GLBP & HSRP Attacks

Reading time: 8 minutes

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Visão Geral do Sequestro FHRP

Insights sobre FHRP

FHRP é projetado para fornecer robustez à rede, unindo vários roteadores em uma única unidade virtual, melhorando assim a distribuição de carga e a tolerância a falhas. A Cisco Systems introduziu protocolos proeminentes nesta suíte, como GLBP e HSRP.

Insights sobre o Protocolo GLBP

A criação da Cisco, GLBP, funciona na pilha TCP/IP, utilizando UDP na porta 3222 para comunicação. Roteadores em um grupo GLBP trocam pacotes "hello" em intervalos de 3 segundos. Se um roteador não enviar esses pacotes por 10 segundos, presume-se que está offline. No entanto, esses temporizadores não são fixos e podem ser modificados.

Operações GLBP e Distribuição de Carga

GLBP se destaca ao permitir a distribuição de carga entre roteadores usando um único IP virtual combinado com vários endereços MAC virtuais. Em um grupo GLBP, cada roteador está envolvido no encaminhamento de pacotes. Ao contrário do HSRP/VRRP, o GLBP oferece balanceamento de carga genuíno por meio de vários mecanismos:

  • Balanceamento de Carga Dependente do Host: Mantém a atribuição consistente do endereço MAC AVF a um host, essencial para configurações NAT estáveis.
  • Balanceamento de Carga Round-Robin: A abordagem padrão, alternando a atribuição do endereço MAC AVF entre os hosts solicitantes.
  • Balanceamento de Carga Round-Robin Ponderado: Distribui a carga com base em métricas de "Peso" predefinidas.

Componentes e Terminologias Chave no GLBP

  • AVG (Active Virtual Gateway): O roteador principal, responsável por alocar endereços MAC para roteadores pares.
  • AVF (Active Virtual Forwarder): Um roteador designado para gerenciar o tráfego da rede.
  • Prioridade GLBP: Uma métrica que determina o AVG, começando em um padrão de 100 e variando entre 1 e 255.
  • Peso GLBP: Reflete a carga atual em um roteador, ajustável manualmente ou através de Object Tracking.
  • Endereço IP Virtual GLBP: Serve como o gateway padrão da rede para todos os dispositivos conectados.

Para interações, o GLBP utiliza o endereço multicast reservado 224.0.0.102 e a porta UDP 3222. Os roteadores transmitem pacotes "hello" em intervalos de 3 segundos e são considerados não operacionais se um pacote for perdido por um período de 10 segundos.

Mecanismo de Ataque GLBP

Um atacante pode se tornar o roteador principal enviando um pacote GLBP com o maior valor de prioridade (255). Isso pode levar a ataques DoS ou MITM, permitindo a interceptação ou redirecionamento de tráfego.

Executando um Ataque GLBP com Loki

Loki pode realizar um ataque GLBP injetando um pacote com prioridade e peso definidos para 255. Os passos pré-ataque envolvem coletar informações como o endereço IP virtual, presença de autenticação e valores de prioridade do roteador usando ferramentas como Wireshark.

Passos do Ataque:

  1. Mude para o modo promíscuo e habilite o encaminhamento IP.
  2. Identifique o roteador alvo e recupere seu IP.
  3. Gere um ARP Gratuitous.
  4. Injete um pacote GLBP malicioso, se passando pelo AVG.
  5. Atribua um endereço IP secundário à interface de rede do atacante, espelhando o IP virtual GLBP.
  6. Implemente SNAT para visibilidade completa do tráfego.
  7. Ajuste o roteamento para garantir acesso contínuo à internet através do roteador AVG original.

Seguindo esses passos, o atacante se posiciona como um "homem no meio", capaz de interceptar e analisar o tráfego da rede, incluindo dados não criptografados ou sensíveis.

Para demonstração, aqui estão os trechos de comando necessários:

bash
# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Monitorar e interceptar o tráfego pode ser feito usando net-creds.py ou ferramentas similares para capturar e analisar os dados que fluem pela rede comprometida.

Explicação Passiva do Sequestro HSRP com Detalhes de Comando

Visão Geral do HSRP (Hot Standby Router/Redundancy Protocol)

HSRP é um protocolo proprietário da Cisco projetado para redundância de gateway de rede. Ele permite a configuração de vários roteadores físicos em uma única unidade lógica com um endereço IP compartilhado. Esta unidade lógica é gerenciada por um roteador primário responsável por direcionar o tráfego. Ao contrário do GLBP, que usa métricas como prioridade e peso para balanceamento de carga, o HSRP depende de um único roteador ativo para gerenciamento de tráfego.

Funções e Terminologia no HSRP

  • Roteador Ativo HSRP: O dispositivo que atua como gateway, gerenciando o fluxo de tráfego.
  • Roteador Standby HSRP: Um roteador de backup, pronto para assumir se o roteador ativo falhar.
  • Grupo HSRP: Um conjunto de roteadores colaborando para formar um único roteador virtual resiliente.
  • Endereço MAC HSRP: Um endereço MAC virtual atribuído ao roteador lógico na configuração HSRP.
  • Endereço IP Virtual HSRP: O endereço IP virtual do grupo HSRP, atuando como o gateway padrão para dispositivos conectados.

Versões do HSRP

O HSRP vem em duas versões, HSRPv1 e HSRPv2, que diferem principalmente na capacidade do grupo, uso de IP multicast e estrutura do endereço MAC virtual. O protocolo utiliza endereços IP multicast específicos para troca de informações de serviço, com pacotes Hello enviados a cada 3 segundos. Um roteador é considerado inativo se nenhum pacote for recebido dentro de um intervalo de 10 segundos.

Mecanismo de Ataque HSRP

Os ataques HSRP envolvem a tomada forçada do papel do Roteador Ativo, injetando um valor de prioridade máximo. Isso pode levar a um ataque Man-In-The-Middle (MITM). Os passos essenciais pré-ataque incluem a coleta de dados sobre a configuração HSRP, que pode ser feita usando o Wireshark para análise de tráfego.

Passos para Bypass da Autenticação HSRP

  1. Salve o tráfego da rede contendo dados HSRP como um arquivo .pcap.
shell
tcpdump -w hsrp_traffic.pcap
  1. Extraia hashes MD5 do arquivo .pcap usando hsrp2john.py.
shell
python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
  1. Quebre os hashes MD5 usando John the Ripper.
shell
john --wordlist=mywordlist.txt hsrp_hashes

Executando a Injeção HSRP com Loki

  1. Inicie o Loki para identificar anúncios HSRP.
  2. Defina a interface de rede para modo promíscuo e habilite o encaminhamento de IP.
shell
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
  1. Use o Loki para direcionar o roteador específico, insira a senha HSRP quebrada e execute as configurações necessárias para se passar pelo Roteador Ativo.
  2. Após assumir o papel de Roteador Ativo, configure sua interface de rede e tabelas IP para interceptar o tráfego legítimo.
shell
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  1. Modifique a tabela de roteamento para direcionar o tráfego através do antigo Roteador Ativo.
shell
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
  1. Use net-creds.py ou uma utilidade similar para capturar credenciais do tráfego interceptado.
shell
sudo python2 net-creds.py -i eth0

Executar esses passos coloca o atacante em uma posição para interceptar e manipular o tráfego, semelhante ao procedimento para sequestro GLBP. Isso destaca a vulnerabilidade em protocolos de redundância como HSRP e a necessidade de medidas de segurança robustas.

Referências

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks