Beschreibung:

Um im lokalen Netzwerk Angriffe per ARP-Poisoning zu verhindern, kann auf einem managed Switch die Funktion ARP-Inspection eingerichtet werden. ARP-Inspection durchsucht alle ARP-Pakete und prüft, ob die Adressen durch DHCP Snooping gelernt wurden. Ist dies der Fall, werden die ARP-Pakete weitergeleitet, alle anderen ARP-Pakete werden verworfen.

Da ARP-Inspection die Funktion DHCP-Snooping voraussetzt, ist diese Funktion nur für Geräte geeignet, welche ihre IP-Adresse per DHCP beziehen. Für Ports, an denen ein Router oder Switch angebunden ist, muss daher eine Ausnahme erstellt werden, da ansonsten die Kommunikation zu diesen Geräten eingeschränkt ist. Dazu müssen diese Ports in der ARP-Inspection auf "Trusted" gesetzt werden. Ports, an denen Endgeräte angeschlossen sind, welche ihre IP-Adresse per DHCP beziehen, müssen auf "Untrusted" gesetzt werden (dies betrifft auch Ports, an denen ein Access Point angebunden ist).

In diesem Artikel wird beschrieben, wie ARP-Inspection auf einem Switch der GS-3xxx Serie eingerichtet wird. 

Bei der Konfiguration von ARP-Inspection ist es leicht möglich, dass die Kommunikation im lokalen Netzwerk oder auch zum Internet nicht mehr möglich ist. Daher ist es wichtig, im Vorfeld zu planen, wie die Einstellungen für die einzelnen Switch-Ports gesetzt werden müssen. 

Durch die Verwendung von ARP-Inspection muss der Switch alle ARP-Pakete überprüfen. Dies führt zu einer erhöhten CPU-Auslastung des Gerätes.



Voraussetzungen:


Vorgehensweise:

1. Konfiguration der ARP-Inspection auf dem Switch:

1.1 Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Security → ARP Inspection → Configuration.

1.2 Aktivieren Sie unter ARP Inspection Configuration den Mode über den Schieberegler (on). 

Mit der Schaltfläche Translate dynamic to static können Einträge aus der Dynamic ARP Inspection Table in den Static ARP Inspection Table übernommen werden. Nach Speichern der Konfiguration als Start-Konfiguration (siehe Schritt 3.) sind diese dann dauerhaft im Switch hinterlegt.

1.3 Wählen Sie unter Port Mode Configuration bei allen Ports, an denen Endgeräte per DHCP angebunden werden, die Option Enabled aus. Damit ist die ARP-Inspection an diesen Ports aktiv. Belassen Sie die Ports zum Router und einem weiteren Switch (in diesem Beispiel Ports 1 und 2) auf Disabled, damit die ARP-Inspection an diesen Ports nicht verwendet wird.

Klicken Sie anschließend auf Apply.



2. Konfiguration des Static ARP Inspection Table (optional):

Um die Kommunikation zu direkt mit dem Switch verbundenen Geräten mit fester IP-Adresse zu erlauben (abgesehen vom Router und weiteren Switches), muss die IP- und die MAC-Adresse dieses Gerätes im Static ARP Inspection Table hinterlegt werden. Dies ist auch erforderlich, wenn ein Zugriff von einem Gerät hinter einem weiteren Switch auf das Gerät mit der festen IP-Adresse erfolgen soll.

2.1 Wechseln Sie in das Menü Security → ARP Inspection → Static Table und klicken auf Add new entry, um einen statischen Eintrag für ein Gerät mit fester IP-Adresse zu erstellen (etwa ein Access Point).

2.2 Passen Sie die folgenden Parameter an und klicken auf Apply:

  • Port: Wählen sie den Port aus, an dem das Gerät mit der statischen IP-Adresse angeschlossen ist.
  • VLAN ID: Tragen sie die VLAN ID des Netzwerks ein, in welchem sich das Gerät befindet.
  • MAC Address: Tragen Sie die MAC-Adresse des Gerätes ein.
  • IP Address: Tragen Sie die IP-Adresse des Gerätes ein.



3. Speichern der Konfiguration als Start-Konfiguration:

Klicken Sie nach erfolgter Konfiguration auf das rote Disketten-Symbol in der rechten oberen Ecke, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.