9-HSRP ATTACK
HSRP NEDİR ?
Ağdaki yönlendiricilerde bir sorun oluştuğunda yönlendirme işleminin devamlılığı yedeklilik protokolleriyle sağlanır. Cisco'ya ait olan HSRP (Hot-Standby Router Protocol - Sıcak Bekleme Yönlendirici Protokolü), bu protokollerden biridir. HSRP, VRRP (Virtual Router Redundancy Protocol - Sanal Yönlendirici Yedekliliği Protokolü) gibi birden çok yönlendiricinin tek bir sanal yönlendirici gibi davranmasına imkan sağlar. HSRP, merkez yönlendiricinin ulaşılamama süresini milisaniyeler cinsinden en aza indirerek yedekliliği sağlar.
HSRP'yi bir diğer yedeklilik protokolü olan VRRP'den ayıran başlıca özellikleri şunlardır:
HSRP, Cisco’ya özel bir protokol iken VRRP, IEEE standartında açık bir protokoldür.
HSRP’de sanal yönlendirici Ip’si ve mac adresi ağ içindeki yönlendiricilerin herhangi birinin gerçek Ip’si ve mac adresi ile aynı olmaz, VRRP’de böyle bir zorunluluk yoktur.
VRRP’de sanal yönlendiricinin ip’sine sahip yönlendirici ana yönlendirici olur.
HSRP’de bir adet yedek yönlendirici bulunurken VRRP’de birden fazla yedek yönlendirici olabilir.
HSRP çalıştıran yönlendiriciler kendilerine bir sanal IP (Internet Protocol - İnternet Protokolü) adresi ve Mac (Media Access Control - Ortam Erişim Kontrolü) adresi tayin ederler. İstemciler için bu adresler ağ geçididir (gateway). Çıkış yönlendiricileri ulaşılamaz olup başka bir yönlendiriciden internete çıkmaya başlasalarda ağ geçidinin IP ve Mac adresi değişmeyeceğinden internet erişiminde herhangi bir problemle karşılaşmazlar. HSRP UDP (User Datagram Protocol - Kullanıcı Veribloğu İletişim Kuralları) 1985. port (bağlantı noktası) üzerinden hizmet verir.
HSRP çalıştıran yönlendiricilerin uygun arabirimlerine (interface) veya VLAN (Virtual Local Area Network- Sanal Yerel Ağ) arabirimlerine bir HSRP grup numarası atanır. Aşağıdaki komut ile HSRP grubu için belirlenen sanal ağ geçidi IP'si seçilmiş olur.
HSRP çalıştıran yönlendiricelerden priority (öncelik) değeri en büyük olan yönlendirici aktif(active), bu yönlendiriciden küçük en büyük priority değerine sahip yönlendirici ise yedek (standby) durumundadır. Geriye kalan yönlendiricilerde HSRP durumlarını dinler ve düzenli aralıklarla HSRP - Hello (Merhaba) paketlerini değiştirir. Topolojideki bütün yönlendiricilerin priority değerleri eşit ise en büyük IP adresine sahip interface o HSRP grubunun aktif kolu olur. Priority değeri aşağıdaki komut ile değiştirilir. Bu değer varsayılan olarak 100’dür. En büyük atanabilecek değer ise 255’tir.
Aktif konumunda olan yönlendirici ağda yönlendirmeyi yapan esas yönlendiricidir. Yedek yönlendirici aktif yönlendiriciden 3 saniyede bir Hello paketleri alır. Bu süreye hold-time (bekleme süresi) denir. Eğer hello paketinin yedek yönlendiriciye ulaşması bu bekleme süresinden uzun bir süre içinde gerçekleşir ya da gerçekleşmezse yedek konumundaki yönlendirici devereye girer ve actif konumunu alır. Hello paketlerinin hedef IP’si 224.0.0.2 olan multicast ip’dir. Bu ip gönderilen paketin ağdaki tüm yönlendiricilere gideceği anlamını taşır. Yönlendiriciler arasındaki hold-timer süresini değiştirmek için ise aşağıdaki komut kullanırlır.
Yedek yönlendiricinin yeni aktif yönlendirici olması durumunda bir önceki aktif yönlendirici yedek konumuna geçer ve aşağıdaki komut girilmezse bir daha aktif olamaz. Ancak yeni yedek yönlendiricininde düşmesi durumunda ağda aktif yönlendirici kalmadığı takdirde tekrar aktif olabilir.
Bir çok istemci ağ içinde paket iletmek ister ve bunu aktif olan yönlendiriciler üzerinden yapar. Aktif hatlar devre dışı kaldığında aktif olmaya devam eder fakat iletişim kopmuş olur. HSRP bu durumu tespit eder ve diğer yönlendiricilere aktif olmaları için fırsat verir. Bunu o ana kadar active olan yönlendiricilerin öncelik değerini düşürerek yapar. Bu durum topolojide en az bir ulaşılabilir hat kalana kadar devam eder. "Priority" değerini düşürmek için aşağıdaki komut girilir.
HSRP yönlendiricilerinde eşleşen karakter dizileri girilerek her grup için ayrı ayrı kimlik denetimi yapılabilir.
Ağ içeridinde ARP (Address Resolution Protocol - Adres Çözümleme Protokolü) sorgularını aynı HSRP grubunda yer alan bütün yönlendiriciler dinler ve ARP tablosu oluştururlar. Ancak sorguyu yedek yönlendirici kendi yapmış olsa dahi ARP sorgularına ancak aktif olan yönlendirici cevap verir. HSRP topolojisinde HSRP yönlendiricileri sanal ağ geçidi IP'sini kullanarak bir iletişim başlatamazlar. Örneğin, sanal gateway IP'sini kaynak göstererek topolojideki herhangi bir adrese 'ping' gönderilemez.
HSRP Özet
Cisco tarafından geliştirilen ve Cisco’ya özel olan HSRP (Hot Standby Router Protocol) protokolü, router yedeklilik için geliştirilmiş olan bir protokoldür . Birden fazla routerın tek bir router gibi davranmasını sağlar. Bunun için de sanal IP adresi oluşturulur ve bu sanal IP gateway olarak işlev görür. Routerlardan bir tanesi active(ana) router seçilir ve diğeri standby(yedek) olarak seçilir. Trafik active router üzerinden geçer ve active routera bir şey olması durumunda standby router devreye girer. Böylece trafik akışı minimal düzeyde kesintiye uğrayarak devam eder.
Routerlar arasında 3 saniyede bir ‘hello’ mesajları gönderilir. 10 saniye boyunca active router’dan cevap gelmemesi durumunda standby router görevi üstlenir ve active router olarak işlev yapmaya başlar. HSRP active router seçimi priority (öncelik) değerine göre belirlenir. Priority değeri yüksek olan router, active router seçilir. Priority değerinin aynı olması durumunda ise, yüksek IP adresine sahip olan router, active router olarak seçilir.
HSRP LAB
Bu senaryoda HSRP protokolunun nasıl çalıştığını anlamak bir lab çalışması yapalım.
Kullanılacak olan Topoloji resimdeki gibi olacaktır ve herşey açıklanmıştır. Şmid conf. geçelim.
Bir active (aktif) router aşağıdaki özelliklere sahiptir.
Sanal Router’ın IP adresini bilir.
Standby Router’a hello paketleri gönderir. Çalıştığını Standby Router’a sürekli bildirir.
Virtual Router için paketleri için paketleri ileten Active Router olarak çalışır.
Bir standby router aşağıdaki özelliklere sahiptir.
Sürekli olarak hello paketlerini dinler.
Hello mesajları gönderir.
Active Router’dan hello paketleri alamazsa Active Router rolünü üstlenir
Router ve karşılık gelen hostname isimleri verilmiştir.
Eğer istenirse daha detaylı bilgi aşağıdaki komutla alınabilir.
Yaygın HSRP Yapılandırma Sorunları
HSRP Router’ları, aynı alt ağdan gelen IPv4 adresleriyle yapılandırılmamış olabilir.
Sanal IP adresi her iki cihazda yanlış verilmiş olabilir. Sanal IP adresimiz uç ağ cihazlarımızın varsayılan ağ geçididir.
HSRP yönlendiricileri aynı HSRP grup numarasıyla yapılandırılmamış. Bu, her Router’ın etkin rol almasına neden olur.
Uç cihazlar doğru varsayılan ağ geçidi adresi(default gateway) ile yapılandırılmamış olabilir.
Şimdi ise bir ucun bağlantısını keselim bakalım yedek router devreye girecekmi görelim.
Görüldüğü gibi tek bir tarafın bir sorun olduğunda bunun gibi bir mesaj almamız gerekecek ve biz bunu kullanarak rotayı bozucaz.
HSRP ATAĞI
FHRP protokolleri olarak Cisco cihazlara özgü HSRP (Hot Standby Router Protocoliletmeye Hazır Yönlendirici Protokolü) ve GLBP (Gateway Load Balancing Protocol Varsayılan Ağ Geçidi Yük Dengeleme Protokolü) ile açık standart (RFC 5798) VRRP (Virtual Router Redundancy Protocol-Sanal Yönlendirici Yedeklilik Protokolü) karşımıza çıkmaktadır.
Şimdi ise konfigurasyonlara geçelim.
Görüldüğü gibi yedek ve aktif rotalar aktif durumda.
192.168.1.0/24 ağındaki bir bilgisayarı kontrol edelim.
Görüldüğü gibi seçtiğimiz yolu kullanıyor. Şimdi saldırıya geçelim. (Buradaki bizim belirlediğimiz IPv4 varsayılan ağ geçidi 192.168.1.1 olduğundan ondan görüyor. Aşağıdaki başka bir örnekte ise IPv4 varsayılan ağ geçidi değişmiş ve yeni yol izlenmiş hali)
Öncelikle, kontrolde hangi yönlendiricinin aktif ve hangisinin yedek olduğunu belirlememiz gerekiyor. Sonra saldırgan makineye geçebiliriz.
Görüntü böyle gelmelidir.
Böyle bir menünün gelmesi gerekiyor ve istediğiniz IP adresini verebilirsiniz.
Sonra enter ve bommm!!!1
Görüldüğü gibi saldırı başarılı bir şekilde gerçekleştirilmiş oldu. Bunun APT saldırılarında birleştirilip kullanılabilir.
PAKET YAPISI
Bir sürü 2 saniyede bir paket göndererek aktif rota ve yedek rota olarak belirtilmektedir. Yayın adresi olarak 224.0.0.2 kullanılmaktadır.
Kaynak (Src) MAC Adresi: All-HSRP-routers_0a (00:00:0c:07:ac:0a)
Hedef (Dst) MAC Adresi: IPv4mcast_02 (01:00:5e:00:00:02)
Ethernet Türü (Type): IPv4 (0x0800)
Gönderen cihazın MAC adresi
00:00:0c:07:ac:0ave bu adres kaynak (src) adresi olarak belirtilmiştir.Alıcı cihazın MAC adresi
01:00:5e:00:00:02ve bu adres hedef (dst) adresi olarak belirtilmiştir.Ethernet Türü (Type) alanı
0x0800değeriyle IPv4 paketini işaret eder. Bu, çerçevenin içeriğinin IPv4 protokolünü taşıdığını gösterir.
Özetle, bu Ethernet II çerçevesi, kaynaktan belirli bir hedef IPv4 çok noktalı (multicast) adresine yönlendirilen bir IPv4 paketini taşımaktadır.
HSRP, bu protokol, 00:00:0C:07:AC:00 MAC adresine sahip bir MAC adresini kullanır. Bu MAC adresi, HSRP cihazları tarafından kullanılan sanal MAC adresidir ve multicast olarak gönderilen HSRP paketlerinde kullanılır. Bu sanal MAC adresi, HSRP grup numarasına göre değişiklik gösterebilir. Örneğin, HSRP grubu 1 için, 00:00:0C:07:AC:01, HSRP grubu 2 için 00:00:0C:07:AC:02 gibi.
Buradaki kaynak IP adresi ve gönderilecek IP adresi yazılmıştır. Ssitem UDP kullanılmaktadır.
Yukarıdaki çıktıda "00:00:0c:07:ac:0a" adresinin sonunda "a" karakterinin bulunması, onlu sistemde 10 değerine karşılık gelir. Yani bu adresin grubu 10 olarak işaretlenmiştir. Hex sayı sistemini bilindiği varsayılmıştır. İncelenen paket HELLO paketidir.
Kaynak port 1985 ve hedef port 1985 üzerinden gönderilmiştir.
Version (Sürüm): HSRP sürüm numarasını belirtir. Bu durumda, 0 sürümü kullanılmaktadır.
Op Code (İşlem Kodu): Bu mesajın türünü belirler. "Hello" mesajı bu durumda, yani ağdaki diğer HSRP cihazlarıyla iletişim kurmak için kullanılan bir işlem kodudur.
State (Durum): Bu cihazın durumunu belirtir. "Active" durumu, bu cihazın HSRP grubunda aktif bir rol üstlendiğini gösterir.
Hellotime (Merhaba Süresi): Bu, HSRP cihazlarının birbirlerine "merhaba" mesajlarını gönderme sıklığını belirtir. Varsayılan olarak, bu süre 3 saniyedir.
Holdtime (Tutma Süresi): Bu, bir cihazın aktif durumunu kaç saniye boyunca tutacağını belirtir. Varsayılan olarak, bu süre 10 saniyedir.
Priority (Öncelik): Bu cihazın HSRP grup içindeki önceliğini belirtir. Daha yüksek bir öncelik, aktif rolde olma olasılığını artırır. Bu durumda, öncelik 100'dür.
Group (Grup): Bu cihazın hangi HSRP grubuna ait olduğunu belirtir. Grup numarası 10'dur.
Reserved (Ayrılmış): Bu alana ayrılan değerdir. Bu durumda, ayrılmış bir değer yoktur.
Authentication Data (Kimlik Doğrulama Verisi): Bu, HSRP mesajlarının güvenilirliğini sağlamak için kullanılan kimlik doğrulama verisidir. Varsayılan olarak, "cisco" olarak ayarlanmıştır.
Virtual IP Address (Sanal IP Adresi): HSRP grubunun bir parçası olarak kullanılan sanal IP adresini belirtir. Bu durumda, sanal IP adresi 192.168.1.252'dir. Bu IP adresi, ağdaki cihazlar tarafından yönlendirme amacıyla kullanılır ve aktif HSRP cihazı tarafından sunulur.
Sadece standby paketinde işaretli yer, standby olarak statüsü belirlenecektir ve hiçbir farkı olmayacaktır
Version (Sürüm): HSRP sürüm numarasını belirtir. Bu durumda, 0 sürümü kullanılmaktadır.
Op Code (İşlem Kodu): Bu mesajın türünü belirtir. "Advertise" mesajı, HSRP cihazlarının durumlarını ve ağdaki grup yapılarını reklam etmek için kullanılır.
Adv type (Reklam Türü): Bu, reklamın türünü belirtir. "HSRP interface state" (HSRP arayüz durumu) olarak belirtilmiştir, yani HSRP arayüzünün durumu hakkında bilgi içerir.
Adv length (Reklam Uzunluğu): Reklam mesajının uzunluğunu belirtir. Bu durumda, 14 bayt uzunluğundadır.
Adv state (Reklam Durumu): Bu, HSRP cihazının reklam edilen arayüzünün durumunu belirtir. "Passive" (Pasif) durumu, cihazın HSRP grubunda aktif bir rol üstlenmediğini, ancak pasif olarak durduğunu gösterir.
Adv reserved1 (Ayrılmış1): Bu alana ayrılan değerdir. Bu durumda, ayrılmış bir değer yoktur.
Adv active groups (Aktif Gruplar): Bu, reklam edilen HSRP arayüzü üzerindeki aktif HSRP gruplarının sayısını belirtir. Bu durumda, aktif grup sayısı 0'dır.
Adv passive groups (Pasif Gruplar): Bu, reklam edilen HSRP arayüzü üzerindeki pasif HSRP gruplarının sayısını belirtir. Bu durumda, pasif grup sayısı 1'dir.
Adv reserved2 (Ayrılmış2): Bu alana ayrılan değerdir. Ancak, belirtilen değer olan "1862270976" açıkça anlamlı bir bilgi taşımıyor gibi görünmektedir.
Bu paket, HSRP cihazlarının ağdaki durumlarını diğer cihazlara bildirmek için kullanılan bir HSRP Advertise mesajıdır. Bu mesaj, cihazların HSRP arayüzlerinin durumunu ve üzerinde bulunan grupları ile ilgili bilgileri reklam etmek için kullanılır.
HSRP SALDIRIDISI ÖNLEME
HSRP ataklarına karşı önlem almak için 2 yöntemimiz var.
1-ACL yazarak HSRP konuşan cihazların IP’leri harici diğer IP adreslerini bloke etmek.
2-HSRP Authentication yapmak.
Şimdi saldırıyı tekrar başlatalım ve görelim, bir değişiklik olacak mı? Önceki saldırıdan dolayı aktif ve yedek rota değişmişti. Mantık her zaman aynıdır.
"Herhangi bir router'da aktif ve standby rotalara bakalım. ( Yukardaki resim bunun temsili görseli)
Saldırgan makinede ise 7.7.7.7 IP adresini gönderelim ve gerçekten engel olmuş muyuz görelim.
Görüldüğü gibi, sürekli paketler gönderdik ve herhangi bir değişiklik olup olmadığına bakalım.
Herhangi bir değişiklik olmadı ve uyguladığımız ACL işe yaradı.
kinci yöntem ise bir authentication uygulamak ve önlem almak.
İki cihazda da ACL'yi kaldırdık ve bir de key tanımlayarak yapalım, bakalım işe yarayacak mı, görelim.
1 => Diğer sistemle iletişim kurduğunun kanıtıdır ve iletişim şifreli bir kanal üzerinden gerçekleşmektedir.
2 => HSRP konuşmaları MD5 ile korunmaktadır
Şimdi ise önceden şifresiz ve sonradan şifreli paketleri wireshark üzerinden inceleyelim.
Anlaşılan o ki, herhangi bir şifreleme bulunmamaktadır ve bilgiler açık metin olarak iletilmektedir. Şifre ise "cisco" olarak belirlenmiştir.
1 => İletişimin şifreli olarak kurulduğunu gösterir.
2 => MD5 hash'in buradaki sorunu, hash'in görünmesi ve kırılabilir olmasıdır.
Şifreli olarak izlenmesi ve şifrenin okunmaması, bu iletişimin güvenli olduğunun kanıtıdır.
Birdaha saldırı yaptığımız zaman ise sonuçalrı bir görelim.
Oncesinde yedek ve aktif rota ip adresleri.
ÖNEMLİ BAZI NOKTALAR
Priority değeri ne kadar yüksek olursa o yol aktif rota olarak üstlenir.
Hedef çoklu yayın adresi 224.0.0.2'ye gönderir.
Merhaba mesajlarını UDP 1985' te çalışır.
En yüksek önceliğe sahip yönlendirici seçimi kazanır.
Varsayılan olarak tüm yönlendiriciler öncelik olarak 100'ü kullanır.
Öncelik değerlerinde eşitlik varsa, en yüksek IP adresine sahip yönlendirici seçimi kazanır.
Birinci atlama artıklık protokolü ( FHRP ), HSRP bir alt kümesidir.
Sanal MAC adresinde, X'ler hex cinsinden grup kimliğini temsil eder.
HSRP, IP rotalarını tanıtmadığı veya yönlendirme tablosunu hiçbir şekilde etkilemediği için bir yönlendirme protokolü değildir.
HSRP, bir veya daha fazla yönlendiricinin arızalanması durumunda yük devretme yeteneğine sahiptir. Bu özellik, ağ geçidine tek bir bağlantıya sahip çift şubeli yönlendiriciler için faydalı olabilir. Birincil yönlendiricinin bağlantısı kesilirse, yedek yönlendirici birincil işlevi devralacak ve böylece ağ geçidine olan bağlantıyı koruyacaktır.
Protokolün ikinci versiyonu kararlılık, ölçeklenebilirlik ve teşhis iyileştirmeleri sunar. Sürüm 2, Sürüm 1 HSRP ile uyumlu değildir. Ayrıca, protokolün ikinci sürümü için bir RFC bulunmamaktadır. İkinci versiyon, IPv6 desteği sağlar ve HSRP gruplarının sayısını 256'dan 4096'ya çıkarır.
HSRP MD5 CRACKER
Last updated
