Un ordinateur peut être identifié par l'un des deux types d'adresses suivants. Une adresse IP (Internet Protocol) est attribuée à un ordinateur en fonction de son emplacement dans un réseau et est utilisée pour acheminer le trafic vers cet ordinateur. Une adresse MAC (Media Access Control) est une adresse physique permanente associée à la carte réseau de l'ordinateur.
Le protocole de résolution d'adresses (ARP) est utilisé pour faire correspondre les adresses IP - qui opèrent au niveau 2 de l'OSI - aux adresses MAC du niveau 3 au sein d'un sous-réseau. Cette fonction est essentielle pour acheminer le trafic vers le bon ordinateur au sein d'un sous-réseau.
Guide de l'acheteur du pare-feu de nouvelle génération Demander une démo
Lorsqu'un ordinateur rejoint un réseau local (LAN), une adresse IP lui est attribuée. Il peut s'agir d'une adresse IP statique qui ne change pas ou d'une adresse dynamique attribuée par un serveur DHCP. Lorsqu'un paquet destiné à cet ordinateur passe par une passerelle de réseau, celle-ci doit déterminer où l'envoyer, ce qui nécessite l'adresse MAC. Une passerelle réseau conserve une table de consultation - appelée cache ARP - qui répertorie toutes les correspondances connues entre les adresses IP et MAC.
Si la correspondance souhaitée existe dans le cache ARP, la passerelle peut envoyer le paquet à sa destination. Cependant, une adresse IP peut ne pas exister dans le cache si elle est nouvelle ou si elle a été purgée (les correspondances d'adresses ne sont généralement mises en cache que pendant quelques minutes). Dans ce cas, la passerelle doit déterminer quelle adresse MAC correspond à cette adresse IP.
C'est là que l'ARP entre en jeu. Une passerelle envoie une requête ARP à tous les ordinateurs du réseau local pour leur demander lequel d'entre eux utilise cette adresse IP. L'ordinateur possédant cette adresse IP renverra une réponse ARP contenant son adresse MAC. Lorsque la passerelle reçoit cette réponse ARP, elle peut envoyer le paquet à sa destination. Il enregistre également la correspondance entre l'adresse IP et l'adresse MAC dans son cache ARP afin de pouvoir acheminer correctement les paquets à l'avenir.
ARP établit une correspondance entre les adresses MAC de la couche 2 et les adresses IP de la couche 3. Cette fonction est essentielle pour l'acheminement du trafic sur le réseau. Sans ARP, les correspondances d'adresses IP/MAC devraient être créées et mises à jour manuellement, ce qui réduirait considérablement la convivialité du réseau.
Le protocole ARP principal découvre l'adresse MAC associée à une adresse IP en fonction des besoins. Voici quelques autres variantes du protocole :
L'ARP est un protocole réseau qui repose sur la confiance. Lorsqu'une passerelle envoie une requête ARP, elle accepte la première réponse qu'elle reçoit. Le trafic à destination de cette adresse IP est ensuite acheminé vers l'adresse MAC indiquée.
Une attaque ARP spoofing ou ARP poisoning abuse de cette confiance. Dans cette attaque, l'attaquant envoie une réponse ARP ou un message ARP gratuit qui associe son adresse MAC à l'adresse IP d'une cible. Les données destinées à la victime sont alors acheminées vers l'attaquant, ce qui peut être utilisé dans le cadre d'une attaque de type "man-in-the-middle" (MitM) pour voler des données sensibles ou d'une attaque par déni de service (DoS) si l'attaquant se contente de laisser tomber les paquets reçus.
ARP est un protocole réseau fondamental qui joue un rôle essentiel dans le routage du réseau. Sans cela, la passerelle doit être configurée manuellement pour faire correspondre les adresses IP aux adresses MAC, ce qui réduit considérablement la facilité d'utilisation d'un réseau et les avantages du DHCP et des protocoles similaires.
La vaste expérience de Check Point en matière de sécurité réseau et de développement de pare-feu lui a permis d'acquérir une connaissance approfondie des protocoles réseau, qu'elle utilise dans ses solutions. Par exemple, les technologies de regroupement de Check Point et de routage dynamique utilisent l'ARP pour assurer la sécurité d'un réseau résilient. Par ailleurs, Quantum Sécurité de l'IdO de Check Point utilise les adresses MAC des appareils obtenues par ARP dans le cadre de l'empreinte digitale globale du réseau d'un appareil, puis l'enrichit à l'aide de moteurs IA/ML dans le nuage pour faire correspondre l'IdO de l'appareil à un profil de confiance zéro.
Check Point Pare-feu de nouvelle génération assure une protection complète du réseau et utilise pleinement les protocoles disponibles. Pour en savoir plus sur ce qu'il faut rechercher dans un NGFW, consultez ce guide de l'acheteur. Ensuite, découvrez les capacités de Check Point NGFWs par vous-même grâce à une démo gratuite.