Wat is Dynamic ARP Inspection (DAI)?
Dynamic ARP Inspection (DAI) is een netwerkbeveiligingsfunctie die voorkomt dat vervalste ARP-berichten (Spoofing) het netwerk kunnen manipuleren. Het beschermt tegen ARP-poisoning en Man-In-The-Middle (MitM)-aanvallen door ARP-verkeer actief te controleren en te valideren op basis van een DHCP Snooping bindingstabel.
In OT-netwerken is DAI essentieel om te voorkomen dat een aanvaller zich voordoet als een PLC, SCADA-server of Historian door ARP-tabellen van andere apparaten te vervalsen.
π§ Wat doet ARP en waarom is bescherming nodig?
- ARP (Address Resolution Protocol) vertaalt IP-adressen naar MAC-adressen
- Zonder controle kan een kwaadwillende via ARP-spoofing zich voordoen als een ander apparaat
- Dit leidt tot verkeersomleiding, spionage, datamanipulatie of sessiekaping
π§ Hoe werkt Dynamic ARP Inspection?
| Stap | Beschrijving |
|---|---|
| 1. DHCP Snooping registreert IP-MAC-verbindingen per poort | Wordt opgeslagen in een trusted bindingstabel |
| 2. DAI vergelijkt ARP-verkeer met deze tabel | Alleen ARP-berichten die overeenkomen worden doorgelaten |
| 3. Foute of verdachte ARP-pakketten worden geblokkeerd of gelogd | Spoofing-aanvallen worden zo voorkomen |
π Toepassingen in OT
| Scenario | Gevolg van DAI |
|---|---|
| Beveiliging van SCADA-communicatie | Voorkomt dat een HMI verkeer van/naar PLC overneemt via ARP-spoofing |
| Bescherming Historian-data | Verkeersintegriteit tussen data source en opslag wordt behouden |
| Fysieke toegang tot switchpoort | Verhindert kwaadwillende laptops van sessieovername via ARP-poisoning |
| Gastnetwerk of leveranciers VLAN | Beschermt OT-zone tegen ARP-manipulatie vanuit tijdelijke verbindingen |
β Best practices
| Actie | Waarom? |
|---|---|
| Combineer met DHCP Snooping | Zonder DHCP-binding weet DAI niet welke ARP-legitimaties gelden |
| Gebruik DAI alleen op untrusted poorten | Vertrouwde uplinks kunnen ARP doorgeven zonder inspectie |
| Log overtredingen | Analyseer of je te maken hebt met kwaadaardige of foutieve apparaten |
| Let op statische IPβs | Apparaten met handmatige IP-instellingen worden niet herkend zonder aanvullende config |
| Bewaar DAI-bindings | Laat je switches de ARP- en DHCP-tabellen behouden bij herstart (indien mogelijk) |
π Zonder DAI in OT-netwerken:
- Verkeer van operatorstations kan ongemerkt worden omgeleid
- Foutieve ARP-learnings leiden tot netwerkinstabiliteit of performanceverlies
- Rogue Devices kunnen communicatie afluisteren of injecteren
- Anomaliedetectie ziet vaak pas gevolgen β DAI voorkomt ze aan de poort
π Samengevat
Dynamic ARP Inspection is een kritische verdediging tegen ARP-Spoofing in industriΓ«le netwerken. In combinatie met DHCP Snooping en Port Security helpt DAI om vertrouwen op laag 2 te herstellen.