Wat is ARP Poisoning?
ARP Poisoning is een aanval waarbij een aanvaller valse ARP-berichten naar het netwerk stuurt, met als doel de ARP-tabellen van andere apparaten te manipuleren. Hierdoor wordt verkeer omgeleid via de aanvaller, die dit kan onderscheppen, wijzigen of blokkeren.
In OT-netwerken kan ARP Poisoning leiden tot manipulatie van besturingsverkeer tussen PLC’s en SCADA-systemen, zonder dat gebruikers dit opmerken.
🧠 Wat doet ARP?
- ARP (Address Resolution Protocol) vertaalt IP-adressen naar MAC-adressen
- Apparaten bewaren ARP-koppelingen in een lokale cache (tijdelijk geheugen)
- Deze ARP-tabellen zijn niet beveiligd en worden automatisch overschreven
🎯 Wat is ARP Poisoning?
Bij ARP Poisoning verzendt een aanvaller valse ARP-replies, zoals:
“Het IP-adres van de PLC hoort bij mijn MAC-adres”
Resultaat: het slachtoffer stuurt voortaan verkeer naar de aanvaller i.p.v. naar de echte PLC.
Dit maakt mogelijk:
- Man-In-The-Middle-aanvallen
- Replay Attacks
- Verlies van integriteit of beschikbaarheid van OT-systemen
⚠️ Voorbeelden in OT-context
| Scenario | Effect |
|---|---|
| Aanvaller kaapt verkeer tussen SCADA en PLC | Foutieve besturing of datamanipulatie |
| Historian ontvangt data van aanvaller | Logbestanden bevatten gemanipuleerde waarden |
| Operator denkt systeem te besturen, maar… | …de commando’s gaan via de aanvaller |
| Malafide laptop op gastpoort | Kan zich voordoen als HMI of engineeringsstation |
🔐 Beveiligingsmaatregelen
| Maatregel | Beschrijving |
|---|---|
| Dynamic ARP Inspection (DAI) | Controleert ARP-pakketten op basis van DHCP Snooping-gegevens |
| IP Source Guard | Staat alleen verkeer toe met geldige IP-MAC-poort-combinaties |
| Port Security | Beperkt aantal toegestane apparaten per switchpoort |
| MAC Binding | Koppelt bekende MAC-adressen aan vaste poorten |
| 802.1X | Verplicht authenticatie voor netwerktoegang |
| Zero Trust Architecture | Verifieert alle communicatie, ook binnen het interne OT-netwerk |
🔍 Detectie van ARP Poisoning
| Methode | Uitleg |
|---|---|
| ARP cache-analyse | Opsporen van dubbele IP/MAC-koppels |
| SIEM-regels | Waarschuwen bij plotselinge ARP-wijzigingen |
| Wireshark of IDS | Detecteren van ongebruikelijke ARP-verkeer (frequentie, conflict) |
| Anomaliedetectie | Gedragspatronen analyseren, zoals herhaald verkeer met nieuw MAC-adres |
🧪 Tools voor simulatie of detectie
arpwatch– Monitoring tool voor ARP-veranderingenettercap,bettercap– Simulatie van ARP Poisoning (alleen in labomgevingen)arp -a– Handmatige controle van ARP-tabellen op Windows/Linux
📌 Samengevat
ARP Poisoning is een onzichtbare aanval die communicatie tussen OT-apparaten kan manipuleren. Preventie vereist beveiliging op laag 2, zoals DAI, Port Security en Netwerksegmentatie.