Die ARP-Spoof-Erkennung kann Sie alarmieren, wenn ein Gerät im Netzwerk versucht, Datenverkehr stillschweigend von einem legitimen Host (in der Regel ein Router) auf einen illegitimen Host umzuleiten, in der Regel mit dem Ziel, vertrauliche Informationen zu erfassen oder den normalen Betrieb zu stören. Weitere Informationen finden Sie unter ARP-Spoofing.
Ein gewisser legitimer Netzwerkverkehr kann als ARP-Spoofing-Versuch erscheinen, daher ist es wichtig, diese Funktion anzupassen, um Fehlalarme zu vermeiden.
White-Listed-MAC-Adressen
MAC-Adressen von legitimen Netzwerkgeräten wie Routern und Gateways sollten auf die weiße Liste gesetzt werden, da sie ihre MAC-Adressen normalerweise mit nicht-lokalen IP-Adressen verknüpfen. Es wird auch empfohlen, die MAC-Adresse jedes anderen Netzwerkgeräts, das regelmäßig Fehlalarme verursacht, auf die weiße Liste zu setzen.
Autorisierte IP-Bereiche
Hosts mit dynamischen IP-Adressen (DHCP) können häufig zu Fehlalarmen führen. Daher sollten alle von DHCP-Servern verwendeten IP-Bereiche in die Liste der "autorisierten IP-Bereiche" aufgenommen werden, um Fehlalarme zu vermeiden. Dies ist im Allgemeinen kein Sicherheitsproblem, da Gateways und Server in der Regel keine über DHCP zugewiesenen IP-Adressen haben.