GLBP & HSRP Attacks

Websec | Uw Cybersecurity Specialist

Visão Geral do Sequestro FHRP

Insights sobre FHRP

FHRP é projetado para fornecer robustez à rede, unindo vários roteadores em uma única unidade virtual, melhorando assim a distribuição de carga e a tolerância a falhas. A Cisco Systems introduziu protocolos proeminentes nesta suíte, como GLBP e HSRP.

Insights sobre o Protocolo GLBP

A criação da Cisco, GLBP, funciona na pilha TCP/IP, utilizando UDP na porta 3222 para comunicação. Roteadores em um grupo GLBP trocam pacotes "hello" em intervalos de 3 segundos. Se um roteador não enviar esses pacotes por 10 segundos, presume-se que está offline. No entanto, esses temporizadores não são fixos e podem ser modificados.

Operações GLBP e Distribuição de Carga

GLBP se destaca ao permitir a distribuição de carga entre roteadores usando um único IP virtual combinado com vários endereços MAC virtuais. Em um grupo GLBP, cada roteador está envolvido no encaminhamento de pacotes. Ao contrário do HSRP/VRRP, o GLBP oferece balanceamento de carga genuíno por meio de vários mecanismos:

• Balanceamento de Carga Dependente do Host: Mantém a atribuição consistente do endereço MAC AVF a um host, essencial para configurações NAT estáveis.

• Balanceamento de Carga Round-Robin: A abordagem padrão, alternando a atribuição do endereço MAC AVF entre os hosts solicitantes.

• Balanceamento de Carga Round-Robin Ponderado: Distribui a carga com base em métricas de "Peso" predefinidas.

Componentes e Terminologias Chave no GLBP

• AVG (Active Virtual Gateway): O roteador principal, responsável por alocar endereços MAC para roteadores pares.

• AVF (Active Virtual Forwarder): Um roteador designado para gerenciar o tráfego da rede.

• Prioridade GLBP: Uma métrica que determina o AVG, começando em um padrão de 100 e variando entre 1 e 255.

• Peso GLBP: Reflete a carga atual em um roteador, ajustável manualmente ou por meio de Object Tracking.

• Endereço IP Virtual GLBP: Serve como o gateway padrão da rede para todos os dispositivos conectados.

Para interações, o GLBP utiliza o endereço multicast reservado 224.0.0.102 e a porta UDP 3222. Os roteadores transmitem pacotes "hello" em intervalos de 3 segundos e são considerados não operacionais se um pacote for perdido por um período de 10 segundos.

Mecanismo de Ataque GLBP

Um atacante pode se tornar o roteador principal enviando um pacote GLBP com o maior valor de prioridade (255). Isso pode levar a ataques DoS ou MITM, permitindo a interceptação ou redirecionamento de tráfego.

Executando um Ataque GLBP com Loki

Loki pode realizar um ataque GLBP injetando um pacote com prioridade e peso definidos como 255. Os passos pré-ataque envolvem coletar informações como o endereço IP virtual, presença de autenticação e valores de prioridade do roteador usando ferramentas como Wireshark.

Passos do Ataque:

1. Mude para o modo promíscuo e habilite o encaminhamento IP.

2. Identifique o roteador alvo e recupere seu IP.

3. Gere um ARP Gratuitous.

4. Injete um pacote GLBP malicioso, se passando pelo AVG.

5. Atribua um endereço IP secundário à interface de rede do atacante, espelhando o IP virtual GLBP.

6. Implemente SNAT para visibilidade completa do tráfego.

7. Ajuste o roteamento para garantir acesso contínuo à internet através do roteador AVG original.

Seguindo esses passos, o atacante se posiciona como um "homem no meio", capaz de interceptar e analisar o tráfego da rede, incluindo dados não criptografados ou sensíveis.

Para demonstração, aqui estão os trechos de comando necessários:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Monitoring and intercepting traffic can be done using net-creds.py or similar tools to capture and analyze data flowing through the compromised network.

Explicação Passiva do Sequestro HSRP com Detalhes de Comando

Visão Geral do HSRP (Hot Standby Router/Redundancy Protocol)

HSRP é um protocolo proprietário da Cisco projetado para redundância de gateway de rede. Ele permite a configuração de vários roteadores físicos em uma única unidade lógica com um endereço IP compartilhado. Esta unidade lógica é gerenciada por um roteador primário responsável por direcionar o tráfego. Ao contrário do GLBP, que usa métricas como prioridade e peso para balanceamento de carga, o HSRP depende de um único roteador ativo para gerenciamento de tráfego.

Funções e Terminologia no HSRP

• Roteador Ativo HSRP: O dispositivo que atua como gateway, gerenciando o fluxo de tráfego.

• Roteador em Espera HSRP: Um roteador de backup, pronto para assumir se o roteador ativo falhar.

• Grupo HSRP: Um conjunto de roteadores colaborando para formar um único roteador virtual resiliente.

• Endereço MAC HSRP: Um endereço MAC virtual atribuído ao roteador lógico na configuração HSRP.

• Endereço IP Virtual HSRP: O endereço IP virtual do grupo HSRP, atuando como o gateway padrão para dispositivos conectados.

Versões do HSRP

O HSRP vem em duas versões, HSRPv1 e HSRPv2, que diferem principalmente na capacidade do grupo, uso de IP multicast e estrutura do endereço MAC virtual. O protocolo utiliza endereços IP multicast específicos para troca de informações de serviço, com pacotes Hello enviados a cada 3 segundos. Um roteador é considerado inativo se nenhum pacote for recebido dentro de um intervalo de 10 segundos.

Mecanismo de Ataque HSRP

Os ataques HSRP envolvem a tomada forçada do papel do Roteador Ativo, injetando um valor de prioridade máximo. Isso pode levar a um ataque Man-In-The-Middle (MITM). Os passos essenciais antes do ataque incluem a coleta de dados sobre a configuração HSRP, que pode ser feita usando o Wireshark para análise de tráfego.

Passos para Bypass da Autenticação HSRP

1. Salve o tráfego de rede contendo dados HSRP como um arquivo .pcap.

tcpdump -w hsrp_traffic.pcap

1. Extraia hashes MD5 do arquivo .pcap usando hsrp2john.py.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

1. Quebre os hashes MD5 usando John the Ripper.

john --wordlist=mywordlist.txt hsrp_hashes

Executando a Injeção HSRP com Loki

1. Inicie o Loki para identificar anúncios HSRP.

2. Defina a interface de rede para modo promíscuo e habilite o encaminhamento de IP.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

1. Use o Loki para direcionar o roteador específico, insira a senha HSRP quebrada e execute as configurações necessárias para se passar pelo Roteador Ativo.

2. Após assumir o papel de Roteador Ativo, configure sua interface de rede e tabelas IP para interceptar o tráfego legítimo.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

1. Modifique a tabela de roteamento para direcionar o tráfego através do antigo Roteador Ativo.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

1. Use net-creds.py ou uma utilidade similar para capturar credenciais do tráfego interceptado.

sudo python2 net-creds.py -i eth0

Executar esses passos coloca o atacante em uma posição para interceptar e manipular tráfego, semelhante ao procedimento para sequestro GLBP. Isso destaca a vulnerabilidade em protocolos de redundância como HSRP e a necessidade de medidas de segurança robustas.

Referências

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Websec | Uw Cybersecurity Specialist