Je pense que certains d’entre vous l’ont deviné : après vous avoir enlevé VTP et STP, je vais aussi vous priver de CDP : privé de dessert !
La sécurité au niveau 2, c’est comme les recommandations d’hygiène de vie : il faut renoncer à ce qu’on aime le plus. Pas de tabac, pas d’alcool, pas de café... C’est bien triste, mais c’est comme cela !
CDP et LLDP : rapide tour d'horizon
De nombreux outils d’administration reposent sur CDP, car il permet de connaître finement la topologie d’un réseau à base de matériel CISCO. CDP a un équivallent normalisé : LLDP. CDP décrit quels sont les équipements en présence, quel IOS est dedans, les adresses et le VLAN d’administration. Le problème est que ces informations sont également très utiles à un attaquant.
J’ai déjà eu l’occasion d’observer les échanges en LLDP d’équipements du marché, et j’ai constaté qu’ils donnaient les mêmes informations de base que CDP : marque et modèle, version de logiciel, etc. CDP permet aussi de faciliter le raccordement des téléphones IP et le PC associé, y compris l’alimentation électrique du téléphone IP.
les risques, les recommandations
Comme pour les protocoles précédents, l’attaquant peut se contenter de collecter les informations.
Il peut aussi perturber le fonctionnement du réseau en envoyant des trames CDP forgées de toute pièce pour obtenir des effets variés, en particulier des dénis de service. D’ailleurs, Gaston l’utilise pour alimenter sa guirlande électrique en Power over Ethernet.
Il est donc recommandé de ne pas utiliser ni CDP ni LLDP, ou alors d’en restreindre l’utilisation aux interfaces où il est indispensable.
Vos remarques, questions et autres interventions sont les bienvenues.
Pascal BONNARD
les articles de la série "Ethernet" :
Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLDP
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches
copyright image : © bellemedia - Fotolia.com
Depuis 2004, je m’occupe d'ingénierie de commutateurs Ethernet (switches en anglais). Comme je suis curieux de nature, j'ai voulu savoir ce qu'il y avait sous le capot ... et c'est là que j'ai vu tous ces protocoles qui ne nous veulent que du bien, mais qui posent d'inévitables questions de sécurité. Sont-ils fiables ? Peuvent-ils être trompés ? Il me semble que ce domaine est peu documenté, et que les informations disponibles sont souvent incomplètes, parfois erronées. Je désire vous faire partager mes connaissances qui s'appuient sur des tests en laboratoire ainsi que sur plusieurs centaines de machines opérationnelles.