteModification suivante →
Contenu supprimé Contenu ajouté
VisuelWikicode
MathsPoetry (discuter | contributions)
49 468 modifications
MathsPoetry (discuter | contributions)
49 468 modifications
mAucun résumé des modifications
Ligne 5 : Ligne 5 :


Le principe du mandataire ARP est très voisin de celui de l'[[usurpation ARP]] qui est utilisée par les pirates dans le cadre d'[[attaque de l'homme du milieu|attaques de l'homme du milieu]]. Il y a néanmoins des différences :
Le principe du mandataire ARP est très voisin de celui de l'[[usurpation ARP]] qui est utilisée par les pirates dans le cadre d'[[attaque de l'homme du milieu|attaques de l'homme du milieu]]. Il y a néanmoins des différences :
* l'équipement dont les échanges sont détournés est absent du réseau IP dans le cas du mandataire ARP et présent dans ce réseau dans le cas de l'usurpation ARP ;
* l'adresse IP dont les échanges sont détournés n'existe pas sur ce réseau dans le cas du mandataire ARP et existe dans le cas de l'usurpation ARP ;
* technique du mandataire ARP est normalement légitime, alors que celle de l'usurpation ARP est en général un acte hostile.
* la technique du mandataire ARP est normalement légitime, alors que celle de l'usurpation ARP est en général un acte hostile.


== Utilisations possibles ==
== Utilisations possibles ==
Ligne 15 : Ligne 15 :
; Remplacer temporairement un équipement défectueux
; Remplacer temporairement un équipement défectueux


: Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un serveur web, une imprimante, un routeur ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP ni adopte l'adresse IP de l'équipement en panne, ou que tous les postes clients ne soient reconfigurés.
: Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un serveur web, une imprimante ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP, ou que tous les postes clients ne soient reconfigurés.

: Dans le cas particulier ou l'on remplace un routeur en panne, le routeur de dépannage peut avoir une adresse IP différente de celle du routeur en panne, bien que les deux soient (forcément) sur le même réseau IP. Le mandataire ARP évite de reconfigurer aussi bien l'adresse IP du routeur de dépannage que celle des clients lorsque l'on veut basculer. On a aisni l'équivalent de solutions de [[redondance]] comme [[HSRP]].


{{en cours}}
{{en cours}}

Version du 20 octobre 2012 à 12:04

Un mandataire ARP (Proxy ARP en anglais) est un serveur qui répond aux requêtes ARP (Address Resolution Protocol) émises sur un réseau IP concernant une ou plusieurs adresses IP qui ne sont pas présentes sur ce réseau. Cette technique est décrite dans la RFC 1027.

Principe

Le mandataire ARP connait le véritable emplacement de l'équipement qui possède cette adresse IP. Il répond aux requêtes ARP avec sa propre adresse MAC[1]. Les échanges IP ultérieurs lui seront donc envoyés et il se chargera de les communiquer à l'emplacement réel de l'équipement à qui ils étaient destinés. Pour cela, il utilise souvent une autre interface ou un tunnel réseau.

Le principe du mandataire ARP est très voisin de celui de l'usurpation ARP qui est utilisée par les pirates dans le cadre d'attaques de l'homme du milieu. Il y a néanmoins des différences :

  • l'adresse IP dont les échanges sont détournés n'existe pas sur ce réseau dans le cas du mandataire ARP et existe dans le cas de l'usurpation ARP ;
  • la technique du mandataire ARP est normalement légitime, alors que celle de l'usurpation ARP est en général un acte hostile.

Utilisations possibles

Joindre deux réseaux distants par une liaison point à point de façon transparente
Les deux réseaux distants peuvent être reliés par exemple par des modems ou par un tunnel chiffré. D'habitude, dans ce genre de situations, on met en place des routeurs aux deux extrémités de la liaison point à point. Toutefois, si l'on remplace ces routeurs par des mandataires ARP, cela permet d'utiliser la même plage d'adresses (par exemple, 192.168.1.0/24) pour les machines locales aussi bien que pour les machines distantes, ce qui est impossible avec le routage.
Remplacer temporairement un équipement défectueux
Le mandataire ARP va détourner les flux qui étaient normalement dirigés vers un serveur web, une imprimante ou n'importe quel autre équipement en panne vers un équipement de dépannage, sans qu'il soit nécessaire que l'équipement de remplacement soit dans le même réseau IP, ou que tous les postes clients ne soient reconfigurés.
Dans le cas particulier ou l'on remplace un routeur en panne, le routeur de dépannage peut avoir une adresse IP différente de celle du routeur en panne, bien que les deux soient (forcément) sur le même réseau IP. Le mandataire ARP évite de reconfigurer aussi bien l'adresse IP du routeur de dépannage que celle des clients lorsque l'on veut basculer. On a aisni l'équivalent de solutions de redondance comme HSRP.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Un contributeur travaille en ce moment même sur cet article ou cette section.

Merci de ne pas faire de modifications tant que ce message reste présent. Ce bandeau, destiné à limiter les risques de conflit de versions, ne doit pas être maintenu sur l'article lorsque le contributeur qui l'a apposé n'y travaille plus. Si la page n’a pas été modifiée depuis plusieurs heures, enlevez ce bandeau ou remplacez-le par {{en travaux}}.
La dernière modification de cette page a été faite le 20 octobre 2012 à 12:04.

Below are some typical uses for proxy ARP:

Joining a broadcast LAN with serial links (e.g., dialup or VPN connections).
Assume an Ethernet broadcast domain (e.g., a group of stations connected to the same hub) using a certain IPv4 address range (e.g., 192.168.0.0/24, where 192.168.0.1 – 192.168.0.127 are assigned to wired nodes). One or more of the nodes is an access router accepting dialup or VPN connections. The access router gives the dial-up nodes IP addresses in the range 192.168.0.128 – 192.168.0.254; for this example, assume a dial-up node gets IP address 192.168.0.254.
The access router uses Proxy ARP to make the dial-up node present in the subnet without being wired into the Ethernet: the access server 'publishes' its own MAC address for 192.168.0.254. Now, when another node wired into the Ethernet wants to talk to the dial-up node, it will ask on the network for the MAC address of 192.168.0.254 and find the access server's MAC address. It will therefore send its IP packets to the access server, and the access server will know to pass them on to the particular dial-up node. All dial-up nodes therefore appear to the wired Ethernet nodes as if they are wired into the same Ethernet subnet.
Taking multiple addresses from a LAN
Assume a station (e.g., a server) with an interface (10.0.0.2) connected to a network (10.0.0.0/24). Certain applications may require multiple IP addresses on the server. Provided the addresses have to be from the 10.0.0.0/24 range, the way the problem is solved is through Proxy ARP. Additional addresses (say, 10.0.0.230-10.0.0.240) are aliased to the loopback interface of the server (or assigned to special interfaces, the latter typically being the case with VMware/UML/jails/vservers/other virtual server environments) and 'published' on the 10.0.0.2 interface (although many operating systems allow direct allocation of multiple addresses to one interface, thus eliminating the need for such tricks).
On a firewall
In this scenario a firewall can be configured with a single IP address. One simple example of a use for this would be placing a firewall in front of a single host or group of hosts on a subnetwork. Example- A network (10.0.0.0/8) has a server which should be protected (10.0.0.20) a proxy-arp firewall can be placed in front of the server. In this way the server is put behind a firewall without making any changes to the network at all.
Mobile-IP
In case of Mobile-IP the Home Agent uses Proxy ARP in order to receive messages on behalf of the Mobile Node, so that it can forward the appropriate message to the actual mobile node's address (Care-of address).
Transparent subnet gatewaying
A setup that involves two physical segments sharing the same IP subnet and connected together via a router. This use is documented in RFC 1027.

Avantages et inconvénients

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Un contributeur travaille en ce moment même sur cet article ou cette section.

Merci de ne pas faire de modifications tant que ce message reste présent. Ce bandeau, destiné à limiter les risques de conflit de versions, ne doit pas être maintenu sur l'article lorsque le contributeur qui l'a apposé n'y travaille plus. Si la page n’a pas été modifiée depuis plusieurs heures, enlevez ce bandeau ou remplacez-le par {{en travaux}}.
La dernière modification de cette page a été faite le 20 octobre 2012 à 12:04.

The advantage of Proxy ARP over other networking schemes is simplicity. A network can be extended using this technique without the knowledge of the upstream router.

For example, suppose a host, say A, wants to contact another host B, where B is on a different subnet/broadcast domain than A. For this, host A will send an ARP request with a Destination IP address of B in its ARP packet. The multi-homed router which is connected to both the subnets, responds to host A's request with its MAC address instead of host B's actual MAC address, thus proxying for host B. In the due course of time, when host A sends a packet to the router which is actually destined to host B, the router just forwards the packet to host B. The communication between host A and B is totally unaware of the router proxying for each other.

Disadvantage of Proxy ARP include scalability (ARP resolution is required for every device routed in this manner) and reliability (no fallback mechanism is present, and masquerading can be confusing in some environments). ARP manipulation techniques, however, are the basis for protocols providing redundancy on broadcast networks (e.g., Ethernet), most notably CARP and Virtual Router Redundancy Protocol.

Proxy ARP can create DoS attacks on networks if misconfigured. For example a misconfigured router with proxy ARP has the ability to receive packets destined for other hosts (as it gives its own MAC address in response to ARP requests for other hosts/routers), but may not have the ability to correctly forward these packets on to their final destination, thus blackholing the traffic.

Notes et références

  1. C'est dans le cas d'un réseau Ethernet qu'il répond avec sa propre adresse MAC ; dans le cas général, il répond avec sa propre adresse de couche 2.

Voir aussi

Bibliographie

  • (en) RFC 925 – Multi-LAN Address Resolution
  • (en) RFC 1027 – Using ARP to Implement Transparent Subnet Gateways
  • (en) W. Richard Stevens. The Protocols (TCP/IP Illustrated, Volume 1). Addison-Wesley Professional; 1ère édition, 31 décembre 1993. ISBN 0-201-63346-9

Articles connexes


Ce document provient de « https://fr.wikipedia.org/w/index.php?title=Proxy_ARP&oldid=84340906 ».