谨防CDP欺骗,保护网络敏感信息安全
发布:admin | 发布时间: 2011年5月30日在思科网络环境中,如果网络中新接入了一台交换机或路由器设备,那么其他的网络设备是如何快速发现这个新接入设备的呢?主要是通过CDP协议来自动发现的!CDP协议是Cisco公司特有的发现协议,该协议是一种工作在数据链路层上的协议,所有Cisco设备都能运行该协议;通过该协议,网络设备可以自动获得与它直接连接的邻居信息。不过,这些邻居信息要是被非法攻击者利用,那么网络的运行就会存在安全隐患,同时会给网络管理员的管理维护操作带来麻烦。为了保护网络敏感信息安全,我们需要认清CDP协议的安全威胁,谨防非法攻击者实施CDP欺骗!
一、认识CDP协议
CDP协议主要是用来发现与本地设备直接相连的Cisco设备,当然如果其他网络设备与本地设备不是直接相连,例如它们之间要是还有其他品牌设备中转连接的话,那么CDP协议就不能够发现Cisco设备了。每台运行了CDP协议的交换机或路由器,都会自动与邻居设备交换协议信息,具体内容包括设备名称信息、本地接口信息、硬件版本信息、IOS版本信息、IOS平台信息、工作模式信息、本地VLAN信息、连接保持信息等等,要查看这些信息时,只需要使用“show cpd neighbors”命令就可以了,如果感觉到上面的信息还不够详细,还可以在上述命令之前添加上“detail”参数。当然,“show cpd neighbors”命令只能在交换机或路由器的特权模式状态下才能运行,在其他模式下该命令运行无效;要进入特权模式也很简单,只需执行“Enable”命令就可以了。
通过CDP协议获取的邻居交换协议信息,能对平时的网络管理操作带来不小的帮助;比方说,网络管理员可以通过这些信息,了解到局域网中相关网络设备的工作状态、描述信息,对熟悉网络的组网结构以及链路状态也有好处,日后也能对后续的网络管理与优化提供帮助。
需要提醒大家注意的是,CDP协议位于ISO7层架构中的第二层,它是Cisco设备默认启用的、位于子网访问协议之上的一种协议,该协议连接上层的网络层协议和下层的物理介质,它独立于介质和协议;与普通的TCP/IP、TELNET等协议不同,CDP协议只属于Cisco设备,只能在Cisco设备上启用运行。
二、CDP协议的安全威胁
前面本文曾提到,CDP协议主要是用来发现邻居设备的,那么它是如何自动发现新接入的网络设备的呢?它就是通过直接相连设备周期性发送信息的方式,来学到对应设备的交换协议信息;由于发出的所有CDP消息,都是以明文方式进行传输的,这些消息中都包含有邻居设备的隐私、敏感信息,例如发送消息的交换端口、消息发送地址、软件平台版本、硬件平台版本等等。在缺省状态下,Cisco品牌的交换机或路由器会自动在所有连接接口上发送CDP消息,这些消息由于没有采取安全加密措施,非法用户通过专业工具可以很轻松地窃取到这些敏感内容。当这些敏感信息被非法者拥有后,他们可以就能轻易了解到局域网中的组网结构,并通过相关地址对网络中的重要主机进行恶意攻击,最终造成网络不能安全、稳定运行。比方说,某一位非法用户在攻破了网络中的一台交换机后,他就能利用CDP协议间接了解到邻居设备的相关信息,有了这些信息以后,他就有了下一个攻击目标,如此循环下去,局域网中的重要网络设备都有可能被攻破,那么到时整个局域网都可能发生瘫痪现象。
除了被动获取邻居设备的交换协议信息外,非法攻击者还可以利用专业的CDP工具程序,定制伪造的CDP数据帧,来通知局域网中的高端网络管理软件,说在网络中新发现了一台网络设备,如此一来相关网络设备就会主动尝试利用SNMP来联系“陷阱”设备,这个时候非法攻击者就会对这样的联系进行监控捕捉,从而有机会获得局域网中其他重要网络设备的名称、地址、接口等信息,日后就为攻击这些网络设备做好了准备工作。
此外,CDP协议还能欺骗思科的IP电话;当打开IP电话后,交换机就会通过CDP协议自动和IP电话交换CDP数据,并主动通知电话来让语音流量选用哪一个虚拟工作子网;在这一过程中,非法攻击者可以通过注入CDP数据帧的方法,来欺骗IP电话,为语音流量分配一个错误的虚拟工作子网。
三、安全防范措施
既然CDP协议存在如此大的安全隐患,那么我们该采取什么措施进行安全防范,保证网络中的敏感信息不外泄呢?
1、关闭发现功能
由于交换机或路由器设备默认会在所有端口上发送CDP消息,这些消息包含了不少敏感信息,非法攻击者通过类似网络嗅探器工具能轻松窃取到这些敏感、隐私信息。因此,对于一些交换端口来说,如果它们下面连接的是安全性要求比较高的网段的话,我们就有必要关闭这些交换端口上的CDP发现功能,那么如何关闭该协议功能呢?
在关闭CDP发现协议功能之前,我们有必要先了解一下Cisco设备的配置模式,因为在不同配置模式状态下,关闭CDP发现协议功能的操作命令不同。一般来说,Cisco设备的配置模式包含两种,一种是全局配置模式,一种是接口配置模式;在全局配置模式状态下,只要执行“no cdp run”命令就可以了,该命令执行完毕后,局域网中交换机或路由器上所有端口的CDP协议都将被自动关闭掉,很显然该命令会同时影响到局域网中的多个网络设备,所有我们在使用该命令时必须要慎重。
由于简单地使用“no cdp run”命令,将无法充分发挥CDP发现功能的作用。为此,我们应该根据实际组网情况,选择以交换端口为基础来有针对性地关闭CDP发现协议功能;倘若要关闭某个特定交换端口上的CDP协议功能时,我们只要先进入到交换机或路由器设备的接口配置模式状态,在该状态下执行“no cdp enable”命令就可以了,该命令执行成功后,只会影响到其中个别端口,而不会影响其他端口。另外,需要提醒大家注意的是,当我们在全局配置模式状态下关闭了CDP发现功能后,那么日后就不能特定交换端口上启用该功能了;而且在默认状态下,交换机或路由器的全局配置模式是启用CDP发现功能的,接口配置模式是关闭CDP发现功能的。
2、限制使用场合
尽管CDP协议的启用会给局域网的安全带来麻烦,但不可否认的是,该协议的启用在很多时候会对网络管理员的管理维护工作,带来很大的帮助,所以在一些足够安全的工作场合下,我们建议还是启用CDP发现功能,以便充分发挥该协议的价值,提高网络管理员的工作效率。例如,在单位内网环境中,只要部署好了网络防火墙和网络防病毒软件,就可以将网络中交换机或路由器上的CDP发现功能启用起来,以便为日后的网络维护与优化提供方便,因为内网环境在多项安全措施的保护下,CDP发现协议存在的安全威胁会大大下降。此外,在一些安全性要求不高的网络环境中,也可以通过启用CDP发现协议,来提高网络故障的排查效率;例如,在普通的网吧工作环境中,由于不存在多少重要的敏感、隐私信息,通过开启CDP发现协议,可以方便平时的管理、维护操作。
在一些安全性要求比较高的网络环境中,或者是单位网络的边缘网络设备上,尽量不要使用CDP协议,毕竟CDP协议或多或少地会带来一些麻烦;比方说,在银行、证券等金融网络中,应该慎重使用CDP协议,因为这个网络中包含的敏感、隐私信息特别多,要是被非法用户发现的话,就相当于暴露了许多攻击目标。
文章如转载,请注明转载自:http://www.5iadmin.com/post/853.html
- 相关文章:
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。