Dynamic ARP Inspection (DAI): ARP Spoofing verhindern (Übung)

Dynamic ARP Inspection (DAI) ist eine wichtige Sicherheitsfunktion, um ARP-Spoofing-Angriffe in einem Netzwerk zu verhindern. Bei einem ARP-Spoofing-Angriff sendet ein Angreifer falsche ARP-Nachrichten, um den Netzwerkverkehr umzuleiten und so Daten zu stehlen oder abzufangen. DAI sorgt dafür, dass nur gültige ARP-Nachrichten in einem Netzwerk zugelassen werden, indem sie die ARP-Nachrichten mit einer Vertrauensdatenbank vergleicht, die die IP-MAC-Zuordnungen enthält. In diesem Tutorial erfahren Sie, wie Sie DAI in Packet Tracer konfigurieren und typische ARP-Spoofing-Angriffe simulieren und verhindern können.

Was ist ARP-Spoofing und wie funktioniert es?

ARP (Address Resolution Protocol) ist ein Verfahren, um die MAC-Adresse zu einer IP-Adresse zu ermitteln. In einem normalen Szenario fragt ein Host nach der MAC-Adresse des anderen Hosts, und der Router oder Switch antwortet mit der richtigen MAC-Adresse. Bei ARP-Spoofing sendet der Angreifer falsche ARP-Antworten, die falsche IP-MAC-Zuordnungen beinhalten. Dadurch wird der Verkehr an den Angreifer umgeleitet, der so auf Daten zugreifen kann, die eigentlich für ein anderes Gerät bestimmt sind.

• ARP-Spoofing ermöglicht Man-in-the-Middle-Angriffe und Denial-of-Service-Angriffe
• Da ARP ohne Authentifizierung funktioniert, ist es ein beliebtes Ziel für Angreifer
• DAI schützt vor solchen Angriffen, indem es ARP-Nachrichten überprüft

DAI konfigurieren: Grundlagen und Schritte

Dynamic ARP Inspection (DAI) prüft ARP-Nachrichten, indem es diese mit einer „vertrauenswürdigen“ Datenbank abgleicht. Diese Datenbank wird in der Regel über DHCP Snooping oder manuell über statische Einträge gepflegt. DAI kann auf jedem Switch-Port aktiviert werden, um sicherzustellen, dass nur legitime ARP-Nachrichten im Netzwerk verbreitet werden.

DAI aktivieren

Bevor Sie DAI aktivieren, müssen Sie sicherstellen, dass DHCP Snooping bereits aktiviert ist, da DAI auf die IP-MAC-Bindungen angewiesen ist, die durch DHCP Snooping gesammelt werden.

Schritt 1: DHCP Snooping aktivieren

Aktivieren Sie DHCP Snooping, damit der Switch die IP-MAC-Zuordnungen sammeln kann.

enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10
end
write memory

Schritt 2: DAI aktivieren

Aktivieren Sie DAI für das VLAN, in dem die ARP-Prüfung durchgeführt werden soll.

enable
configure terminal
ip arp inspection vlan 10
end
write memory

Schritt 3: Trusted und Untrusted Ports definieren

Definieren Sie, welche Ports vertrauenswürdig sind (d.h. an denen der legitime DHCP-Server oder Router sitzt) und welche als untrusted gelten (z.B. Ports, an denen Clients oder Angreifer angeschlossen sind). Nur an vertrauenswürdigen Ports dürfen ARP-Nachrichten gesendet werden.

Beispiel: Uplink-Port als Trusted setzen

enable
configure terminal
interface gigabitEthernet0/1
 ip arp inspection trust
end
write memory

Schritt 4: DAI auf untrusted Ports aktivieren

Alle Access-Ports, an denen sich Clients befinden, sollten standardmäßig als untrusted konfiguriert sein, um sicherzustellen, dass diese keine gefälschten ARP-Nachrichten senden können.

enable
configure terminal
interface range fastEthernet0/1 - 24
 ip arp inspection limit rate 15
end
write memory

Schritt 5: ARP-Spoofing simulieren und DAI testen

Nun können Sie einen ARP-Spoofing-Angriff simulieren. Verwenden Sie einen Computer oder Server, der ARP-Antworten fälscht, und versuchen Sie, den Datenverkehr zu kapern. Durch die Aktivierung von DAI sollte der Angriff verhindert werden, und die gefälschten ARP-Nachrichten werden blockiert.

• Setzen Sie einen „Rogue“ PC als Angreifer, der falsche ARP-Antworten sendet
• PC1 sollte durch DAI seine ARP-Nachricht nicht akzeptieren und eine gültige IP-MAC-Zuordnung erhalten
• Verifizieren Sie mit show ip arp inspection, dass der Angriff blockiert wird

Simulierter Angriff: Falsche ARP-Antwort senden

Auf dem Angreifer-PC (Rogue) konfigurieren Sie einen ARP-Spoofing-Angriff, indem Sie eine falsche ARP-Antwort senden, um den Verkehr umzuleiten.

enable
configure terminal
arp spoofing start
end

Verifikation: ARP Binding Table prüfen

Überprüfen Sie, dass der Switch die ARP-Nachrichten blockiert, die von untrusted Ports kommen. Auf einem Switch, der DAI verwendet, sehen Sie bei gefälschten ARP-Nachrichten eine Blockierung.

enable
show ip arp inspection

Was Sie erwarten sollten

• Der Angreifer-PC wird keine ARP-Antworten annehmen
• Nur gültige ARP-Nachrichten aus trusted Ports werden akzeptiert
• Gefälschte ARP-Antworten werden als „unsicher“ markiert und abgelehnt

Typische Fehler in der DAI-Konfiguration

In DAI-Übungen treten häufig Konfigurationsfehler auf, die die Sicherheit beeinträchtigen. Hier einige typische Probleme und wie man sie vermeidet.

Fehler: DAI blockiert keine ARP-Nachrichten

• Ursache: Trusted-Port fehlt auf dem Uplink zum Router/DHCP-Server
• Lösung: Überprüfen Sie, ob der Uplink-Port korrekt als trusted konfiguriert ist

Fehler: DAI blockiert gültige ARP-Nachrichten

• Ursache: DHCP Snooping fehlt oder ist nicht korrekt konfiguriert
• Lösung: Stellen Sie sicher, dass DHCP Snooping aktiviert ist und die Bindings korrekt sind

Fehler: Der Angriff wird nicht erkannt

• Ursache: Die ARP-Nachrichten sind auf einem trusted Port eingegangen
• Lösung: Überprüfen Sie, ob untrusted Ports korrekt konfiguriert sind

Best Practices für DAI in Packet Tracer

Mit diesen Best Practices sichern Sie Ihr Netzwerk effektiv gegen ARP-Spoofing-Angriffe und stellen sicher, dass Ihre DAI-Konfiguration stabil funktioniert.

• Aktivieren Sie DAI nur für VLANs, die DHCP oder ARP benötigen
• Setzen Sie Trusted-Ports ausschließlich auf den Uplink zu Servern oder Routern
• Verwenden Sie DHCP Snooping, um ARP-Datenbanken zuverlässig zu erstellen
• Prüfen Sie regelmäßig die ARP Binding Table, um fehlerhafte Einträge zu finden
• Setzen Sie ein Rate-Limit für ARP-Nachrichten auf untrusted Ports, um Flooding zu verhindern

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.