Was ist das Address Resolution Protocol (ARP)?

Ein Computer kann durch eine von zwei Arten von Adressen identifiziert werden. Einem Computer wird basierend auf seinem Standort in einem Netzwerk eine Internet Protocol (IP)-Adresse zugewiesen und zur Weiterleitung des Datenverkehrs an diesen Computer verwendet. Eine MAC-Adresse (Media Access Control) ist eine permanente, physische Adresse, die der Netzwerkkarte des Computers zugeordnet ist.

Das Address Resolution Protocol (ARP) wird verwendet, um IP-Adressen – die auf OSI- Schicht 2 arbeiten – auf Schicht-3-MAC-Adressen innerhalb eines Subnetzes abzubilden. Dies ist wichtig, um den Datenverkehr innerhalb eines Subnetzes an den richtigen Computer weiterzuleiten.

Next Generation Firewall – Leitfaden für Käufer Demo anfordern

Was ist das Address Resolution Protocol (ARP)?

Wie funktioniert das Address Resolution Protocol (ARP)?

Wenn ein Computer einem lokalen Netzwerk (LAN) beitritt, wird ihm eine IP-Adresse zugewiesen. Dabei kann es sich um eine statische IP-Adresse handeln, die sich nicht ändert, oder um eine dynamische IP-Adresse, die von einem DHCP-Server zugewiesen wird. Wenn ein für diesen Computer bestimmtes Paket ein Netzwerk-Gateway passiert, muss das Gateway bestimmen, wohin es gesendet werden soll, wofür die MAC-Adresse erforderlich ist. Ein Netzwerk-Gateway führt eine Nachschlagetabelle – den sogenannten ARP-Cache –, die alle bekannten IP/MAC-Adresszuordnungen auflistet.

Wenn die gewünschte Zuordnung im ARP-Cache vorhanden ist, kann das Gateway das Paket an sein Ziel senden. Allerdings ist eine IP-Adresse möglicherweise nicht im Cache vorhanden, wenn sie neu ist oder gelöscht wurde (Adresszuordnungen werden normalerweise nur einige Minuten lang zwischengespeichert). In diesen Fällen muss das Gateway herausfinden, welche MAC-Adresse dieser IP-Adresse zugeordnet ist.

Hier kommt ARP ins Spiel. Ein Gateway sendet eine ARP-Anfrage an alle Computer im LAN und fragt, welcher von ihnen diese IP-Adresse verwendet. Der Computer mit dieser IP-Adresse sendet eine ARP-Antwort zurück, die seine MAC-Adresse bereitstellt. Wenn das Gateway diese ARP-Antwort empfängt, kann es das Paket an sein vorgesehenes Ziel weiterleiten. Außerdem zeichnet es die IP/MAC-Adresszuordnung in seinem ARP-Cache auf, damit es Pakete in Zukunft ordnungsgemäß weiterleiten kann.

Wofür ist ARP nützlich?

ARP ordnet Layer-2-MAC-Adressen Layer-3-IP-Adressen zu. Dies ist für die Weiterleitung des Netzwerkverkehrs unerlässlich. Ohne ARP müssten IP/MAC-Adresszuordnungen manuell erstellt und aktualisiert werden, was die Benutzerfreundlichkeit des Netzwerks drastisch beeinträchtigen würde.

Arten von ARP

Das ARP-Kernprotokoll erkennt bei Bedarf die einer IP-Adresse zugeordnete MAC-Adresse. Einige andere Variationen des Protokolls umfassen:

  • Proxy-ARP: Proxy-ARP erweitert ARP über ein bestimmtes LAN hinaus. Ein Gerät, das weiß, wie der Datenverkehr an das vorgesehene Ziel weitergeleitet wird, stellt als Reaktion auf eine ARP-Anfrage seine MAC-Adresse bereit und leitet alle an es gesendeten Pakete weiter.
  • Gratuitous ARP: Normalerweise wird eine IP/MAC-Adresszuordnung nur als Antwort auf eine Anfrage vom Gateway gesendet. Bei Gratuitous ARP gibt ein Gerät unaufgefordert seine IP/MAC-Adresszuordnung bekannt.
  • Reverse ARP (RARP): ARP wird verwendet, um die MAC-Adresse zu ermitteln, die einer IP-Adresse zugeordnet ist. RARP wird von Geräten verwendet, die ihre IP-Adressen nicht kennen, um sie zu erkennen.
  • Inverse ARP (IARP): Während RARP von einem Gerät verwendet wird, um seine eigene IP-Adresse basierend auf einer MAC-Adresse zu finden, kann IARP von einem anderen Gerät verwendet werden, um die IP-Adresse eines Geräts anhand seiner MAC-Adresse zu erfahren.

ARP-Spoofing

ARP ist ein Netzwerkprotokoll, das auf Vertrauen arbeitet. Wenn ein Gateway eine ARP-Anfrage sendet, akzeptiert es die erste Antwort, die es erhält. Der Datenverkehr zu dieser IP-Adresse wird dann an die angegebene MAC-Adresse weitergeleitet.

Ein ARP-Spoofing- oder ARP-Poisoning-Angriff missbraucht dieses Vertrauen. Bei diesem Angriff sendet der Angreifer eine ARP-Antwort oder eine kostenlose ARP-Nachricht, die seine MAC-Adresse der IP-Adresse eines Ziels zuordnet. Dadurch werden für das Opfer bestimmte Daten an den Angreifer weitergeleitet, die bei einem Man-in-the-Middle-Angriff (MitM) zum Diebstahl sensibler Daten oder bei einem Denial-of-Service -Angriff (DoS) verwendet werden können, wenn der Angreifer die Daten einfach fallen lässt empfangene Pakete.

ARP- und Check Point-Lösungen

ARP ist ein grundlegendes Netzwerkprotokoll, das für das Netzwerk-Routing von entscheidender Bedeutung ist. Ohne sie muss das Gateway manuell konfiguriert werden, um IP-Adressen MAC-Adressen zuzuordnen, was die Benutzerfreundlichkeit eines Netzwerks und die Vorteile von DHCP und ähnlichen Protokollen drastisch reduziert.

Dank seiner umfangreichen Erfahrung in der Entwicklung von Netzwerksicherheit und Firewalls verfügt Check Point über ein tiefes Verständnis der Netzwerkprotokolle und verwendet diese Protokolle in seinen Lösungen. Check Point-Clustering- und dynamische Routing-Technologien nutzen beispielsweise ARP, um stabile Netzwerksicherheit zu gewährleisten. Darüber hinaus verwendet Quantum IoT-Sicherheit von Check Point über ARP erhaltene Geräte-MAC-Adressen als Teil des gesamten Netzwerk-Fingerabdrucks eines Geräts und reichert diese dann mit Cloud-KI/ML-Engines an, um IoT-Geräte einem Zero-Trust- Profil zuzuordnen.

Check Point Firewall der nächsten Generation bietet umfassenden Netzwerkschutz und nutzt die verfügbaren Protokolle voll aus. Um mehr darüber zu erfahren, worauf Sie bei einer NGFW achten sollten, lesen Sie diesen Einkaufsführer. Dann überzeugen Sie sich selbst von den Möglichkeiten der Check Point NGFWs mit einer kostenlosen Demo.

 

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK