A Cisco Discovery Protocol (CDP) egy Cisco által fejlesztett saját protokoll, amelyet az összes Cisco eszközön be lehet állítani. A CDP felderíti a közvetlenül kapcsolódó Cisco eszközöket, így lehetővé válik a kapcsolatnak megfelelő automatikus eszközbeállítás. Egyes esetekben ez leegyszerűsíti a konfigurációt és a csatlakozást.

Alapértelmezés szerint a legtöbb Cisco forgalomirányító és kapcsoló összes portján engedélyezett a CDP. A CDP rendszeres időközönként szórással továbbít az eszközökről titkosítatlan információkat, melyek frissítik a lokális CDP-adatbázist. Mivel a CDP egy 2. rétegben működő protokoll, ezért a CDP-üzeneteket a forgalomirányítók nem továbbítják.

A CDP-üzenetek információkat tartalmaznak a készülékekről, ilyenek például az IP-címek, szoftververzió, platform, képességek, és a natív VLAN beállítás. Ezen információk ismeretében a támadó megtalálhatja a támadás megfelelő módját, amely rendszerint valamilyen szolgáltatásmegtagadási (DoS) támadás.

Az ábra egy Wireshark által elfogott CDP-csomag részletét mutatja be. A Cisco IOS szoftververzióját láthatjuk a CDP-csomagban, ami különösen veszélyes, mert így megállapítható, hogy van-e a szoftverváltozatnak valamilyen támadható sérülékenysége. Továbbá, mivel a CDP nem hitelesíti a másik felet, ezért a támadó hamis CDP-csomagokat is küldhet a közvetlenül csatlakozó Cisco eszköznek.

Javasolt, hogy tiltsuk le a CDP-t azokon az eszközökön vagy portokon, ahol használata nem szükséges. Ezt a no cdp run globális konfigurációs paranccsal tehetjük meg. A CDP-t tilthatjuk portonként is.

Telnet támadások

A Telnet protokoll nem biztonságos, és ezt egy támadó felhasználhatja egy távoli Cisco hálózati eszközhöz való hozzáféréshez. Rendelkezésre állnak olyan segédeszközök, amelyek lehetővé teszik, hogy a támadó nyers erő (Brute force) jelszófeltörést indítson a kapcsolók vty-vonalaihoz való hozzáférésért.

Nyers erő (Brute force) jelszótámadás

A nyers erő jelszótámadás első fázisa az, hogy a támadó egy alkalmazás segítségével megpróbál Telnet kapcsolatokat kiépíteni, eközben végigpróbálja a gyakran használt jelszavakat és egy szótárállomány összes tételét. Ha a jelszót nem sikerült kitalálni az első fázisban, akkor a nyers erő támadás második szakaszában a támadó egy program segítségével szekvenciális karakter kombinációkat hoz létre, és ezekkel próbálja kitalálni a jelszót. Ha elegendő idő áll rendelkezésre, a nyers erő támadás szinte az összes jelszót fel tudja törni.

A nyers erő támadások kivédésére használjunk erős jelszavakat és változtassuk azokat rendszeresen! Az erős jelszavaknak tartalmazniuk kell kis- és nagybetűket, valamint számokat és szimbólumokat (speciális karaktereket). Továbbá, a VTY-vonalakra történő belépés is korlátozható a hozzáférési listák (ACL) használatával.

Telnet DoS-támadás

A Telnet-et fel lehet használni DoS-támadás indítására is, melyben a támadó kihasználja a Telnet szerver sérülékenységeit, ezáltal ellehetetleníti, hogy mások is hozzáférhessenek az eszközhöz Telnet protokollon keresztül. Ez a fajta támadás megakadályozza, hogy a rendszergazda távolról is elérje a kapcsolót. Ráadásul más támadásokkal is összehangolható, így tovább nehezíti a rendszergazda távoli hozzáférését az eszközökhöz.

A DoS-támadásokat lehetővé tevő Telnet sérülékenységeket ki lehet védeni újabb IOS-ek használatával, amelyek már tartalmazzák az említett hibák javításait.

MEGJEGYZÉS: Távoli felügyelet biztosítására ajánlott Telnet helyett SSH-t használni.