Sécuriser - CDP et LLDP :

Ressource :

Dans ce billet j'utilise uniquement un switch mais la configuration est identique sur un routeur.

0 Le laboratoire :

Voici le laboratoire que j'utilise pour tester la sécurité des protocoles CDP et LLDP :

Illustration 1 : Plan réseau du laboratoire.

Adressage MAC :

Par défaut CDP est actif sur tous les ports d'un equipement Cisco, mais il est possible de l'activer (ou ré-activer) comme ceci :

SW-1(config)# cdp run

Ou uniquement de l'activer sur une interface :

SW-1(config)# interface GigabitEthernet 0/0
SW-1(config)# cdp enable

Pour désactiver CDP globalement :

SW-1(config)# no cdp run

Ou le désactiver sur un ou des port(s) spécifique(s) :

SW-1(config)# interface GigabitEthernet 0/0
SW-1(config)# no cdp enable

Depuis la VM KALI, utilisation de Wireshark avec le filtre cdp :

Illustration 2 : Trame CDP de SW-1.

Sous Kali-Linux, il est aussi possible d'utiliser ces logiciels pour récupérer les informations CDP :

Sur un switch Cisco pour voir les voisins :

SW-1# show cdp neighbors detail

Le protocole LLDP n'est pas par défaut actif sur les équipements Cisco, mais il est possible de l'activer comme ceci :

SW-1(config)# lldp run

Ou uniquement de l'activer sur une interface :

SW-1(config)# interface GigabitEthernet 0/0
SW-1(config)# lldp transmit

Pour désactiver LLDP globalement :

SW-1(config)# no lldp run

Ou le désactiver sur un ou des port(s) spécifique(s) :

SW-1(config)# interface GigabitEthernet 0/0
SW-1(config)# no lldp transmit

Depuis la VM KALI, utilisation de Wireshark avec le filtre lldp :

Illustration 3 : Trame LLDP de SW-1.

Sous Kali-Linux, il est aussi possible d'utiliser ces logiciels pour récupérer les informations LLDP :

Sur un switch Cisco pour voir les voisins :

SW-1# show lldp neighbors detail

Par défaut, sur les switchs et routeurs Cisco :

Il peut être possible de désactiver ces deux protocoles :