16.8 Dynamic ARP Inspection einfach erklärt

Dynamic ARP Inspection, kurz DAI, ist eine wichtige Sicherheitsfunktion auf Switches, mit der sich ARP-bezogene Angriffe im lokalen Netzwerk erkennen und blockieren lassen. In vielen Ethernet-Netzen läuft ARP völlig unsichtbar im Hintergrund. Genau deshalb wird das Protokoll oft unterschätzt. Dabei spielt ARP eine zentrale Rolle, weil es IP-Adressen mit MAC-Adressen verknüpft und damit überhaupt erst ermöglicht, dass Geräte im LAN korrekt miteinander kommunizieren. Wenn diese Zuordnung manipuliert wird, können Angreifer Datenverkehr umleiten, mitlesen oder gezielt Verbindungen stören. Dynamic ARP Inspection schützt an genau dieser Stelle. Die Funktion überprüft ARP-Pakete auf ihre Plausibilität und verwirft verdächtige oder gefälschte Antworten. Wer Layer-2-Sicherheit in Cisco-Netzwerken verstehen möchte, sollte DAI deshalb als grundlegenden Baustein kennen.

Was ist Dynamic ARP Inspection?

Dynamic ARP Inspection ist eine Sicherheitsfunktion auf Switches, die ARP-Nachrichten überwacht, prüft und bei Bedarf blockiert. Ziel ist es, zu verhindern, dass gefälschte ARP-Informationen im Netzwerk verbreitet werden. DAI kontrolliert dabei vor allem ARP Replies und zum Teil auch andere ARP-Pakete, um sicherzustellen, dass die enthaltenen IP- und MAC-Zuordnungen legitim sind.

Einfach erklärt bedeutet das: Der Switch schaut sich ARP-Nachrichten an und prüft, ob die gemeldete Zuordnung zwischen IP-Adresse und MAC-Adresse überhaupt glaubwürdig ist. Wenn nicht, wird das Paket nicht weitergeleitet.

Die Grundidee von DAI

• ARP-Pakete werden nicht blind vertraut
• Der Switch prüft IP-MAC-Zuordnungen auf Gültigkeit
• Gefälschte oder widersprüchliche ARP-Nachrichten werden blockiert
• Layer-2-Angriffe wie ARP Spoofing werden erschwert

Warum ARP überhaupt ein Sicherheitsproblem sein kann

ARP steht für Address Resolution Protocol. In IPv4-Netzwerken wird ARP genutzt, um zu einer bekannten IP-Adresse die passende MAC-Adresse im lokalen Netzwerk zu ermitteln. Ein Host kennt beispielsweise die IP-Adresse seines Default Gateways, muss aber für die Ethernet-Kommunikation auch dessen MAC-Adresse kennen. Genau dafür dient ARP.

Das Problem ist: Das ARP-Protokoll wurde nicht mit starken Sicherheitsmechanismen entwickelt. Geräte im LAN nehmen ARP-Informationen in vielen Fällen zunächst als vertrauenswürdig an. Ein Angreifer kann das ausnutzen und gefälschte ARP-Antworten senden. So kann er Hosts dazu bringen, falsche MAC-Zuordnungen in ihren ARP-Caches zu speichern.

Warum ARP angreifbar ist

• ARP besitzt keine starke eingebaute Authentifizierung
• Hosts akzeptieren ARP-Informationen oft sehr bereitwillig
• Falsche Zuordnungen können lokale Kommunikation manipulieren
• Angriffe sind im selben Broadcast-Domain grundsätzlich möglich

ARP einfach erklärt

Bevor Dynamic ARP Inspection wirklich verständlich wird, muss die Rolle von ARP klar sein. Ein Gerät im LAN kommuniziert auf Layer 3 mit IP-Adressen, auf Layer 2 aber mit MAC-Adressen. Wenn ein Host also ein Paket an eine lokale Ziel-IP oder an sein Gateway senden möchte, muss er die passende MAC-Adresse herausfinden.

Typischer Ablauf:

• Ein Host kennt die Ziel-IP-Adresse
• Er sendet eine ARP Request als Broadcast
• Der gesuchte Host oder das Gateway antwortet mit einer ARP Reply
• Der anfragende Host speichert die IP-MAC-Zuordnung im ARP-Cache

Dadurch können Ethernet-Frames korrekt an das richtige Ziel gesendet werden.

Beispiel

• PC kennt das Gateway 192.168.10.1
• PC fragt per ARP: „Wer hat 192.168.10.1?“
• Der Router antwortet mit seiner MAC-Adresse
• Der PC speichert diese Zuordnung und sendet Frames an die Router-MAC

Was ist ARP Spoofing oder ARP Poisoning?

ARP Spoofing oder ARP Poisoning beschreibt einen Angriff, bei dem ein Gerät gefälschte ARP-Nachrichten ins LAN sendet, um falsche IP-MAC-Zuordnungen in den ARP-Caches anderer Geräte zu platzieren. Das Ziel ist meist, den Datenverkehr umzuleiten oder sich zwischen zwei Kommunikationspartner zu schalten.

Ein Angreifer kann beispielsweise behaupten, dass seine eigene MAC-Adresse zur IP-Adresse des Default Gateways gehört. Wenn ein Client diese gefälschte ARP-Antwort akzeptiert, sendet er seinen Verkehr nicht mehr an den echten Router, sondern an den Angreifer.

Typische Ziele von ARP Spoofing

• Datenverkehr umleiten
• Man-in-the-Middle-Angriffe ermöglichen
• Verbindungen stören oder unterbrechen
• Sitzungen abhören oder manipulieren

Warum das so gefährlich ist

• Der Angriff wirkt auf Layer 2 sehr direkt
• Benutzer merken den Angriff oft nicht sofort
• Interner Verkehr kann kompromittiert werden
• Auch Zugangsdaten oder Sessions können betroffen sein

Wie ein ARP-Spoofing-Angriff praktisch aussieht

Angenommen, ein Client kommuniziert über das Default Gateway mit anderen Netzen. Ein Angreifer im selben VLAN sendet nun ARP-Replies mit der Aussage, seine eigene MAC-Adresse gehöre zur IP des Gateways. Der Client aktualisiert seinen ARP-Cache entsprechend. Danach sendet er Verkehr an die MAC des Angreifers statt an die MAC des Routers.

Wenn der Angreifer den Verkehr weiterleitet, bleibt die Verbindung für den Benutzer scheinbar funktionsfähig. Genau das macht den Angriff besonders tückisch.

Typischer Ablauf eines MITM über ARP

• Angreifer sendet gefälschte ARP-Reply
• Client speichert falsche Gateway-MAC
• Client sendet Frames an den Angreifer
• Angreifer liest oder verändert den Verkehr
• Angreifer leitet Verkehr an den echten Router weiter

Wie Dynamic ARP Inspection solche Angriffe verhindert

Dynamic ARP Inspection verhindert solche Manipulationen, indem der Switch ARP-Nachrichten nicht einfach ungeprüft weiterleitet. Stattdessen vergleicht DAI die Angaben in einem ARP-Paket mit einer vertrauenswürdigen Datenbasis. Stimmt die Kombination aus IP-Adresse, MAC-Adresse und Port nicht mit den erwarteten Werten überein, verwirft der Switch das Paket.

Dadurch kann ein Angreifer nicht mehr beliebig behaupten, eine fremde IP-Adresse gehöre zu seiner MAC-Adresse, sofern der Switch die legitimen Zuordnungen kennt.

Was DAI konkret prüft

• Passt die Quell-IP-Adresse zur bekannten Zuordnung?
• Passt die Quell-MAC-Adresse zur bekannten Zuordnung?
• Kommt das Paket vom erwarteten Switchport?
• Ist der Port trusted oder untrusted?

Die Rolle der DHCP Snooping Binding Table

Dynamic ARP Inspection arbeitet in Cisco-Umgebungen typischerweise auf Basis der DHCP Snooping Binding Table. Diese Tabelle enthält Informationen darüber, welcher Client über welchen Port welche IP-Adresse per DHCP erhalten hat. Dazu gehören meist IP-Adresse, MAC-Adresse, VLAN und Interface.

DAI nutzt genau diese Tabelle als Referenz. Wenn ein ARP-Paket von einem untrusted Port kommt, kann der Switch prüfen, ob die darin behauptete IP-MAC-Zuordnung zur bekannten DHCP-Bindung passt. Wenn nicht, wird das Paket verworfen.

Warum DHCP Snooping dafür so wichtig ist

• Es liefert vertrauenswürdige IP-MAC-Port-Zuordnungen
• DAI kann damit ARP-Pakete sinnvoll validieren
• Ohne diese Grundlage wäre eine dynamische Prüfung deutlich schwieriger

Wichtige Einordnung

In der Praxis ist DHCP Snooping meist die Voraussetzung für effektives Dynamic ARP Inspection in Client-VLANs.

Trusted und Untrusted Ports bei DAI

Wie bei DHCP Snooping arbeitet auch Dynamic ARP Inspection mit trusted und untrusted Ports. Diese Unterscheidung ist entscheidend, weil nicht jeder Port gleich behandelt wird.

Untrusted Port

Untrusted Ports sind typischerweise Access-Ports zu Clients. Auf solchen Ports prüft DAI eingehende ARP-Nachrichten streng gegen die erwarteten Werte. Das ist sinnvoll, weil genau dort potenziell kompromittierte oder unerlaubte Geräte angeschlossen sind.

Trusted Port

Trusted Ports sind typischerweise Uplinks zu anderen vertrauenswürdigen Switches, zu Routern oder zu Infrastrukturpfaden, über die legitimer Verkehr kommt. Auf trusted Ports wird ARP-Verkehr nicht in derselben Weise gefiltert.

Einfach eingeordnet

• Client-Ports: meist untrusted
• Infrastruktur-Uplinks: gezielt trusted

Für welche VLANs DAI aktiviert wird

Dynamic ARP Inspection wird VLAN-bezogen aktiviert. Das ist logisch, weil ARP innerhalb lokaler Broadcast-Domains arbeitet. In der Praxis sind vor allem Benutzer- und Access-VLANs relevant, in denen viele Endgeräte per DHCP arbeiten.

Typische Einsatz-VLANs

• Client-VLANs
• Benutzersegmente
• Gastnahe Access-Bereiche
• Allgemeine Arbeitsplatz-VLANs

Mit Vorsicht zu betrachten

• Server-VLANs mit statischer Adressierung
• Spezialsegmente ohne DHCP
• Designs mit bewusst abweichender IP-Verwaltung

Gerade bei statisch adressierten Geräten muss DAI bewusst geplant werden, weil dort keine DHCP-Bindings vorliegen.

Grundkonfiguration von Dynamic ARP Inspection auf Cisco-Switches

Die Aktivierung erfolgt in mehreren Schritten. In der Praxis wird zuerst DHCP Snooping korrekt eingerichtet, danach DAI für die gewünschten VLANs aktiviert und schließlich werden die Infrastruktur-Ports als trusted markiert.

Einfaches Beispiel

ip dhcp snooping
ip dhcp snooping vlan 10

ip arp inspection vlan 10

interface GigabitEthernet1/0/24
 description Uplink-zum-Distribution-Switch
 ip dhcp snooping trust
 ip arp inspection trust

Diese Konfiguration bedeutet:

• DHCP Snooping ist aktiv und schützt VLAN 10
• DAI ist für VLAN 10 aktiviert
• Der Uplink-Port ist für DHCP Snooping und DAI als trusted markiert

Alle anderen Ports bleiben standardmäßig untrusted.

Warum trusted Ports sorgfältig gewählt werden müssen

Ein häufiger Fehler besteht darin, zu viele Ports als trusted zu markieren. Damit würde der Schutz von DAI praktisch ausgehebelt. Nur wirklich vertrauenswürdige Infrastrukturpfade sollten als trusted gesetzt werden. Ein normaler Benutzerport darf nicht trusted sein, nur weil es bequemer erscheint.

Typische trusted Ports

• Trunk zum Distribution- oder Core-Switch
• Port zum Router oder Layer-3-Gateway
• Legitime Infrastrukturverbindungen

Typische untrusted Ports

• Arbeitsplatzports
• Druckerports
• Gastnahe Ports
• Access-Ports zu normalen Endgeräten

Was passiert, wenn DAI ein ungültiges ARP-Paket erkennt?

Wenn ein untrusted Port ein ARP-Paket sendet, dessen Angaben nicht mit der DHCP Snooping Binding Table oder anderen zulässigen Werten übereinstimmen, blockiert der Switch dieses Paket. Dadurch gelangt die gefälschte IP-MAC-Zuordnung nicht in den restlichen Broadcast-Domain.

Je nach Plattform und Konfiguration können solche Ereignisse auch gezählt, geloggt oder für Monitoring sichtbar gemacht werden.

Typische Folgen

• Manipulierte ARP-Antworten werden verworfen
• Hosts übernehmen die gefälschte Zuordnung nicht
• ARP-basierte MITM-Angriffe werden erschwert oder verhindert
• Der Verstoß ist unter Umständen im Switch nachvollziehbar

ARP ACLs bei statischen Geräten

Eine wichtige praktische Grenze von DAI ist, dass die Funktion typischerweise mit der DHCP Snooping Binding Table arbeitet. Wenn Geräte statische IP-Adressen nutzen, existieren diese dynamischen Bindings nicht automatisch. In solchen Fällen können ARP ACLs verwendet werden, um gültige statische IP-MAC-Zuordnungen explizit zu erlauben.

Das ist vor allem für Server, Drucker, Management-Interfaces oder andere statisch konfigurierte Systeme relevant.

Warum ARP ACLs nötig sein können

• Statisch konfigurierte Hosts erscheinen nicht in der DHCP-Binding-Table
• DAI braucht trotzdem eine verlässliche Zuordnungsbasis
• ARP ACLs ergänzen dynamische Bindings für Spezialfälle

Beispiel einer ARP ACL

arp access-list STATIC-HOSTS
 permit ip host 192.168.10.10 mac host 0011.2233.4455

Damit wird für diesen Host eine statische zulässige ARP-Zuordnung definiert.

Rate Limiting bei DAI

Dynamic ARP Inspection kann auf untrusted Ports zusätzlich die Rate von ARP-Paketen begrenzen. Das hilft gegen missbräuchlich hohe ARP-Last oder bestimmte Angriffsmuster. Wenn ein Port ungewöhnlich viele ARP-Pakete sendet, kann der Switch reagieren und den Verkehr begrenzen oder den Port schützen.

Warum das sinnvoll ist

• Schutz vor ARP-Flooding
• Frühes Erkennen auffälligen Verhaltens
• Zusätzliche Stabilität in Benutzersegmenten

Beispiel für eine Begrenzung

interface FastEthernet0/10
 ip arp inspection limit rate 15

Damit wird die ARP-Rate auf diesem Port begrenzt.

DAI in der Praxis: Wo der Einsatz besonders sinnvoll ist

Dynamic ARP Inspection ist vor allem in Client-VLANs und auf Access-Switches sinnvoll, also genau dort, wo viele Benutzergeräte angeschlossen sind und wo ARP Spoofing praktisch relevant werden kann. In offenen Büroflächen, Schulungsumgebungen, Laboren oder allgemein in Bereichen mit wenig kontrollierten Client-Geräten bringt DAI einen klaren Sicherheitsgewinn.

Typische Einsatzorte

• Access-Switches in Büroflächen
• Benutzer-VLANs
• Schulungs- und Laborumgebungen
• Gastnahe Access-Segmente

Mit Bedacht zu planen

• VLANs mit vielen statisch adressierten Geräten
• Spezialumgebungen mit ungewöhnlicher ARP-Last
• Segmente mit unvollständiger DHCP-Snooping-Grundlage

Dynamic ARP Inspection überprüfen und verifizieren

Nach der Aktivierung sollte DAI immer kontrolliert werden. Cisco-Switches bieten dafür mehrere Show-Befehle, mit denen sich Status, VLAN-Zuordnung, Trusted-Ports und erkannte Ereignisse prüfen lassen.

Wichtige Prüfbefehle

show ip arp inspection
show ip arp inspection vlan 10
show ip arp inspection interfaces
show ip dhcp snooping binding
show running-config interface GigabitEthernet1/0/24

Was sich damit prüfen lässt

• Ist DAI global für das VLAN aktiv?
• Welche Interfaces sind trusted?
• Gibt es verwarfene ARP-Pakete?
• Existieren gültige DHCP-Bindings?
• Passt die Konfiguration der Uplinks?

Häufige Fehler bei Dynamic ARP Inspection

DAI ist eine wirkungsvolle Funktion, kann aber bei falscher Planung legitimen Verkehr stören. Die häufigsten Probleme entstehen durch fehlende DHCP-Snooping-Bindings, falsch gesetzte Trusted-Ports oder den Einsatz in Netzen mit vielen statischen IP-Adressen ohne ergänzende ARP ACLs.

Typische Fehlerquellen

• DHCP Snooping wurde nicht korrekt aktiviert
• DAI läuft ohne brauchbare Binding Table
• Uplink oder Infrastrukturport ist nicht trusted
• Zu viele Ports wurden trusted und schwächen den Schutz
• Statische Hosts wurden nicht berücksichtigt
• Rate Limits sind zu streng gesetzt

Typische Symptome

• Clients haben sporadische Kommunikationsprobleme
• Bestimmte Hosts sind lokal nicht erreichbar
• Statische Geräte funktionieren nach Aktivierung von DAI nicht mehr korrekt
• Im Switch erscheinen ARP-Drops oder Validierungsfehler

Ein einfaches Praxisbeispiel

Angenommen, ein Client-VLAN 10 versorgt Arbeitsplatz-PCs in einem Büro. Das Default Gateway liegt auf einem Layer-3-Switch oder Router, und DHCP wird zentral bereitgestellt. Ohne DAI könnte ein Benutzer ein eigenes Gerät anschließen und per ARP Spoofing behaupten, die Gateway-IP gehöre zu seiner MAC-Adresse.

Mit DHCP Snooping und DAI sieht die Schutzlogik so aus:

• DHCP Snooping lernt die legitimen IP-MAC-Port-Zuordnungen der Clients
• DAI prüft ARP-Nachrichten in VLAN 10 gegen diese Daten
• Gefälschte ARP-Informationen eines Benutzers werden blockiert
• Der MITM-Angriff kommt nicht erfolgreich zustande

Beispielkonfiguration

ip dhcp snooping
ip dhcp snooping vlan 10

ip arp inspection vlan 10

interface GigabitEthernet1/0/24
 description Uplink-zum-Core
 ip dhcp snooping trust
 ip arp inspection trust

interface range FastEthernet0/1 - 24
 ip arp inspection limit rate 15

Diese Konfiguration schützt das Client-VLAN 10 gegen viele typische ARP-Manipulationen.

Grenzen von Dynamic ARP Inspection

DAI ist sehr wirksam gegen ARP-Spoofing auf Layer 2, aber keine vollständige Sicherheitslösung. Die Funktion schützt nicht gegen alle Arten von Netzwerkangriffen und ersetzt weder Segmentierung noch Authentifizierung oder Firewalls. Sie sollte deshalb als ein Teil eines umfassenderen Sicherheitskonzepts verstanden werden.

Was DAI gut kann

• Schutz vor ARP Spoofing und ARP Poisoning
• Reduktion von MITM-Risiken im LAN
• Validierung von ARP-Verkehr an Access-Ports

Was DAI nicht ersetzt

• DHCP Snooping
• 802.1X oder NAC
• Firewall- und Routing-Policies
• Segmentierung durch VLANs
• Vollständigen Schutz vor kompromittierten Hosts

Best Practices für den Einsatz von DAI

• DAI nur zusammen mit sauber konfiguriertem DHCP Snooping einführen
• Trusted-Ports sehr bewusst und sparsam setzen
• Vor allem Client-VLANs schützen
• Statische Hosts mit ARP ACLs berücksichtigen
• Rate Limits sinnvoll konfigurieren
• Nach Aktivierung immer mit Show-Befehlen verifizieren
• Mit IP Source Guard und DHCP Snooping als Layer-2-Sicherheitskonzept kombinieren

Warum Dynamic ARP Inspection ein so wichtiger Layer-2-Schutz ist

ARP läuft im Hintergrund und wird im Alltag kaum wahrgenommen. Genau das macht ARP-basierte Angriffe so gefährlich: Sie greifen eine grundlegende Mechanik des lokalen Netzwerks an, ohne für Benutzer sofort sichtbar zu sein. Dynamic ARP Inspection schützt diese Schwachstelle direkt auf der Switch-Ebene und verhindert, dass Hosts beliebige ARP-Zuordnungen ins Netz einspeisen.

Wer sichere Access-Netze bauen möchte, sollte DAI deshalb nicht als Spezialfunktion betrachten, sondern als wichtigen Bestandteil moderner Layer-2-Sicherheit. In Kombination mit DHCP Snooping und sauberer Segmentierung entsteht so ein deutlich robusteres und vertrauenswürdigeres LAN.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.