CDP(Cisco Discovery Protocol,Cisco設(shè)備發(fā)現(xiàn)協(xié)議)用于發(fā)現(xiàn)直連的CISCO設(shè)備相關(guān)信息。CDP利用直連的兩個(gè)設(shè)備間定時(shí)發(fā)送hello信息(CDP數(shù)據(jù)包)維持鄰居關(guān)系。
默認(rèn)情況下,每隔60秒的時(shí)間,每個(gè)CISCO設(shè)備都要向互連的對方發(fā)送一個(gè)CDP數(shù)據(jù)包。如果經(jīng)過3個(gè)hello周期(180秒,稱為holdtime或TTL)還沒有收到對方的CDP包,則本地設(shè)備在CDP鄰居表中刪除那個(gè)CDP鄰居設(shè)備。
是在一臺Cisco Catalyst 2924交換機(jī)上對CDP數(shù)據(jù)包的診斷輸出信息??梢钥吹?,交換機(jī)在每個(gè)活動(dòng)接口發(fā)送CDP數(shù)據(jù)包。
直連設(shè)備互相之間交換的CDP包中的內(nèi)容主要包括:對端設(shè)備的名稱、對端設(shè)備的性能(如交換機(jī)還是路由器)、對端設(shè)備的平臺(型號)、對端設(shè)備的IP地址(或管理IP)等信息。
一、CDP協(xié)議的工作原理
CDP技術(shù)是對傳統(tǒng)數(shù)據(jù)備份技術(shù)的一次革命性的重大突破。傳統(tǒng)的數(shù)據(jù)備份解決方案專注在對數(shù)據(jù)的周期性備份上,因此一直伴隨有備份窗口、數(shù)據(jù)一致性以及對生產(chǎn)系統(tǒng)的影響等問題?,F(xiàn)在,CDP為用戶提供了新的數(shù)據(jù)保護(hù)手段,系統(tǒng)管理者無須關(guān)注數(shù)據(jù)的備份過程(因?yàn)镃DP系統(tǒng)會不斷監(jiān)測關(guān)鍵數(shù)據(jù)的變化,從而不斷地自動(dòng)實(shí)現(xiàn)數(shù)據(jù)的保護(hù)),而是僅僅當(dāng)災(zāi)難發(fā)生后,簡單地選擇需要恢復(fù)到的時(shí)間點(diǎn)即可實(shí)現(xiàn)數(shù)據(jù)的快速恢復(fù)。
要了解CDP協(xié)議在安全上的漏洞,首先需要知道其工作的原理。通常情況下,CDP協(xié)議與現(xiàn)有的網(wǎng)絡(luò)協(xié)議類型無關(guān),其運(yùn)行在路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備上。其基本的原理就是通過利用鄰接設(shè)備所發(fā)送的信息,設(shè)備能夠?qū)W到所連接設(shè)備的相關(guān)信息。這里需要注意的是,在所有的CDP消息中,都含有相關(guān)網(wǎng)絡(luò)設(shè)備的重要信息。如果這些信息泄露的話,就能夠被攻擊者所用,威脅企業(yè)網(wǎng)絡(luò)的安全。這些有關(guān)安全的信息可能包括如下這些內(nèi)容。
如網(wǎng)絡(luò)地址、發(fā)送消息的端口或者接口信息、硬件平臺、發(fā)送設(shè)備的功能、軟件盤本等等。通常情況下這部分信息都是明文保存的,即沒有采取加密的措施。只要能夠獲取這個(gè)信息的用戶,通過一些工具就可以輕松的活得這些機(jī)密信息。
二、CDP協(xié)議給企業(yè)內(nèi)網(wǎng)造成的安全隱患分析
確實(shí)在大部分情況下,CDP協(xié)議的作用是不可替代的。如在大多數(shù)網(wǎng)絡(luò)中,CDP能夠提供很多有用的信息并且可以協(xié)助管理員進(jìn)行網(wǎng)絡(luò)排錯(cuò)和性能優(yōu)化。為此攻擊者可以通過網(wǎng)絡(luò)嗅探器等工具輕松的獲取這些信息。顯而易見,CDP協(xié)議能夠?qū)е掳踩矫娴膯栴}。特別是等網(wǎng)絡(luò)連接到多個(gè)組織機(jī)構(gòu)的時(shí)候,這個(gè)安全隱患會更加的突出。如果出于安全考慮,將這個(gè)CDP協(xié)議廢了,那也有點(diǎn)小題大做?,F(xiàn)在網(wǎng)絡(luò)管理員需要考慮的是,如何在安全與功能之間取得一個(gè)均衡。即能夠享受CDP協(xié)議所帶來的優(yōu)勢,而又不被其安全問題所困擾。如下圖所示,筆者給出了一個(gè)示意圖。
根據(jù)CDP協(xié)議的工作原理,我們可以知道,CDP協(xié)議所發(fā)送的信息中包含了一些比較敏感的信息。如果這些信息被不法分子獲得的話,那么將給企業(yè)的網(wǎng)絡(luò)帶來很大的安全隱患。如此的話,相關(guān)的敏感信息不會泄露到企業(yè)的外部網(wǎng)絡(luò)上。在配合網(wǎng)絡(luò)防火墻等功能,就可以保證CDP協(xié)議信息的安全。為此如上圖所示,筆者建議,可以在連接到服務(wù)器提供商或者企業(yè)邊緣路由器的接口上禁用CDP協(xié)議。其他地方如果有安全需要的話,可以根據(jù)情況來判斷是否啟用CDP協(xié)議。在可以的情況下,還是啟用CDP協(xié)議為好。
三、開啟或者禁用CDP協(xié)議
默認(rèn)情況下,CDP協(xié)議是開啟的。出于安全考慮,安全專員可能需要在某些特定的接口上禁用CDP協(xié)議。要做到這一點(diǎn),從操作上說并沒有多少難度。主要還在于需要根據(jù)上面提到的原則來判斷在哪些接口上要禁用CDP協(xié)議。如果禁用的多了,那么CDP協(xié)議將不能夠發(fā)揮其應(yīng)有的作用。是開還是關(guān),這就需要安全專員根據(jù)實(shí)際情況來進(jìn)行權(quán)衡。如根據(jù)企業(yè)對于安全的重視程度、企業(yè)的行業(yè)性質(zhì)等等來進(jìn)行判斷。
另外在禁用CDP協(xié)議的時(shí)候,安全專員還可以選擇是使用全局性禁用,還是以每個(gè)接口為基礎(chǔ)進(jìn)行禁用。如此的話,只需要在一臺交換機(jī)或者路由器上操作一次即可。而像大部分行業(yè),其只需要在特定的接口上禁用CDP協(xié)議,如在企業(yè)邊緣路由器上禁用CDP協(xié)議。在這種情況下,需要選擇以每個(gè)接口為基礎(chǔ)進(jìn)行禁用CDP協(xié)議。
如果安全專員需要在全局性的禁用CDP協(xié)議,可以在某臺交換機(jī)上使用如下命令來完成:no cdp run。這個(gè)命令運(yùn)行完畢后,網(wǎng)絡(luò)內(nèi)的所有設(shè)備(包括交換機(jī)與路由器)的CDP協(xié)議都將被禁用掉。由于這個(gè)命令會影響到多臺網(wǎng)路設(shè)備,為此在使用時(shí)需要慎重。注意這個(gè)命令只有在IOS軟件上有效。如果需要在CATOS軟件上使用的話,則需要通過命令set dp disable來實(shí)現(xiàn)。兩者效果是一樣的,只是語法上稍有不同而已。
如果需要通過基于特定的端口來禁用CDP協(xié)議的話,首先需要進(jìn)入到交換機(jī)或者路由器的接口配置模式,然后可以通過如下的命令來單據(jù)的禁用某個(gè)端口或者接口的CDP協(xié)議:no cdp enable。這里需要特別強(qiáng)調(diào)一下,在基于特定接口下配置,與在全局模式下配置,其所使用的關(guān)鍵字是不同的。如果采用的是CATOS軟件的話,則需要使用set cdp disable命令來完成。
最后需要強(qiáng)調(diào)的是,啟用或者禁用CDP協(xié)議難度并不是很大,只是一個(gè)簡單的命令、幾秒鐘就可以完成的事情。但是困難的是,安全專員需要判斷在什么情況下該使用或者禁用CDP協(xié)議。這可能是一個(gè)漫長的分析過程。有時(shí)候還需要根據(jù)企業(yè)網(wǎng)絡(luò)拓?fù)涞淖兓蛘吖收吓懦男枰M(jìn)行調(diào)整。無論是什么情況下,安全專員都需要在功能與安全兩者之間進(jìn)行權(quán)衡。
四、語音VLAN與CDP的安全沖突
在語音VLAN應(yīng)用環(huán)境中,一般也需要使用到CDP協(xié)議。如一個(gè)典型的VoIP案例,就是將工作站連接到IP電話,然后再將IP電話連接到交換機(jī)。在這個(gè)案例中,如果交換機(jī)上啟用了CDP協(xié)議,那么對于VoIP來說,也涉及到一個(gè)CDP協(xié)議安全的問題。同上面的分析一樣,筆者建議在企業(yè)內(nèi)部網(wǎng)絡(luò)中可以啟用CDP協(xié)議。而在企業(yè)級別的邊緣路由器上則禁用CDP協(xié)議。
VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域,從而有效地控制廣播風(fēng)暴的發(fā)生,以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外,還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問。
VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLAN ID把用戶劃分為更小的工作組,限制不同工作組間的用戶互訪,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動(dòng)態(tài)管理網(wǎng)絡(luò)。
本文通過Vlan將企業(yè)的內(nèi)部網(wǎng)絡(luò)劃分成幾個(gè)獨(dú)立的虛擬網(wǎng),能夠起到分割廣播包、縮小沖突域等作用,對于企業(yè)內(nèi)部網(wǎng)絡(luò)的安全有著很大的作用。不過需要注意的是,這個(gè)并不會影響CDP協(xié)議的使用。即即使采用了Vlan網(wǎng)絡(luò),CDP發(fā)送的信息包仍然可以在多個(gè)虛擬網(wǎng)內(nèi)進(jìn)行傳播。
-
交換機(jī)
+關(guān)注
關(guān)注
20文章
2600瀏覽量
98884 -
路由器
+關(guān)注
關(guān)注
22文章
3682瀏覽量
113281 -
CDP
+關(guān)注
關(guān)注
0文章
17瀏覽量
10112
發(fā)布評論請先 登錄
相關(guān)推薦
評論