Protokół Cisco Discovery (CDP) to protokół firmy Cisco, który można skonfigurować na wszystkich urządzeniach Cisco. CDP wykrywa inne urządzenia Cisco, które są bezpośrednio podłączone, pozwalając urządzeniom na automatyczną konfigurację ich połączenia. W niektórych przypadkach upraszcza to konfigurację i łączność.
Domyślnie większość routerów i przełączników Cisco ma włączone CDP na wszystkich portach. Informacje CDP są wysyłane w okresowych, niekodowanych transmisjach. Informacja ta jest aktualizowana lokalnie w bazie CDP każdego urządzenia. Ponieważ CDP jest protokołem warstwy 2, wiadomości CDP nie są propagowane przez routery.
Wiadomości CDP zawierają informacje o urządzeniu takie jak adres IP, wersja oprogramowania, platforma, funkcje i pierwotną (ang. native) sieć VLAN. Informacje te mogą być wykorzystane przez dokonującego atak do znalezienia sposobów na zaatakowanie sieci, zwykle w formie ataków Denial-of-Service (DoS).
Rysunek jest częścią obrazu z programu Wireshark i przedstawia zawartość pakietu CDP. Wersja oprogramowania Cisco IOS wykryta w szczególności przez CDP, pozwoli dokonującemu ataku określić, czy są jakieś luki w zabezpieczeniach specyficznych dla danej wersji IOS. Również dlatego, że CDP nie jest uwierzytelniony, dokonujący ataku może spreparować fałszywe pakiety CDP i wysłać je do podłączonego bezpośrednio urządzenia Cisco.
Zaleca się wyłączenie korzystania z CDP na urządzeniach lub portach, które nie muszą z niego korzystać za pomocą polecenia trybu konfiguracji globalnej no cdp run. CDP może być wyłączony na poszczególnych portach.
Ataki Telnet
Protokół Telnet nie jest bezpieczny i może być używany przez dokonującego ataku w celu uzyskania zdalnego dostępu do urządzenia sieciowego Cisco. Istnieją narzędzia, które pozwalają dokonującemu ataku na uruchomienie ataku brute force password-cracking w stosunku do linii vty przełącznika.
Atak siłowego łamania hasła
Pierwsza faza ataku siłowego na hasło zaczyna się od użycia listy najczęstszych haseł i programu próbującego ustanowić sesję Telnet z użyciem poszczególnych wyrazów z listy słownikowej. Jeśli hasło nie zostało odkryte w pierwszym etapie, zaczyna się druga faza. W drugiej fazie ataku, dokonujący ataku wykorzystuje program, który tworzy kolejne kombinacje znaków, starając się odgadnąć hasło. Mając odpowiednio dużo czasu, dokonujący ataku jest w stanie złamać niemal wszystkie używane hasła.
W celu ograniczenia ataków siłowych na hasła należy używać silnych haseł, które są często zmieniane. Silne hasło powinno składać się z wielkich i małych liter i powinny zawierać symbole (znaki specjalne). Dostęp do linii VTY może być również ograniczony przy użyciu listy kontroli dostępu (ACL).
Atak Telnet DoS
Telnet może być również wykorzystany do przeprowadzenia ataku DoS. W ataku Telnet DoS, dokonujący ataku wykorzystuje lukę w oprogramowaniu serwera Telnet, który działa na przełączniku i sprawia, że usługa Telnet jest niedostępna. Ten rodzaj ataku uniemożliwia administratorowi realizację zdalnie funkcji zarządzania przełącznikiem. Może on być połączony z innymi bezpośrednimi atakami na sieć, w ramach skoordynowanej próby uniemożliwienia dostępu administratorowi sieci do podstawowych urządzeń podczas ataku.
Luki w zabezpieczeniach usługi Telnet, które pozwalają na przeprowadzanie ataków DoS, są zazwyzaj eliminowane w poprawkach dodawanych do nowych wydań systemu Cisco IOS.
Uwaga: Najlepszą praktyką jest użycie protokołu SSH, zamiast Telnet do zdalnego zarządzania połączeniami.