Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

L'art d'en dire trop : CDP et LLDP (7/10)

L'art d'en dire trop : CDP et LLDP (7/10)
2011-11-072013-02-27sériesfr
CDP permet de connaître finement la topologie d'un réseau à base de matériel CISCO. CDP décrit quels sont les équipements en présence, quel IOS est dedans, les adresses et le VLAN d'administration. Le problème est que ces informations sont également très utiles à un...
Publié le 7 Novembre 2011 par Pascal Bonnard dans séries

Je pense que certains d’entre vous l’ont deviné : après vous avoir enlevé VTP et STP, je vais aussi vous priver de CDP : privé de dessert !

La sécurité au niveau 2, c’est comme les recommandations d’hygiène de vie : il faut renoncer à ce qu’on aime le plus. Pas de tabac, pas d’alcool, pas de café... C’est bien triste, mais c’est comme cela !

CDP et LLDP : rapide tour d'horizon

De nombreux outils d’administration reposent sur CDP, car il permet de connaître finement la topologie d’un réseau à base de matériel CISCO.  CDP a un équivallent normalisé : LLDP. CDP décrit quels sont les équipements en présence, quel IOS est dedans, les adresses et le VLAN d’administration. Le problème est que ces informations sont également très utiles à un attaquant.

J’ai déjà eu l’occasion d’observer les échanges en LLDP d’équipements du marché, et j’ai constaté qu’ils donnaient les mêmes informations de base que CDP : marque et modèle, version de logiciel, etc. CDP permet aussi de faciliter le raccordement des téléphones IP et le PC associé, y compris l’alimentation électrique du téléphone IP.

les risques, les recommandations

Comme pour les protocoles précédents, l’attaquant peut se contenter de collecter les informations.
Il peut aussi perturber le fonctionnement du réseau en envoyant des trames CDP forgées de toute pièce pour obtenir des effets variés, en particulier des dénis de service. D’ailleurs, Gaston l’utilise pour alimenter sa guirlande électrique en Power over Ethernet.

Il est donc recommandé de ne pas utiliser ni CDP ni LLDP, ou alors d’en restreindre l’utilisation aux interfaces où il est indispensable.

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal BONNARD

les articles de la série "Ethernet" :

Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLDP
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches

copyright image : © bellemedia - Fotolia.com
 

1 Commentaire

  • 2 Mars 2016
    2016-03-02
    par
    Zoheir Hamza Reguig
    Salut Mrs, je prépare mon pfe sur la sécurité dans un réseau campus. Et on a limité notre thème au niveau local. Donc, je cherche comment annuler le cdp pour les autres usages mais seulement le maintenir pour les interfaces liés aux téléphones ip. est-ce possible ?

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage