[네트워크 장비 취약점 진단] CDP 서비스 차단
- 정보보안/네트워크
- 2022. 9. 4.
N-29 CDP 서비스 차단
■ 점검영역 : 기능관리
■ 항목 중요도 : 중
■ 점검내용
CDP 서비스를 차단하는지 점검
■ 점검목적
동일 네트워크에 있는 다른 Cisco 장비들의 정보 유출 방지 및 DoS 공격을 차단하기 위함
■ 보안위협
보안이 검증 되지 않은 서비스로, 비인가자가 다른 cisco 장비의 정보를 획득할 수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음
■ 참고
※ CDP(Cisco Discovery Protocol): Cisco 제품의 관리를 목적으로 만든 프로토콜로 같은 네트워크에 있는 장비들과 정보를 공유하고, 같은 세그먼트에 있는 다른 라우터에 IOS version, Model, device 등의 정보를 제공함
점검대상 및 판단기준(네트워크 취약점 진단)
■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등
양호
CDP 서비스를 차단하는 경우
취약
CDP 서비스를 차단하지 않는 경우
■ 조치방법
각 장비별 CDP 서비스 제한 설정
※ CDP는 Cisco 전용 프로토콜이지만 일부 다른 벤더도 지원하며, CDP와 유사한 IEEE 표준인 LLDP(Link Layer Discovery Protocol, IEEE 802.1AB)도 불필요할 경우 비활성화
점검 및 조치 방법(파이오링크, 시스코, 주니퍼)
■ 장비별 점검방법 예시
Cisco IOS
Router# show running-config
Router# show cdp
1. cdp run 설정 확인
2. global CDP 정보 확인
※ CDP를 라우터 전체에서 사용하지 못하도록 하기 위해서는 no cdp run 명령어가 사용되며, 특정 인터페이스에서 사용하지 못하도록 하려면 no cdp enable 명령어를 사용함
■ 장비별 조치방법 예시
Cisco IOS
Router# config terminal
Router(config)# no cdp run
Router(config)# interface FastEthernet0/1
Router(config-if)# no cdp enable
■ 조치 시 영향 : 인터넷전화(VoIP) 구성방식에 따라 IP전화기와 스위치가 CDP 또는 LLCP를 사용