こんばんは

ProxyARPの話の続きです。 前回は問題提起のみで終わったので、解決編です！解決しきれてないんですけどね。。誰か助けてほしい。

hikaruru-g.hatenablog.com

ProxyARPに関する疑問

疑問点1.ProxyARPなんて意味あるの？デフォルトゲートウェイに飛ばせば、アドレス解決できるじゃん。

調査1.このサイトを見て、パターン1,2の構成の時にProxyARP機能に意味があることが分かった。(この記事読み物としても、技術的な説明についてもわかりやすい)

ARP に負けて RARP で挽回して GARP と Proxy ARP に勝つ - インフラまわりのプロになりたい

1. ネットワークプレフィックスの同じノードAからノードBへ通信しようとするとARP Requestはセグメントをまたぐことができないので、デフォルトゲートウェイのProxy ARPを有効化しなければいけない。 (例) ノードA(10.1.1.1/24)とノードB(10.1.2.1/24)

2. ネットワークプレフィックスの違うノードAからノードBへ通信しようとするとARP Requestはセグメントをまたぐことができないので、ノードBのセグメントを管理するルーターのProxy ARPを有効化しなければいけない。 (例) ノードA(10.1.1.1/16)とノードB(10.1.2.1/24)

回答1.ARPリクエストはセグメントを越えられない。デフォルトゲートウェイが解決できるのは、デフォルトゲートウェイのネットワーク機器のProxy ARPが有効化されているから。

疑問点2.セグメントをまたがない通信なんていうものを設計するほうが難しく、Proxy ARPを常時有効にすればいいじゃん！

調査2.

無条件で有効化しておけばいいじゃないかと思ったとこと、セキュリティ的にNGという記載を見つけた。が理解できない。スプーフィング...?

www.cisco.com

わからない単語といえばココ！概要しかわからなかったorz

https://wa3.i-3-i.info/word12922.html

ARPスプーフィングとは

www.infraexpert.com

わからなかったので動画を検索…なるほど、なんとなく理解できたぞ！Proxy ARPが無効化であれば変な誘導をされずに済むから安全だったのに有効にしたからこその問題というわけですな。

www.youtube.com

回答2.Proxy ARPを有効にすることで、ARPスプーフィングの可能性があるんです！

Proxy ARPを有効にする前提で、いかに防ぐかというほうが建設的なじゃないか？ この考え方で正しいのだろうか…