GLBP & HSRP Attacks

Reading time: 8 minutes

FHRP Hijacking Overview

Insights into FHRP

Το FHRP έχει σχεδιαστεί για να παρέχει ανθεκτικότητα στο δίκτυο συνδυάζοντας πολλούς δρομολογητές σε μια ενιαία εικονική μονάδα, ενισχύοντας έτσι την κατανομή φορτίου και την αντοχή σε σφάλματα. Η Cisco Systems εισήγαγε σημαντικά πρωτόκολλα σε αυτή τη σουίτα, όπως το GLBP και το HSRP.

GLBP Protocol Insights

Η δημιουργία της Cisco, το GLBP, λειτουργεί στο TCP/IP stack, χρησιμοποιώντας UDP στην πόρτα 3222 για επικοινωνία. Οι δρομολογητές σε μια ομάδα GLBP ανταλλάσσουν πακέτα "hello" σε διαστήματα 3 δευτερολέπτων. Εάν ένας δρομολογητής δεν στείλει αυτά τα πακέτα για 10 δευτερόλεπτα, θεωρείται ότι είναι εκτός λειτουργίας. Ωστόσο, αυτοί οι χρονοδιακόπτες δεν είναι σταθεροί και μπορούν να τροποποιηθούν.

GLBP Operations and Load Distribution

Το GLBP ξεχωρίζει επιτρέποντας την κατανομή φορτίου μεταξύ δρομολογητών χρησιμοποιώντας μια ενιαία εικονική IP σε συνδυασμό με πολλαπλές εικονικές MAC διευθύνσεις. Σε μια ομάδα GLBP, κάθε δρομολογητής συμμετέχει στην προώθηση πακέτων. Σε αντίθεση με το HSRP/VRRP, το GLBP προσφέρει πραγματική εξισορρόπηση φορτίου μέσω αρκετών μηχανισμών:

• Host-Dependent Load Balancing: Διατηρεί συνεπή ανάθεση MAC διευθύνσεων AVF σε έναν κόμβο, απαραίτητο για σταθερές ρυθμίσεις NAT.
• Round-Robin Load Balancing: Η προεπιλεγμένη προσέγγιση, εναλλάσσοντας την ανάθεση MAC διευθύνσεων AVF μεταξύ των αιτούντων κόμβων.
• Weighted Round-Robin Load Balancing: Κατανέμει το φορτίο με βάση προκαθορισμένα μετρικά "Weight".

Key Components and Terminologies in GLBP

• AVG (Active Virtual Gateway): Ο κύριος δρομολογητής, υπεύθυνος για την κατανομή MAC διευθύνσεων στους ομότιμους δρομολογητές.
• AVF (Active Virtual Forwarder): Ένας δρομολογητής που έχει οριστεί να διαχειρίζεται την κυκλοφορία του δικτύου.
• GLBP Priority: Ένα μετρικό που καθορίζει το AVG, ξεκινώντας από προεπιλεγμένη τιμή 100 και κυμαινόμενο μεταξύ 1 και 255.
• GLBP Weight: Αντικατοπτρίζει το τρέχον φορτίο σε έναν δρομολογητή, ρυθμιζόμενο είτε χειροκίνητα είτε μέσω Object Tracking.
• GLBP Virtual IP Address: Λειτουργεί ως η προεπιλεγμένη πύλη του δικτύου για όλες τις συνδεδεμένες συσκευές.

Για τις αλληλεπιδράσεις, το GLBP χρησιμοποιεί τη δεσμευμένη διεύθυνση multicast 224.0.0.102 και την πόρτα UDP 3222. Οι δρομολογητές μεταδίδουν πακέτα "hello" σε διαστήματα 3 δευτερολέπτων και θεωρούνται μη λειτουργικοί εάν χαθεί ένα πακέτο για διάρκεια 10 δευτερολέπτων.

GLBP Attack Mechanism

Ένας επιτιθέμενος μπορεί να γίνει ο κύριος δρομολογητής στέλνοντας ένα πακέτο GLBP με την υψηλότερη τιμή προτεραιότητας (255). Αυτό μπορεί να οδηγήσει σε επιθέσεις DoS ή MITM, επιτρέποντας την παρεμπόδιση ή ανακατεύθυνση της κυκλοφορίας.

Executing a GLBP Attack with Loki

Loki μπορεί να εκτελέσει μια επίθεση GLBP εισάγοντας ένα πακέτο με προτεραιότητα και βάρος ρυθμισμένα σε 255. Τα βήματα πριν από την επίθεση περιλαμβάνουν τη συλλογή πληροφοριών όπως η εικονική διεύθυνση IP, η παρουσία αυθεντικοποίησης και οι τιμές προτεραιότητας δρομολογητών χρησιμοποιώντας εργαλεία όπως το Wireshark.

Attack Steps:

1. Switch to promiscuous mode and enable IP forwarding.
2. Identify the target router and retrieve its IP.
3. Generate a Gratuitous ARP.
4. Inject a malicious GLBP packet, impersonating the AVG.
5. Assign a secondary IP address to the attacker's network interface, mirroring the GLBP virtual IP.
6. Implement SNAT for complete traffic visibility.
7. Adjust routing to ensure continued internet access through the original AVG router.

By following these steps, the attacker positions themselves as a "man in the middle," capable of intercepting and analyzing network traffic, including unencrypted or sensitive data.

For demonstration, here are the required command snippets:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Η παρακολούθηση και η παρεμβολή της κυκλοφορίας μπορεί να γίνει χρησιμοποιώντας το net-creds.py ή παρόμοια εργαλεία για την καταγραφή και ανάλυση των δεδομένων που ρέουν μέσω του παραβιασμένου δικτύου.

Παθητική Εξήγηση της Υφαρπαγής HSRP με Λεπτομέρειες Εντολών

Επισκόπηση του HSRP (Hot Standby Router/Redundancy Protocol)

Το HSRP είναι ένα ιδιόκτητο πρωτόκολλο της Cisco που έχει σχεδιαστεί για την αναγνωσιμότητα πύλης δικτύου. Επιτρέπει τη διαμόρφωση πολλαπλών φυσικών δρομολογητών σε μια ενιαία λογική μονάδα με μια κοινή διεύθυνση IP. Αυτή η λογική μονάδα διαχειρίζεται από έναν κύριο δρομολογητή που είναι υπεύθυνος για τη διεύθυνση της κυκλοφορίας. Σε αντίθεση με το GLBP, το οποίο χρησιμοποιεί μετρικές όπως προτεραιότητα και βάρος για την κατανομή φορτίου, το HSRP βασίζεται σε έναν μόνο ενεργό δρομολογητή για τη διαχείριση της κυκλοφορίας.

Ρόλοι και Ορολογία στο HSRP

• HSRP Ενεργός Δρομολογητής: Η συσκευή που λειτουργεί ως πύλη, διαχειριζόμενη τη ροή της κυκλοφορίας.
• HSRP Δρομολογητής Αναμονής: Ένας εφεδρικός δρομολογητής, έτοιμος να αναλάβει αν αποτύχει ο ενεργός δρομολογητής.
• HSRP Ομάδα: Ένα σύνολο δρομολογητών που συνεργάζονται για να σχηματίσουν έναν ενιαίο ανθεκτικό εικονικό δρομολογητή.
• HSRP MAC Διεύθυνση: Μια εικονική MAC διεύθυνση που ανατίθεται στον λογικό δρομολογητή στην εγκατάσταση HSRP.
• HSRP Εικονική Διεύθυνση IP: Η εικονική διεύθυνση IP της ομάδας HSRP, που λειτουργεί ως η προεπιλεγμένη πύλη για τις συνδεδεμένες συσκευές.

Εκδόσεις HSRP

Το HSRP έρχεται σε δύο εκδόσεις, HSRPv1 και HSRPv2, που διαφέρουν κυρίως στη χωρητικότητα ομάδας, τη χρήση multicast IP και τη δομή της εικονικής MAC διεύθυνσης. Το πρωτόκολλο χρησιμοποιεί συγκεκριμένες multicast IP διευθύνσεις για την ανταλλαγή πληροφοριών υπηρεσίας, με πακέτα Hello που αποστέλλονται κάθε 3 δευτερόλεπτα. Ένας δρομολογητής θεωρείται ανενεργός αν δεν ληφθεί κανένα πακέτο εντός 10 δευτερολέπτων.

Μηχανισμός Επίθεσης HSRP

Οι επιθέσεις HSRP περιλαμβάνουν την αναγκαστική ανάληψη του ρόλου του Ενεργού Δρομολογητή με την εισαγωγή μιας μέγιστης τιμής προτεραιότητας. Αυτό μπορεί να οδηγήσει σε επίθεση Man-In-The-Middle (MITM). Ουσιαστικά βήματα πριν από την επίθεση περιλαμβάνουν τη συλλογή δεδομένων σχετικά με την εγκατάσταση HSRP, η οποία μπορεί να γίνει χρησιμοποιώντας το Wireshark για ανάλυση κυκλοφορίας.

Βήματα για την Παράκαμψη της Αυθεντικοποίησης HSRP

1. Αποθηκεύστε την κυκλοφορία δικτύου που περιέχει δεδομένα HSRP ως αρχείο .pcap.

tcpdump -w hsrp_traffic.pcap

2. Εξαγάγετε MD5 hashes από το αρχείο .pcap χρησιμοποιώντας το hsrp2john.py.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

3. Σπάστε τα MD5 hashes χρησιμοποιώντας το John the Ripper.

john --wordlist=mywordlist.txt hsrp_hashes

Εκτέλεση Εισαγωγής HSRP με Loki

1. Εκκινήστε το Loki για να εντοπίσετε τις διαφημίσεις HSRP.
2. Ρυθμίστε τη δικτυακή διεπαφή σε λειτουργία promiscuous και ενεργοποιήστε την προώθηση IP.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

3. Χρησιμοποιήστε το Loki για να στοχεύσετε τον συγκεκριμένο δρομολογητή, εισάγετε τον σπασμένο κωδικό HSRP και εκτελέστε τις απαραίτητες ρυθμίσεις για να προσποιηθείτε τον Ενεργό Δρομολογητή.
4. Αφού αποκτήσετε τον ρόλο του Ενεργού Δρομολογητή, ρυθμίστε τη δικτυακή σας διεπαφή και τους πίνακες IP για να παρεμβάλετε την νόμιμη κυκλοφορία.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

5. Τροποποιήστε τον πίνακα δρομολόγησης για να δρομολογήσετε την κυκλοφορία μέσω του πρώην Ενεργού Δρομολογητή.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

6. Χρησιμοποιήστε το net-creds.py ή ένα παρόμοιο εργαλείο για να καταγράψετε διαπιστευτήρια από την παρεμβαλλόμενη κυκλοφορία.

sudo python2 net-creds.py -i eth0

Η εκτέλεση αυτών των βημάτων τοποθετεί τον επιτιθέμενο σε θέση να παρεμβάλλει και να χειρίζεται την κυκλοφορία, παρόμοια με τη διαδικασία για την υφαρπαγή GLBP. Αυτό αναδεικνύει την ευπάθεια σε πρωτόκολλα αναγνωσιμότητας όπως το HSRP και την ανάγκη για ισχυρά μέτρα ασφαλείας.

Αναφορές

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9