Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Know How

Cisco Discovery Protocol (CDP) :: Cisco Switch sicher einrichten

Über das Cisco Discovery Protocol (CDP) senden Cisco-Switche periodisch eine Reihe von Informationen in das Netzwerk. Ein CDP-Hello enthält zum Beispiel den Gerätetyp, die IOS-Version und die IP-Adresse. Diese Informationen können einem Angreifer einen gezielten Angriff wesentlich erleichtern.

Ein weiterer möglicher Angriff ist das Fluten des Switches mit CDP-Traffic. Das belastet CPU und RAM des Switches und stört unter Umständen das Netzwerkmanagement.

Einige VoIP-Telefone (nicht nur von Cisco) werten CDP aus um ihre Konfiguration (VLAN, QoS) entsprechend anzupassen. Hier sollte man die Auswirkungen des Abschaltens von CDP am Switch sorgfältig testen.

CDP einrichten

CDP kann global (für den gesamten Switch) oder pro Interface konfiguriert werden. Mit dem folgenden Kommando wird CDP global eingerichtet:

# CDP komplett abschalten
no cdp run

# CDP aktivieren
cdp run

Auf einem Interface sieht das so aus:

interface FastEthernet0/1
 no cdp enable

network lab Empfehlung

Innerhalb eines Firmennetzes würde ich CDP auch auf den Edge-Ports laufen lassen. In sicherheitskritischen Umgebungen und auf frei zugänglichen Ports sollte CDP deaktiviert werden.

 

Inhalt

  1. Grundlagen
  2. Spanning Tree / BPDU-Guard
  3. Cisco Discovery Protocol (CDP)
  4. Trunking DTP / ISL / dot1q
  5. DHCP Snooping
  6. Dynamic ARP Inspection (DAI)
  7. Storm Control
  8. Port Security
  9. Beispielkonfigurationen

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012