Beschreibung:

Um im lokalen Netzwerk Angriffe per ARP-Poisoning zu verhindern, kann auf einem managed Switch die Funktion ARP-Inspection eingerichtet werden. ARP-Inspection durchsucht alle ARP-Pakete und prüft, ob die Adressen in den Tabellen DHCP Snooping Dynamic Bindings oder DHCP Snooping Static Bindings (durch DHCP-Snooping gelernt) hinterlegt sind. Ist dies der Fall, werden die ARP-Pakete weitergeleitet, alle anderen ARP-Pakete werden verworfen.

Da ARP-Inspection die Funktion DHCP-Snooping voraussetzt, ist diese Funktion nur für Geräte geeignet, welche ihre IP-Adresse per DHCP beziehen. Für Ports, an denen ein Router oder Switch angebunden ist, muss daher eine Ausnahme erstellt werden, da ansonsten die Kommunikation zu diesen Geräten eingeschränkt sein kann. Dazu müssen diese Ports in der ARP-Inspection auf "Trusted" gesetzt werden. Ports, an denen Endgeräte angeschlossen sind, welche ihre IP-Adresse per DHCP beziehen, müssen auf "Untrusted" gesetzt werden (dies betrifft auch Ports, an denen ein Access Point angebunden ist).

In diesem Artikel wird beschrieben, wie ARP-Inspection auf einem Switch der XS- und GS-45xx Serie eingerichtet wird. 

Bei der Konfiguration von ARP-Inspection ist es leicht möglich, dass die Kommunikation im lokalen Netzwerk oder auch zum Internet nicht mehr möglich ist. Daher ist es wichtig, im Vorfeld zu planen, wie die Einstellungen für die einzelnen Switch-Ports gesetzt werden müssen. 

Durch die Verwendung von ARP-Inspection muss der Switch alle ARP-Pakete überprüfen. Dies führt zu einer erhöhten CPU-Auslastung des Gerätes.



Voraussetzungen:


Vorgehensweise:

1. Konfiguration der ARP Inspection:

1.1 Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Switching → Dynamic ARP Inspection → Global.

1.2 Aktivieren Sie die folgenden Optionen und klicken auf Submit:

  • Validate Source MAC: Der Switch prüft, ob in dem ARP-Paket die MAC-Adresse des Absenders mit der Quell-MAC-Adresse im Ethernet Header übereinstimmt. Ist dies nicht der Fall, wird das Paket verworfen. 
  • Validate Destination MAC: Der Switch prüft, ob in dem ARP-Paket die MAC-Adresse des Ziels mit der Ziel-MAC-Adresse im Ethernet Header übereinstimmt (nur ARP-Antworten). Ist dies nicht der Fall, wird das Paket verworfen.

Die Option Validate IP sollte nicht aktiviert werden, da sonst Pakete mit den folgenden IP-Adressen verworfen werden (z.B. kein Multicast-Datenverkehr in diesem VLAN möglich): 

  • 0.0.0.0
  • 255.255.255.255
  • Alle IP Multicast Adressen
  • Alle Class E Adressen (240.0.0.0/4)
  • Loopback-Adressen (Adressbereich 127.0.0.0/8)

1.3 Wechseln Sie in den Reiter VLAN und klicken auf Add.

1.4 Wählen Sie die VLAN ID aus, in dem die ARP-Inspection verwendet werden soll. Klicken Sie anschließend auf Submit.

1.5 Wechseln Sie in den Reiter Interface und markieren die Interfaces zum Router und zu einem weiteren Switch (in diesem Beispiel 1/0/1 und 1/0/2). Klicken Sie anschließend auf Edit

1.6 Aktivieren Sie den Trust State und klicken auf Submit. Dadurch wird auf diesen Ports die ARP-Inspection deaktiviert.

Für die restlichen Ports muss der Parameter Trust State auf Disabled verbleiben, damit die ARP-Inspection dort verwendet wird.



2. Konfiguration der ARP Inspection ACL (optional):

Um die Kommunikation zu direkt mit dem Switch verbundenen Geräten mit fester IP-Adresse zu erlauben (abgesehen vom Router und weiteren Switches), muss die IP- und die MAC-Adresse dieses Gerätes in der ACL (Access Control List) hinterlegt werden. Dies ist auch erforderlich, wenn ein Zugriff von einem Gerät hinter einem weiteren Switch auf das Gerät mit der festen IP-Adresse erfolgen soll.

Über die ACL ist es ebenso möglich die Kommunikation zu unterbinden.

2.1 Wechseln Sie in den Reiter ACL Summary und klicken auf Add.

2.2 Vergeben Sie einen aussagekräftigen ACL Name und klicken auf Submit.

2.3 Wechseln Sie in den Reiter ACL Configuration, stellen sicher, dass bei ACL Name die korrekte ACL ausgewählt ist und klicken auf Add Rule

2.4 Passen Sie die folgenden Parameter an und klicken auf Submit:

  • Sender IP Address: Tragen Sie die IP-Adresse des Gerätes ein, für welches die Kommunikation erlaubt werden soll.
  • Sender MAC Address: Tragen Sie die MAC-Adresse des Gerätes ein, für welches die Kommunikation erlaubt werden soll.
  • Action: Wählen Sie die Option Permit aus, damit die Kommunikation erlaubt wird. Alternativ kann mit der Option Deny die Kommunikation für das entsprechende Gerät auch unterbunden werden.

2.5 Wechseln Sie in den Reiter VLAN und bearbeiten den in Schritt 1.3 und 1.4 erstellten Eintrag. Tragen Sie den Namen der in Schritt 2.2 erstellten ACL ein (in diesem Beispiel ARP-ACL) und klicken auf Submit



3. Speichern der Konfiguration als Start-Konfiguration:

3.1 Klicken Sie nach erfolgter Konfiguration in der rechten oberen Ecke auf  Save Configuration , damit die Konfiguration als  Start-Konfiguration  gespeichert wird.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

3.2 Bestätigen Sie den Speichervorgang mit einem Klick auf  OK .