0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

CDP协议的工作原理及可能存在的安全隐患

电子设计 作者:电子设计 2018-09-17 08:22 次阅读

CDP(Cisco Discovery Protocol,Cisco设备发现协议)用于发现直连的CISCO设备相关信息。CDP利用直连的两个设备间定时发送hello信息(CDP数据包)维持邻居关系。

默认情况下,每隔60秒的时间,每个CISCO设备都要向互连的对方发送一个CDP数据包。如果经过3个hello周期(180秒,称为holdtime或TTL)还没有收到对方的CDP包,则本地设备在CDP邻居表中删除那个CDP邻居设备。

是在一台Cisco Catalyst 2924交换机上对CDP数据包的诊断输出信息。可以看到,交换机在每个活动接口发送CDP数据包。

直连设备互相之间交换的CDP包中的内容主要包括:对端设备的名称、对端设备的性能(如交换机还是路由器)、对端设备的平台(型号)、对端设备的IP地址(或管理IP)等信息。

一、CDP协议的工作原理

CDP技术是对传统数据备份技术的一次革命性的重大突破。传统的数据备份解决方案专注在对数据的周期性备份上,因此一直伴随有备份窗口、数据一致性以及对生产系统的影响等问题。现在,CDP为用户提供了新的数据保护手段,系统管理者无须关注数据的备份过程(因为CDP系统会不断监测关键数据的变化,从而不断地自动实现数据的保护),而是仅仅当灾难发生后,简单地选择需要恢复到的时间点即可实现数据的快速恢复。

要了解CDP协议在安全上的漏洞,首先需要知道其工作的原理。通常情况下,CDP协议与现有的网络协议类型无关,其运行在路由器和交换机等网络设备上。其基本的原理就是通过利用邻接设备所发送的信息,设备能够学到所连接设备的相关信息。这里需要注意的是,在所有的CDP消息中,都含有相关网络设备的重要信息。如果这些信息泄露的话,就能够被攻击者所用,威胁企业网络的安全。这些有关安全的信息可能包括如下这些内容。

如网络地址、发送消息的端口或者接口信息、硬件平台、发送设备的功能、软件盘本等等。通常情况下这部分信息都是明文保存的,即没有采取加密的措施。只要能够获取这个信息的用户,通过一些工具就可以轻松的活得这些机密信息。

二、CDP协议给企业内网造成的安全隐患分析

确实在大部分情况下,CDP协议的作用是不可替代的。如在大多数网络中,CDP能够提供很多有用的信息并且可以协助管理员进行网络排错和性能优化。为此攻击者可以通过网络嗅探器等工具轻松的获取这些信息。显而易见,CDP协议能够导致安全方面的问题。特别是等网络连接到多个组织机构的时候,这个安全隐患会更加的突出。如果出于安全考虑,将这个CDP协议废了,那也有点小题大做。现在网络管理员需要考虑的是,如何在安全与功能之间取得一个均衡。即能够享受CDP协议所带来的优势,而又不被其安全问题所困扰。如下图所示,笔者给出了一个示意图。

根据CDP协议的工作原理,我们可以知道,CDP协议所发送的信息中包含了一些比较敏感的信息。如果这些信息被不法分子获得的话,那么将给企业的网络带来很大的安全隐患。如此的话,相关的敏感信息不会泄露到企业的外部网络上。在配合网络防火墙等功能,就可以保证CDP协议信息的安全。为此如上图所示,笔者建议,可以在连接到服务器提供商或者企业边缘路由器的接口上禁用CDP协议。其他地方如果有安全需要的话,可以根据情况来判断是否启用CDP协议。在可以的情况下,还是启用CDP协议为好。

三、开启或者禁用CDP协议

默认情况下,CDP协议是开启的。出于安全考虑,安全专员可能需要在某些特定的接口上禁用CDP协议。要做到这一点,从操作上说并没有多少难度。主要还在于需要根据上面提到的原则来判断在哪些接口上要禁用CDP协议。如果禁用的多了,那么CDP协议将不能够发挥其应有的作用。是开还是关,这就需要安全专员根据实际情况来进行权衡。如根据企业对于安全的重视程度、企业的行业性质等等来进行判断。

另外在禁用CDP协议的时候,安全专员还可以选择是使用全局性禁用,还是以每个接口为基础进行禁用。如此的话,只需要在一台交换机或者路由器上操作一次即可。而像大部分行业,其只需要在特定的接口上禁用CDP协议,如在企业边缘路由器上禁用CDP协议。在这种情况下,需要选择以每个接口为基础进行禁用CDP协议。

如果安全专员需要在全局性的禁用CDP协议,可以在某台交换机上使用如下命令来完成:no cdp run。这个命令运行完毕后,网络内的所有设备(包括交换机与路由器)的CDP协议都将被禁用掉。由于这个命令会影响到多台网路设备,为此在使用时需要慎重。注意这个命令只有在IOS软件上有效。如果需要在CATOS软件上使用的话,则需要通过命令set dp disable来实现。两者效果是一样的,只是语法上稍有不同而已。

如果需要通过基于特定的端口来禁用CDP协议的话,首先需要进入到交换机或者路由器的接口配置模式,然后可以通过如下的命令来单据的禁用某个端口或者接口的CDP协议:no cdp enable。这里需要特别强调一下,在基于特定接口下配置,与在全局模式下配置,其所使用的关键字是不同的。如果采用的是CATOS软件的话,则需要使用set cdp disable命令来完成。

最后需要强调的是,启用或者禁用CDP协议难度并不是很大,只是一个简单的命令、几秒钟就可以完成的事情。但是困难的是,安全专员需要判断在什么情况下该使用或者禁用CDP协议。这可能是一个漫长的分析过程。有时候还需要根据企业网络拓扑的变化或者故障排除的需要进行调整。无论是什么情况下,安全专员都需要在功能与安全两者之间进行权衡。

四、语音VLAN与CDP的安全冲突

在语音VLAN应用环境中,一般也需要使用到CDP协议。如一个典型的VoIP案例,就是将工作站连接到IP电话,然后再将IP电话连接到交换机。在这个案例中,如果交换机上启用了CDP协议,那么对于VoIP来说,也涉及到一个CDP协议安全的问题。同上面的分析一样,笔者建议在企业内部网络中可以启用CDP协议。而在企业级别的边缘路由器上则禁用CDP协议。

VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。

本文通过Vlan将企业的内部网络划分成几个独立的虚拟网,能够起到分割广播包、缩小冲突域等作用,对于企业内部网络的安全有着很大的作用。不过需要注意的是,这个并不会影响CDP协议的使用。即即使采用了Vlan网络,CDP发送的信息包仍然可以在多个虚拟网内进行传播。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 交换机
    +关注

    关注

    21

    文章

    2622

    浏览量

    99261
  • 路由器
    +关注

    关注

    22

    文章

    3707

    浏览量

    113544
  • CDP
    CDP
    +关注

    关注

    0

    文章

    17

    浏览量

    10119
收藏 人收藏

    评论

    相关推荐

    网络安全隐患的分析

    、管理网络安全等方面。  物理网络安全风险物理网络安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故,电源故障、人为操作失误或错误,设备被盗、被毁,电磁干扰、线路
    发表于 10-25 10:21

    [分享] Ghost真的是存在很大的安全隐患

    ://www.pgos.cc 如果你说ghost win7这种操作系统存在很大的安全隐患,这就是错误的了,因为在实际之上这种操作系统是经过了我们反复的测试了,需要知道的一点就是ghost操作系统开发社区可能是会在我们的系统之中加
    发表于 01-16 14:28

    电气安全隐患的监控管理

    、类型、发生时间。通过使用物联网技术,智慧式用电安全隐患监管服务系统可以24小时工作,并且变的“耳聪目明”。例如:火灾自动报警、电气火灾监控、消防水源监控、消防设施监控、消防通道监控、消防巡查监控
    发表于 08-22 10:49

    VR一体机家庭消防安全隐患排查内容

    体验过程中,用户置身于“真实”的生活场景(如家庭、宿舍、办公室等),通过系统提示学习消防隐患的科普知识,让参与者进一步增强在日常生活中自觉地做好自家消防安全隐患排查工作,从而起到积极正面的教学目的
    发表于 09-10 17:31

    请问家里电路可以这样设计吗,有没什么安全隐患

    那位老师傅可以帮小弟看下,家里电路这样设计可否,有没什么安全隐患。。主要是家里配电箱已经固定,只有18个槽位、、
    发表于 04-03 13:37

    RFID技术详解与基于RFID的物联网安全隐患的研究

    安全隐患的研究已经成为一个迫在眉睫和广为关注的问题。在此对RFID技术、RFID系统组戍、工作原理以及对基于RFID技术的物联网构成要素进行了分析;同时对造成物联网潜在与安全隐患产生的主要原因、主要攻击方式、
    发表于 10-25 11:08 10次下载

    松下召回存在安全隐患的笔记本电脑

    召回范围内的笔记本电脑产品,在长期使用情况下,电池发生劣化造成内部压力上升,若同时电池内有微小异物混入,可能导致电池内部短路,极端情况下可能引发起火,存在安全隐患
    的头像 发表于 06-29 14:32 3898次阅读

    可能不知道人脸识别存在一定的安全隐患

    可以说,人脸识别技术在手机中都有应用到,比如用来解锁屏幕,用微信、支付宝付款等都可以人脸识别,带来了很多便利,但同时,也出现了很多问题,比如很多人利用面部识别技术来泄露他人隐私,存在一定的安全隐患
    的头像 发表于 10-12 10:04 7260次阅读

    因电芯安全隐患导致的电动汽车召回事件仍在继续

    中车时代称,本次召回的车辆由于动力电池电芯早期失效,BMS控制未达到预期效果,存在电芯过放或短路风险,可能引发电池热失控,存在安全隐患。对此,中车时代将对召回范围内的车辆更换其他品牌电
    的头像 发表于 05-10 10:00 3304次阅读

    机房的安全隐患该如何消除

    ,尤其是NAS存储将严重损坏。可能导致数据丢失或损坏。此外,突然断电对机器服务器的硬盘驱动器产生了重大影响,这大大缩短了硬盘的使用寿命。 机房的安全隐患--UPS设备 有些人认为ups applens的识别存在问题。事实上,在偏
    发表于 01-19 09:57 698次阅读

    使用printf函数的安全隐患

    程序员都知道,也都会使用printf函数,但你知道它也有“安全隐患”吗?
    的头像 发表于 10-09 09:49 1891次阅读

    易云维®工厂园区智能巡检管理系统解决人工巡检存在安全隐患问题

    一般工业园区存在厂区面积大、设备多、生产安全隐患多、风险大等情况,巡检采用的是人工巡检方式,存在工作量大、巡检效率低,巡检结果的上传和报告不及时,恶劣天气下人工巡检
    的头像 发表于 05-11 15:00 720次阅读
    易云维®工厂园区智能巡检管理系统解决人工巡检<b class='flag-5'>存在</b><b class='flag-5'>安全隐患</b>问题

    现场液位计信号检测时存在哪些安全隐患

    ,会有燃爆的危险;在春夏季也会存在雷击的可能性,引起液位计大电流、电压的通过,这样也就存在一定的安全隐患。为防止上述情况发生,采取了一些措施。 (1) 在测量回路中加装
    的头像 发表于 08-18 09:20 745次阅读

    如何预防电力故障及安全隐患

    电力故障和安全隐患一直是人们关注的热点问题。在现代社会中,电力已经成为人们生活和工作中不可或缺的一部分。然而,随着电力设备的增加和用电负荷的增大,电力故障和安全隐患也随之增加。那么如何预防电力故障及
    的头像 发表于 08-29 13:51 793次阅读

    无损检测有哪些安全隐患

    无损检测技术在航空、航天、核电、石油、化工、机械制造等领域具有重要应用。然而,由于操作不当、设备故障、环境因素等原因,无损检测过程中可能存在安全隐患。本文将详细分析无损检测中的安全隐患
    的头像 发表于 05-27 14:58 1450次阅读