CDP协议安全隐患分析及防护汇总

1、精品资料CDP协议安全隐患分析及防护CDP协议安全隐患分析及防护CDP协议（Cisco发现协议）是一种工作在数据链路层上的协议，主要用来发现 和查看相邻设备的简单配置信息。这也是思科网络设备默认启用的一种第二层 协议，而且还是识别所连接设备详细信息的一种重要协议。在故障排错、性能 优化等方面有着不可替代的作用。不过可惜的是，其也存在着一定的安全隐 患。在这篇文章中，笔者就对CDP协议的功过得失作一个客观的评价，并对安 全方面的问题给出一点建议。一、CDP协议的工作原理要了解CDP协议在安全上的漏洞，首先需要知道其工作的原理。通常情况 下，CDP协议与现有的网络协议类型无关，其运行在路由器和交换

2、机等网络设 备上。一般来说，CDP协议可以运行在所有支持SNAP子网访问协议帧类型的 介质中。通过在所有支持CDP协议的接口上向多播MAC地址发送周期性信息 的方式，CDP协议就能够进行工作。其基本的原理就是通过利用邻接设备所发 送的信息，设备能够学到所连接设备的相关信息。这里需要注意的是，在所有 的CDP消息中，都含有相关网络设备的重要信息。如果这些信息泄露的话，就 能够被攻击者所用，威胁企业网络的安全。这些有关安全的信息可能包括如下 这些内容。如网络地址、发送消息的端口或者接口信息、硬件平台、发送设备的功 能、软件盘本等等。这些信息主要是被存放在TLV字段的嵌入部分。通常情况下这部分信息都

3、是明文保存的，即没有采取加密的措施。只要能够获取这个信 息的用户，通过一些工具就可以轻松的活得这些机密信息。二、CDP协议给企业内网造成的安全隐患分析确实在大部分情况下，CDP协议的作用是不可替代的。如在大多数网络 中，CDP能够提供很多有用的信息并且可以协助管理员进行网络排错和性能优 化。但是，其带来的安全隐患也不容忽视。如默认情况下，交换机是默认在所 有的接口上发送系统信息（如上面所述，这些系统信息中包含一些敏感的信息并 且是没有加密处理的）。为此攻击者可以通过网络嗅探器等工具轻松的获取这些 信息。显而易见，CDP协议能够导致安全方面的问题。特别是等网络连接到多 个组织机构的时候，这个安全

4、隐患会更加的突出。不过各位用户也不必过于拒 心。如果出于安全考虑，将这个CDP协议废了，那也有点小题大做。现在网络 管理员需要考虑的是，如何在安全与功能之间取得一个均衡。即能够享受CDP 协议所带来的优势，而又不被其安全问题所困扰。如下图所示，笔者给出了一 个示意图。4.连网根据CDP协议的工作原理，我们可以知道，CDP协议所发送的信息中包 含了一些比较敏感的信息。如果这些信息被不法分子获得的话，那么将给企业 的网络带来很大的安全隐患。为此我们保护的重点就是如何让这些敏感的信息 不被外人所知。故笔者的建议是，为了避免CDP协议泄露网络设备的相关系悉 尼，可以只在企业内部网络的设备中启用CDP协

5、议。而在连接到互联网的企业 级边缘路由器上的接口上禁用CDP协议。如此的话，相关的敏感信息不会泄露 到企业的外部网络上。在配合网络防火墙等功能，就可以保证CDP协议信息的 安全。为此如上图所示，笔者建议，可以在连接到服务器提供商或者企业边缘 路由器的接口上禁用CDP协议。其他地方如果有安全需要的话，可以根据情况 来判断是否启用CDP协议。在可以的情况下，还是启用CDP协议为好。三、开启或者禁用CDP协议默认情况下，CDP协议是开启的。出于安全考虑，安全专员可能需要在某 些特定的接口上禁用CDP协议。要做到这一点，从操作上说并没有多少难度。 主要还在于需要根据上面提到的原则来判断在哪些接口上要禁

6、用CDP协议。如 果禁用的多了，那么CDP协议将不能够发挥其应有的作用。相反，如果开启的 多了，那么就会造成比较严重的安全隐患。是开还是关，这就需要安全专员根 据实际情况来进行权衡。如根据企业对于安全的重视程度、企业的行业性质等 等来进行判断。另外在禁用CDP协议的时候，安全专员还可以选择是使用全局性禁用，还 是以每个接口为基础进行禁用。如对于安全级别比较高的行业，像金融行业， 他们可能在整个企业网络中都会禁用CDP协议。此时就只需要使用全局性禁用 的策略即可。如此的话，只需要在一台交换机或者路由器上操作一次即可。而 像大部分行业，其只需要在特定的接口上禁用CDP协议，如在企业边缘路由器 上禁

7、用CDP协议。在这种情况下，需要选择以每个接口为基础进行禁用CDP 协议。如果安全专员需要在全局性的禁用CDP协议，可以在某台交换机上使用如 下命令来完成：no cdp runo这个命令运行完毕后，网络内的所有设备（包括 交换机与路由器）的CDP协议都将被禁用掉。由于这个命令会影响到多台网路 设备，为此在使用时需要慎重。注意这个命令只有在IOS软件上有效。如果需 要在CATOS软件上使用的话，则需要通过命令set dp disable来实现。两者 效果是一样的，只是语法上稍有不同而已。如果需要通过基于特定的端口来禁用CDP协议的话，首先需要进入到交换 机或者路由器的接口配置模式，然后可以通过如

8、下的命令来单据的禁用某个端 口或者接口的CDP协议：no cdp enable.这里需要特别强调一下，在基于特 定接口下配置，与在全局模式下配置，其所使用的关键字是不同的。全局模式 下，使用的关键字是run。而基于特定接口模式的配置，使用的关键字是 enable。同理，这个命令也只是对IOS软件有效。如果采用的是CATOS软 件的话，则需要使用set cdp disable命令来完成。最后需要强调的是，启用或者禁用CDP协议难度并不是很大，只是一个简 单的命令、几秒钟就可以完成的事情。但是困难的是，安全专员需要判断在什 么情况下该使用或者禁用CDP协议。这可能是一个漫长的分析过程。有时候还 需

9、要根据企业网络拓扑的变化或者故障排除的需要进行调整。无论是什么情况 下，安全专员都需要在功能与安全两者之间进行权衡。笔者一个总的原则是，在企业内部网络上，可以启用CDP协议。而在边缘路由器上，要禁用CDP协 议。这个原则可能对大部分企业都是适用的。四、语音VLAN与CDP的安全冲突在语音VLAN应用环境中，一般也需要使用到CDP协议。如一个典型的 VoIP案例，就是将工作站连接到IP电话，然后再将IP电话连接到交换机。 在这个案例中，如果交换机上启用了 CDP协议，那么对于VoIP来说，也涉及 到一个CDP协议安全的问题，同上面的分析一样，笔者建议在企业内部网络中 可以启用CDP协议。而在企业级别的边缘路由器上则禁用CDP协议。笔者这里需要强调一点，通过Vian将企业的内部网络划分成几个独立的 虚拟网，能够起到分割广播包、缩小冲突域等作用，对于企业内