Wat is Dynamic ARP Inspection (DAI)?
Dynamic ARP Inspection (DAI) is een beveiligingsfunctie op laag 2 die vervalste ARP-berichten detecteert en blokkeert. Het voorkomt dat kwaadwillenden via ARP Spoofing netwerkverkeer omleiden of onderscheppen.
In OT-netwerken beschermt DAI bijvoorbeeld PLC-verkeer tegen ongewenste tussenkomst van Rogue Devices of een aanval vanuit een ongeautoriseerde laptop.
🧠 Wat doet DAI?
- Controleert ARP-pakketten op basis van geldige IP-MAC-bindings
- Blokkeert spoofed ARP-berichten op niet-vertrouwde poorten
- Gebruikt DHCP Snooping-tabellen als referentie voor geldige IP/MAC-koppels
- Voorkomt Man-in-the-Middle-aanvallen op basis van ARP-manipulatie
🔧 Hoe werkt het?
| Stap | Beschrijving |
|---|---|
| DHCP Snooping verzamelt bindings | Verzamelt IP ↔ MAC ↔ switchpoort-data |
| DAI activeert op untrusted ports | Alleen trusted ARP-pakketten worden doorgelaten |
| ARP-pakket wordt gecontroleerd | Op basis van DHCP Snooping-tabel of whitelist |
| Vals ARP-pakket? → Geblokkeerd | Logging of alarm via SIEM of Netwerkmonitoring |
🔐 Toepassing in OT
| Scenario | Voordeel van DAI |
|---|---|
| Laptop spooft IP van HMI | ARP-vervalsing wordt geblokkeerd |
| Rogue device probeert PLC-verkeer te kapen | Alleen geldig verkeer wordt doorgelaten |
| Operator sluit eigen switch aan | Illegitieme ARP-pakketten worden direct gedetecteerd |
✅ Best practices
- Altijd combineren met DHCP Snooping
- Configureer alleen uplinks als
trusted - Gebruik logging en alarms via SIEM
- Gebruik DAI + IP Source Guard + Port Security voor volledige bescherming
- Pas op bij gebruik van statische IP’s → handmatig MAC/IP whitelist instellen
📌 Samengevat
DAI voorkomt ARP-poisoning en beschermt OT-communicatie tegen Spoofing op laag 2. Essentieel voor veilige Zone met SCADA, PLC, Historian en operatorstations.