Cisco включает по умолчанию функцию Proxy ARP на интерфейсах третьего уровня своего оборудования. Вы можете о ней даже не знать, а она есть…
Proxy ARP позволяет интерфейсу отвечать на “чужие” ARP-запросы своим маком. Это происходит, когда выполняются следующие условия (все сразу):
- – целевой IP-адрес ARP-запроса находится в IP-подсети, отличной от IP-подсети, в которой ARP-запрос получен
- – маршрутизатор имеет один или несколько маршрутов к целевому IP-адресу ARP-запроса
- – маршруты к целевому IP-адресу ARP-запроса указывают на исходящий интерфейс, отличный от интерфейса, на который ARP-запрос был получен
Это может быть нужно, когда:
- Используется NAT с пулом адресов, не входящих в ту же сеть, что и адрес интерфейса
- Используется странная фрагментация сети, когда клиенты считают, что их сеть шире, чем прописано на интерфейсе. Например, если клиенты не поддерживают произвольную длину маски.
Proxy ARP в некоторой степени расширяет широковещательный домен, увеличивая область применения сетевых атак на локальный сегмент. Поэтому его рекомендуется отключать. Ну и избыточная функциональность – к чему она?
При настройке NAT (первый случай применения Proxy ARP) рекомендуется назначать интерфейсу секондари адрес из пула NAT, это включит еще и Gratuitous ARP.
Второй случай использования Proxy ARP весьма специфический и очень редкий.
Так что выключаем) Можно выключить глобально:
(config)# ip arp proxy disable
Или на каждом интерфейсе:
(config-if)# no ip proxy-arp
На ASA:
(config)# sysopt noproxyarp <interface_name>
Источник: https://t.me/informhardening