[네트워크장비/기능 관리] CDP 서비스 차단 (N-29)

CDP 서비스 차단

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 동일 네트워크에 있는 다른 Cisco 장비들의 정보 유출 방지 및 DoS 공격을 차단하기 위함

■ 보안 위협
- 보안이 검증 되지 않은 서비스로, 비인가자가 다른 cisco 장비의 정보를 획 득할 수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : CDP 서비스를 차단하는 경우
- 취약 : CDP 서비스를 차단하지 않는 경우

■ 조치 방법
각 장비별 CDP 서비스 제한 설정
※ CDP는 Cisco 전용 프로토콜이지만 일부 다른 벤더도 지원하며, CDP와 유사한 IEEE 표준인 LLDP(Link Layer Discovery Protocol, IEEE 802.1AB)도 불필요할 경우 비활성화

■ 장비별 점검 방법 예시
ㆍCisco IOS
Router# show running-config
Router# show cdp
1. cdp run 설정 확인
2. global CDP 정보 확인
※ CDP를 라우터 전체에서 사용하지 못하도록 하기 위해서는 no cdp run 명령어가 사용되며, 특정 인터페이스에서 사용하지 못하도록 하려면 no cdp enable 명령어를 사용함

■ 장비별 조치 방법 예시
ㆍCisco IOS
Router# config terminal
Router(config)# no cdp run
Router(config)# interface FastEthernet0/1
Router(config-if)# no cdp enable

■ 용어정리/팁
※ CDP(Cisco Discovery Protocol): Cisco 제품의 관리를 목적으로 만든 프로토콜로 같은 네트워크에 있는 장비들과 정보를 공유하고, 같은 세그먼트에 있는 다른 라우터에 IOS version, Model, device 등의 정보를 제공함