[네트워크 장비 취약점 진단] CDP 서비스 차단

 

 

N-29 CDP 서비스 차단

 

■ 점검영역 : 기능관리

 

■ 항목 중요도 : 중

 

■ 점검내용

 

CDP 서비스를 차단하는지 점검

 

■ 점검목적

 

동일 네트워크에 있는 다른 Cisco 장비들의 정보 유출 방지 및 DoS 공격을 차단하기 위함

 

■ 보안위협

 

보안이 검증 되지 않은 서비스로, 비인가자가 다른 cisco 장비의 정보를 획득할 수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음

 

■ 참고

 

※ CDP(Cisco Discovery Protocol): Cisco 제품의 관리를 목적으로 만든 프로토콜로 같은 네트워크에 있는 장비들과 정보를 공유하고, 같은 세그먼트에 있는 다른 라우터에 IOS version, Model, device 등의 정보를 제공함

 

 

점검대상 및 판단기준(네트워크 취약점 진단)

 

■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등

 

양호

CDP 서비스를 차단하는 경우

 

취약

CDP 서비스를 차단하지 않는 경우

 

■ 조치방법

 

각 장비별 CDP 서비스 제한 설정
※ CDP는 Cisco 전용 프로토콜이지만 일부 다른 벤더도 지원하며, CDP와 유사한 IEEE 표준인 LLDP(Link Layer Discovery Protocol, IEEE 802.1AB)도 불필요할 경우 비활성화

 

 

점검 및 조치 방법(파이오링크, 시스코, 주니퍼)

 

■ 장비별 점검방법 예시

 

Cisco IOS

 

Router# show running-config
Router# show cdp
1. cdp run 설정 확인
2. global CDP 정보 확인
※ CDP를 라우터 전체에서 사용하지 못하도록 하기 위해서는 no cdp run 명령어가 사용되며, 특정 인터페이스에서 사용하지 못하도록 하려면 no cdp enable 명령어를 사용함

 

 

■ 장비별 조치방법 예시

 

Cisco IOS

 

Router# config terminal
Router(config)# no cdp run
Router(config)# interface FastEthernet0/1
Router(config-if)# no cdp enable

 

■ 조치 시 영향 : 인터넷전화(VoIP) 구성방식에 따라 IP전화기와 스위치가 CDP 또는 LLCP를 사용