Gateway Bleeding. Пентестим системы FHRP и перехватываем трафик в сети

Содержание статьи

  • Зачем нужен FHRP
  • Теория протокола HSRP
  • Теория протокола VRRP
  • Выбор главенствующего маршрутизатора
  • FHRP Hijacking
  • Подготовка кастомной инъекции
  • Виртуальная лаборатория
  • Взлом MD5-аутентификации
  • Атака на HSRP и перехват трафика
  • Атака на VRRP и перехват трафика
  • Превентивные меры
  • Приоритет 255
  • Аутентификация
  • Ограничение трафика HSRP
  • Заключение

Су­щес­тву­ет мно­жес­тво спо­собов повысить отка­зоус­той­чивость и надеж­ность в кор­поратив­ных сетях. Час­то для это­го при­меня­ются спе­циаль­ные про­токо­лы пер­вого перехо­да FHRP. Из этой статьи ты узна­ешь, как пен­тесте­ры работа­ют с FHRP во вре­мя атак на сеть.

warning

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

 

Зачем нужен FHRP

FHRP (First Hop Redundancy Protocol) — это семей­ство про­токо­лов, обес­печива­ющих избы­точ­ность сетево­го шлю­за. Общая идея зак­люча­ется в том, что­бы объ­еди­нить нес­коль­ко физичес­ких мар­шру­тиза­торов в один логичес­кий с общим IP-адре­сом. Этот адрес вир­туаль­ного мар­шру­тиза­тора будет наз­начать­ся на интерфейс мар­шру­тиза­тора с гла­венс­тву­ющей ролью, а тот, в свою оче­редь, зай­мет­ся фор­вардин­гом тра­фика. Самые популяр­ные про­токо­лы клас­са FHRP — это HSRP и VRRP, о них мы сегод­ня и погово­рим.

 

Теория протокола HSRP

Про­токол HSRP (Hot Standby Router Protocol) — это один из про­токо­лов клас­са FHRP, поз­воля­ющих орга­низо­вать сис­тему отка­зоус­той­чивос­ти шлю­зов. Раз­работан инже­нера­ми Cisco Systems и работа­ет толь­ко на сетевом обо­рудо­вании Cisco. Про­токол реали­зован поверх сте­ка TCP/IP и исполь­зует в качес­тве тран­сля­ции слу­жеб­ной информа­ции про­токол UDP на пор­те 1985.

Суть кон­фигура­ции HSRP зак­люча­ется в том, что­бы объ­еди­нить мар­шру­тиза­торы в одну логичес­кую груп­пу HSRP-мар­шру­тиза­торов под спе­циаль­ным чис­ловым иден­тифика­тором. В самой груп­пе HSRP обра­зует­ся логичес­кий мар­шру­тиза­тор, который получит вир­туаль­ный IP-адрес. А тот, в свою оче­редь, будет наз­начать­ся как шлюз по умол­чанию для конеч­ных хос­тов.

Мар­шру­тиза­торы, на которых фун­кци­они­рует HSRP, для обме­на слу­жеб­ной информа­цией исполь­зуют так называ­емые Hello-пакеты. С их помощью устрой­ства обща­ются меж­ду собой, про­водят выборы и сооб­щают друг дру­гу о сво­ем сос­тоянии.

Дамп HSRP-тра­фика

По умол­чанию активный мар­шру­тиза­тор каж­дые три секун­ды рас­сыла­ет Hello-сооб­щение, которое зву­чит как «Пар­ни, я еще в строю». Одна­ко если в течение десяти секунд Standby-мар­шру­тиза­тор не получа­ет ни одно­го Hello-сооб­щения от Active-мар­шру­тиза­тора, то он пос­чита­ет, что активный мар­шру­тиза­тор «упал», и возь­мет на себя его роль, исхо­дя из зна­чений при­ори­тета.

Версии протокола HSRP

У про­токо­ла HSRP есть две вер­сии — HSRPv1 и HSRPv2. Они отли­чают­ся сле­дующи­ми парамет­рами:

  • ко­личес­тво воз­можных логичес­ких групп. В HSRPv1 их может быть до 255. У HSRPv2 количес­тво групп может дос­тигать 4096;
  • IP-адрес муль­тикас­товой рас­сылки. HSRPv1 для тран­сля­ции слу­жеб­ной информа­ции исполь­зует IP-адрес 224.0.0.2, а HSRPv2 — 224.0.0.102;
  • вир­туаль­ный MAC-адрес. HSRPv1 в качес­тве вир­туаль­ного MAC-адре­са исполь­зует 00:00:0C:07:AC:XX. У HSRPv2 вир­туаль­ный MAC-адрес 00:00:0C:9F:FX:XX (где XX — это номер груп­пы HSRP).

Сущности в домене HSRP

В рам­ках груп­пы HSRP есть нес­коль­ко сущ­ностей:

  • HSRP Active Router — устрой­ство, игра­ющее роль вир­туаль­ного мар­шру­тиза­тора и обес­печива­ющее фор­вардинг тра­фика из сетей источни­ка до сетей наз­начения;
  • HSRP Standby Router — устрой­ство, игра­ющее роль резер­вно­го мар­шру­тиза­тора, которые ожи­дает отка­за активно­го мар­шру­тиза­тора. Пос­ле падения основно­го Active-роуте­ра Standby-роутер возь­мет на себя гла­венс­тву­ющую роль и будет занимать­ся обя­зан­ностя­ми Active-роуте­ра;
  • HSRP Group — груп­па устрой­ств — чле­нов одной HSRP-груп­пы, обес­печива­ют работу и отка­зоус­той­чивость логичес­кого мар­шру­тиза­тора;
  • HSRP MAC Address — вир­туаль­ный MAC-адрес логичес­кого мар­шру­тиза­тора в домене HSRP;
  • HSRP Virtual IP Address — это спе­циаль­ный вир­туаль­ный IP-адрес в груп­пе HSRP. Дан­ный IP-адрес будет шлю­зом по умол­чанию для конеч­ных хос­тов, исполь­зует­ся на самом логичес­ком мар­шру­тиза­торе.

 

Теория протокола VRRP

VRRP (Virtual Router Redundancy Protocol) — про­токол, раз­работан­ный в качес­тве более сво­бод­ной аль­тер­нативы про­токо­лу HSRP. Но пос­коль­ку он осно­ван на феноме­нах про­токо­ла HSRP, с его «откры­тостью и сво­бодой» есть некото­рые нюан­сы, так что пол­ностью сво­бод­ным его не наз­вать. VRRP поч­ти ничем не отли­чает­ся от HSRP, выпол­няет те же самые фун­кции, и в его домене абсо­лют­но те же сущ­ности, толь­ко называ­ются они ина­че.

В слу­чае HSRP объ­явле­ния генери­ровал не толь­ко Active-роутер, но и Standby-роутер. В слу­чае VRRP выпол­нять рас­сылку объ­явле­ний будет толь­ко Master-мар­шру­тиза­тор на зарезер­вирован­ный груп­повой адрес 224.0.0.18. По умол­чанию пакеты при­ветс­твия VRRP рас­сыла­ются каж­дую секун­ду.

Дамп VRRP-тра­фикаВерсии протокола VRRP

У про­токо­ла две вер­сии — VRRPv2 и VRRPv3.

  • У VRRPv3 есть под­дер­жка IPv6, VRRPv2 под­держи­вает­ся толь­ко для сетей IPv4.
  • У VRRPv3 отсутс­тву­ет под­дер­жка аутен­тифика­ции, у VRRPv2 име­ется целых три спо­соба аутен­тифика­ции.
  • VRRPv3 в качес­тве тай­мин­гов исполь­зует сан­тисекун­ды, VRRPv2 опе­риру­ет секун­дами.

Сущности в домене VRRP

  • VRRP Master Router — это активный мар­шру­тиза­тор, отве­чающий за переда­чу легитим­ного тра­фика в сети.
  • VRRP Backup Router — мар­шру­тиза­тор, находя­щий­ся в режиме ожи­дания. Как толь­ко текущий Master Router упа­дет, перех­ватит его роль и будет выпол­нять его фун­кции.
  • VRRP MAC Address — вир­туаль­ный MAC-адрес в груп­пе VRRP (00:00:5E:01:XX). Вмес­то XX — номер груп­пы VRRP.
  • VRRP VRID — иден­тифика­тор груп­пы VRRP, в рам­ках которой рас­положе­ны физичес­кие мар­шру­тиза­торы.
  • VRRP Virtual IP Address — спе­циаль­ный вир­туаль­ный IP-адрес в домене VRRP. Этот IP-адрес исполь­зует­ся в качес­тве шлю­за по умол­чанию для конеч­ных хос­тов.

 

Выбор главенствующего маршрутизатора

В рам­ках про­токо­лов FHRP выбор гла­венс­тву­ющей роли мар­шру­тиза­тора осно­выва­ется на зна­чении при­ори­тета. По умол­чанию в момент кон­фигура­ции на всех мар­шру­тиза­торах зна­чение экви­вален­тно 100 еди­ницам. Мак­сималь­ное же зна­чение при­ори­тета лежит в диапа­зоне от 1 до 255 (для VRRP этот диапа­зон сос­тавля­ет от 1 до 254).

Ес­ли адми­нис­тра­тор не позабо­тил­ся о руч­ной кон­фигура­ции зна­чения при­ори­тета на мар­шру­тиза­торах, глав­ным мар­шру­тиза­тором ста­нет тот, у которо­го наиболь­ший IP-адрес. Инже­нер с помощью кон­фигура­ции зна­чения при­ори­тета сам реша­ет, кто будет активным мар­шру­тиза­тором, а кто — резер­вным.

 

FHRP Hijacking

Тех­ника этой сетевой ата­ки зак­люча­ется в том, что­бы навязать свое устрой­ство в качес­тве глав­ного мар­шру­тиза­тора с помощью инъ­екции HSRP- или VRRP-пакета с мак­сималь­ным зна­чени­ем при­ори­тета. Успешная экс­плу­ата­ция при­водит к MITM-ата­ке, в резуль­тате которой ты смо­жешь перех­ватить весь тра­фик внут­ри сети, про­вес­ти редирект или выз­вать DoS. Дос­таточ­но соб­рать HSRP- или VRRP-пакет с наивыс­шим зна­чени­ем при­ори­тета 255 и нап­равить его в сто­рону локаль­ной сети. Сог­ласись, не слиш­ком слож­но.

Как будет ходить тра­фик до ата­ки

Как будет ходить тра­фик пос­ле ата­ки

warning

Так как во вре­мя ата­ки на FHRP надо вза­имо­дей­ство­вать с легитим­ными мар­шру­тиза­тора­ми — шлю­зами по умол­чанию для конеч­ных хос­тов, необ­ходимо очень быс­тро выпол­нять все свои дей­ствия, начиная от инъ­екции и закан­чивая орга­низа­цией фор­вардин­га все­го тра­фика на сто­роне тво­ей машины. Если будешь мед­лить во вре­мя про­веде­ния ата­ки, конеч­ные хос­ты сло­вят DoS — твой заказ­чик такой сце­нарий не оце­нит.

Источник: xakep.ru

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *