Allgemein

Dynamic ARP Inspection (DAI) einfach erklärt

Max Gunkel

Dynamic ARP Inspection (oft auch ARP Inspection genannt) ist eine Sicherheitsfunktion auf Switches (Layer 2), die vor ARP-Spoofing schützt. Sie setzt an zwei wichtigen Stellen an:

Überprüfung eingehender ARP-Pakete

  • Der Switch überprüft alle ARP-Anfragen und -Antworten, die er an seinen Ports empfängt.
  • Kommt ein ARP-Paket bei einem als „untrusted” markierten Port an, wird es zunächst mit einer Sicherheits-Datenbank abgeglichen.

Vertrauenswürdige Datenbasis

  • Diese Sicherheits-Datenbank (oft als DHCP Snooping-Binding-Tabelle bezeichnet) kennt die legitimen Zuordnungen zwischen IP-Adresse, MAC-Adresse, Port und VLAN.
  • Stammt die Zuordnung aus einem ARP-Paket, das nicht mit den Einträgen in dieser Datenbank übereinstimmt, verwirft der Switch die Nachricht.

Warum DHCP Snooping wichtig ist

  • ARP Inspection arbeitet in der Regel eng mit DHCP Snooping zusammen.
  • DHCP Snooping erstellt eine Binding-Tabelle, sobald ein Client per DHCP eine IP-Adresse bezieht.
  • Diese Tabelle zeigt an, welche IP- und MAC-Adressen legitim zusammengehören und auf welchem Port sie zu finden sind.
  • ARP Inspection nutzt genau diese Informationen, um ARP-Pakete zu validieren.

Wie funktioniert ARP Inspection konkret?

Ports konfigurieren

  • Jeder Port des Switches wird entweder als trusted (vertrauenswürdig) oder untrusted (nicht vertrauenswürdig) eingestuft.
  • Meist sind Uplink-Ports oder Ports mit Servern als trusted konfiguriert, während reguläre Client-Ports untrusted sind.

ARP-Paket trifft am Switch ein

  • Ein Client sendet oder empfängt eine ARP-Anfrage / -Antwort.
  • Wenn das ARP-Paket über einen untrusted Port reinkommt, prüft der Switch die Angaben in diesem ARP-Paket.

Validierung mittels Binding-Tabelle

  • Der Switch schaut in seine DHCP Snooping-Binding-Tabelle, um zu prüfen, ob die gemeldete IP- und MAC-Kombination korrekt ist.
  • Wenn sie nicht übereinstimmt, verwirft der Switch das Paket.
  • Trifft es zu, wird das Paket an den Adressaten weitergeleitet.

ARP-Spoofing wird erkannt

  • Durch die Prüfung kann ein Angreifer, der eine falsche Zuordnung IP–MAC vorgaukelt, nicht erfolgreich sein.
  • Die gefälschte ARP-Antwort weicht nämlich von den offiziellen Einträgen in der Binding-Tabelle ab.

Vorteile von ARP Inspection

Schutz vor Man-in-the-Middle

  • Durch die Validierung an der Switch-Ebene kann ein Angreifer nicht unbemerkt den ARP-Cache eines Zielrechners manipulieren.

Einfache Integration

  • Hat man bereits DHCP Snooping eingerichtet, ist der zusätzliche Konfigurationsaufwand für ARP Inspection überschaubar.

Dynamische Kontrolle

  • ARP Inspection funktioniert dynamisch im laufenden Betrieb – wann immer Clients ihre IP-Adressen erneuern, aktualisiert sich auch die Binding-Tabelle.

Geringer Performance-Overhead

  • Moderne Switches sind leistungsfähig genug, um ARP Inspection ohne nennenswerte Einbußen auszuführen.

Typisches Szenario: ARP Inspection in einem Firmennetzwerk

DHCP Snooping aktivieren

  • Der zentrale DHCP-Server vergibt IP-Adressen an alle Clients.
  • Die Snooping-Funktion des Switches erstellt eine Binding-Tabelle: IP, MAC, VLAN, Port.

ARP Inspection einschalten

  • Administratoren konfigurieren an den Switch-Ports:
    • Trusted Ports: Hier dürfen ARP-Pakete passieren (z. B. Uplink zum Router).
    • Untrusted Ports: ARP-Pakete werden geprüft.

Client will eine ARP-Anfrage beantworten

  • Ist der Client an einem untrusted Port angeschlossen und die Antwort ist manipuliert (z. B. ein Angreifer will sich als Gateway ausgeben), weicht diese von den Einträgen in der Binding-Tabelle ab und der Switch blockiert die ARP-Antwort.

Netzwerk bleibt sauber

  • Die übrigen Geräte erhalten nur gültige ARP-Informationen und sind so gegen ARP-Spoofing geschützt.

Mögliche Herausforderungen

Falsche oder fehlende Binding-Einträge

  • Wenn ein Client ausnahmsweise manuell (statisch) konfiguriert wird, kann es sein, dass er nicht in der DHCP Snooping-Tabelle auftaucht.
  • Dann muss man ggf. die IP–MAC-Zuordnung manuell im Switch hinterlegen oder den Port als trusted konfigurieren.

Komplexe VLAN-Umgebungen

  • In großen Netzwerken mit vielen VLANs kann die Verwaltung von DHCP Snooping und ARP Inspection umfangreich werden.
  • Eine genaue Planung und Dokumentation ist essenziell.

Performance

  • Auf älteren oder sehr einfachen Switches kann das Filtern und Validieren vieler ARP-Pakete unter hoher Last zu Engpässen führen.
  • Moderne Enterprise-Switche haben dagegen spezielle Hardware-Ressourcen, um dies effizient zu erledigen.

Fazit

ARP Inspection ist ein zentrales Element für die Netzwerksicherheit und schützt zuverlässig vor ARP-Spoofing. Durch die enge Verzahnung mit DHCP Snooping kann der Switch in Echtzeit prüfen, ob die zugehörige IP–MAC-Kombination stimmt. Damit wird das berüchtigte Man-in-the-Middle-Szenario über ARP-Manipulation massiv erschwert.

Wer ein professionelles Firmennetzwerk administriert oder generell wert auf Sicherheit in größeren LANs legt, sollte neben DHCP Snooping auch ARP Inspection einsetzen. Zwar erfordert es sorgfältige Planung und Konfiguration, bietet aber einen großen Mehrwert gegen eine oft unterschätzte Angriffsform. So bleibt dein Netzwerk sauber und Manipulationen über gefälschte ARP-Pakete haben keine Chance!

ARPNetzwerkSecurityGrundlagenSwitch