GLBP & HSRP Attacks

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS de HackTricks)!

Autres façons de soutenir HackTricks:

Aperçu du Détournement FHRP

Informations sur FHRP

FHRP est conçu pour fournir une robustesse réseau en fusionnant plusieurs routeurs en une seule unité virtuelle, améliorant ainsi la distribution de charge et la tolérance aux pannes. Cisco Systems a introduit des protocoles importants dans cette suite, tels que GLBP et HSRP.

Informations sur le Protocole GLBP

La création de Cisco, GLBP, fonctionne sur la pile TCP/IP, utilisant UDP sur le port 3222 pour la communication. Les routeurs dans un groupe GLBP échangent des paquets "hello" à des intervalles de 3 secondes. Si un routeur ne parvient pas à envoyer ces paquets pendant 10 secondes, il est présumé hors ligne. Cependant, ces temporisateurs ne sont pas fixes et peuvent être modifiés.

Opérations et Distribution de Charge GLBP

GLBP se distingue en permettant la distribution de charge entre les routeurs en utilisant une seule adresse IP virtuelle couplée à plusieurs adresses MAC virtuelles. Dans un groupe GLBP, chaque routeur participe à la transmission des paquets. Contrairement à HSRP/VRRP, GLBP offre un véritable équilibrage de charge grâce à plusieurs mécanismes :

  • Équilibrage de Charge Dépendant de l'Hôte : Maintient l'attribution d'adresse MAC AVF cohérente à un hôte, essentiel pour des configurations NAT stables.

  • Équilibrage de Charge Round-Robin : L'approche par défaut, alternant l'attribution d'adresse MAC AVF parmi les hôtes demandeurs.

  • Équilibrage de Charge Pondéré Round-Robin : Distribue la charge en fonction de métriques "Poids" prédéfinies.

Composants Clés et Terminologies dans GLBP

  • AVG (Passerelle Virtuelle Active) : Le routeur principal, responsable de l'attribution des adresses MAC aux routeurs pairs.

  • AVF (Transmetteur Virtuel Actif) : Un routeur désigné pour gérer le trafic réseau.

  • Priorité GLBP : Une métrique qui détermine l'AVG, commençant par une valeur par défaut de 100 et allant de 1 à 255.

  • Poids GLBP : Reflète la charge actuelle sur un routeur, ajustable manuellement ou via le Suivi d'Objet.

  • Adresse IP Virtuelle GLBP : Sert de passerelle par défaut du réseau pour tous les appareils connectés.

Pour les interactions, GLBP utilise l'adresse multicast réservée 224.0.0.102 et le port UDP 3222. Les routeurs transmettent des paquets "hello" à des intervalles de 3 secondes et sont considérés comme non opérationnels si un paquet est manqué pendant une durée de 10 secondes.

Mécanisme d'Attaque GLBP

Un attaquant peut devenir le routeur principal en envoyant un paquet GLBP avec la valeur de priorité la plus élevée (255). Cela peut entraîner des attaques de DoS ou MITM, permettant l'interception ou la redirection du trafic.

Exécution d'une Attaque GLBP avec Loki

Loki peut effectuer une attaque GLBP en injectant un paquet avec une priorité et un poids définis à 255. Les étapes préalables à l'attaque impliquent la collecte d'informations telles que l'adresse IP virtuelle, la présence d'authentification et les valeurs de priorité du routeur en utilisant des outils comme Wireshark.

Étapes de l'Attaque :

  1. Passer en mode promiscuité et activer le transfert IP.

  2. Identifier le routeur cible et récupérer son IP.

  3. Générer une ARP Gratuite.

  4. Injecter un paquet GLBP malveillant, en se faisant passer pour l'AVG.

  5. Attribuer une adresse IP secondaire à l'interface réseau de l'attaquant, reflétant l'adresse IP virtuelle GLBP.

  6. Mettre en place SNAT pour une visibilité totale du trafic.

  7. Ajuster le routage pour garantir un accès internet continu via le routeur AVG d'origine.

En suivant ces étapes, l'attaquant se positionne en tant que "homme du milieu", capable d'intercepter et d'analyser le trafic réseau, y compris les données non chiffrées ou sensibles.

Pour une démonstration, voici les extraits de commandes requis:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Explication passive du détournement de HSRP avec détails des commandes

Aperçu de HSRP (Protocole de redondance/de routeur en veille active)

HSRP est un protocole propriétaire de Cisco conçu pour la redondance de passerelle réseau. Il permet la configuration de plusieurs routeurs physiques en une seule unité logique avec une adresse IP partagée. Cette unité logique est gérée par un routeur principal responsable de la direction du trafic. Contrairement à GLBP, qui utilise des métriques comme la priorité et le poids pour l'équilibrage de charge, HSRP repose sur un seul routeur actif pour la gestion du trafic.

Rôles et terminologie dans HSRP

  • Routeur actif HSRP: Le dispositif agissant en tant que passerelle, gérant le flux de trafic.

  • Routeur en veille HSRP: Un routeur de secours, prêt à prendre le relais si le routeur actif tombe en panne.

  • Groupe HSRP: Un ensemble de routeurs collaborant pour former un seul routeur virtuel résilient.

  • Adresse MAC HSRP: Une adresse MAC virtuelle attribuée au routeur logique dans la configuration HSRP.

  • Adresse IP virtuelle HSRP: L'adresse IP virtuelle du groupe HSRP, agissant en tant que passerelle par défaut pour les appareils connectés.

Versions de HSRP

HSRP existe en deux versions, HSRPv1 et HSRPv2, différant principalement en capacité de groupe, utilisation d'IP multicast et structure d'adresse MAC virtuelle. Le protocole utilise des adresses IP multicast spécifiques pour l'échange d'informations de service, avec des paquets Hello envoyés toutes les 3 secondes. Un routeur est considéré comme inactif s'il ne reçoit aucun paquet dans un intervalle de 10 secondes.

Mécanisme d'attaque HSRP

Les attaques HSRP impliquent de prendre de force le rôle du routeur actif en injectant une valeur de priorité maximale. Cela peut entraîner une attaque de l'homme du milieu (MITM). Les étapes essentielles avant l'attaque incluent la collecte de données sur la configuration HSRP, ce qui peut être fait en utilisant Wireshark pour l'analyse du trafic.

Étapes pour contourner l'authentification HSRP

  1. Enregistrer le trafic réseau contenant des données HSRP dans un fichier .pcap.

tcpdump -w hsrp_traffic.pcap
  1. Extraire les hachages MD5 du fichier .pcap en utilisant hsrp2john.py.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
  1. Casser les hachages MD5 en utilisant John the Ripper.

john --wordlist=mywordlist.txt hsrp_hashes

Exécution de l'injection HSRP avec Loki

  1. Lancer Loki pour identifier les annonces HSRP.

  2. Définir l'interface réseau en mode promiscuité et activer le transfert IP.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
  1. Utiliser Loki pour cibler le routeur spécifique, entrer le mot de passe HSRP cassé et effectuer les configurations nécessaires pour se faire passer pour le routeur actif.

  2. Après avoir obtenu le rôle de routeur actif, configurer votre interface réseau et les tables IP pour intercepter le trafic légitime.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  1. Modifier la table de routage pour router le trafic à travers l'ancien routeur actif.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
  1. Utiliser net-creds.py ou un utilitaire similaire pour capturer les informations d'identification à partir du trafic intercepté.

sudo python2 net-creds.py -i eth0

L'exécution de ces étapes place l'attaquant dans une position pour intercepter et manipuler le trafic, similaire à la procédure de détournement de GLBP. Cela met en évidence la vulnérabilité des protocoles de redondance comme HSRP et la nécessité de mesures de sécurité robustes.

Last updated