HSRP Atakları ve Önlenmesi
HSRP networkte bulunan Routerların yedekli olarak çalışmasını sağlayan Cisco’ya özel bir protokoldür.
HSRP terminolojisi içerisinde aktif olarak yönlendirme işlemlerini yapan Router Active Router, yedek olarak bekleyen Router’a Standby Router denilir. Standby Router görevini üstlenen Router hiç bir şey yapmaz, tam anlamıyla bir yedek olarak bekler. HSRP Routerları bir grup numarası ile aynı grupta olduklarını anlarlar. Standby grup denen bu grubun numarası bizler tarafında belirlenir.
Bir active (aktif) router aşağıdaki özelliklere sahiptir.
- Sanal Router’ın IP adresini bilir.
- Standby Router’a hello paketleri gönderir. Çalıştığını Standby Router’a sürekli bildirir.
- Virtual Router için paketleri için paketleri ileten Active Router olarak çalışır.
Bir standby router aşağıdaki özelliklere sahiptir.
- Sürekli olarak hello paketlerini dinler.
- Hello mesajları gönderir.
- Active Router’dan hello paketleri alamazsa Active Router rolünü üstlenir
Router1 için Konfigürasyon
Router>enable
Router#configure terminal
Router1(config)#hostname Router1
Router1(config)#interface gigabitEthernet 0/0
Router1(config-if)#ip address 192.168.1.1 255.255.255.0
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#interface serial 0/0/0
Router1(config-if)#ip address 1.1.1.1 255.255.255.0
Router1(config-if)#no shutdown
Router1(config-if)#exit
Router1(config)#router rip
Router1(config-router)#version 2
Router1(config-router)#network 1.1.1.0
Router1(config-router)#network 192.168.1.0
Router1(config-router)#exit
Router1(config)#interface gigabitEthernet 0/0
Router1(config-if)#standby 10 ip 192.168.1.3
Router1(config-if)#standby 10 priority 150
Router1(config-if)#
%HSRP-6-STATECHANGE: GigabitEthernet0/0 Grp 10 state Speak -> Standby%HSRP-6-STATECHANGE: GigabitEthernet0/0 Grp 10 state Standby -> ActiveRouter1(config-if)#standby 10 preempt
Router2 için Konfigürasyon
Router>enable
Router#configure terminal
Router(config)#hostname Router2
Router2(config)#interface gigabitEthernet 0/0
Router2(config-if)#ip address 192.168.1.2 255.255.255.0
Router2(config-if)#no shutdown
Router2(config-if)#exit
Router2(config)#interface serial 0/0/1
Router2(config-if)#ip address 2.2.2.2 255.255.255.0
Router2(config-if)#no shutdown
Router2(config-if)#exit
Router2(config)#router rip
Router2(config-router)#version 2
Router2(config-router)#network 2.2.2.0
Router2(config-router)#network 192.168.1.0
Router2(config-router)#exit
Router2(config)#interface gigabitEthernet 0/0
Router2(config-if)#stand
Router2(config-if)#standby 10 ip 192.168.1.3
Router2(config-if)#
%HSRP-6-STATECHANGE: GigabitEthernet0/0 Grp 10 state Speak -> StandbyRouter3 için Konfigürasyon
Router>enable
Router#configure terminal
Router(config)#hostname Router3
Router3(config)#interface gigabitEthernet 0/0
Router3(config-if)#ip address 172.16.10.254 255.255.0.0
Router3(config-if)#no shutdown
Router3(config-if)#exit
Router3(config)#interface serial 0/0/0
Router3(config-if)#ip address 1.1.1.2 255.255.255.0
Router3(config-if)#no shutdown
Router3(config-if)#exit
Router3(config)#interface serial 0/0/1
Router3(config-if)#ip add
Router3(config-if)#ip address 2.2.2.1 255.255.255.0
Router3(config-if)#no shutdown
Router3(config-if)#exit
Router3(config)#router rip
Router3(config-router)#version 2
Router3(config-router)#network 1.1.1.0
Router3(config-router)#network 2.2.2.0
Router3(config-router)#network 172.16.0.0
Router3(config-router)#exitshow standby komutu ile iki Router’da HSRP yapılandırmasını doğrulayabiliriz.
show standby brief komutuyla özet HSRP yapılandırmasını görebiliriz.
HSRP Preemption (preempt ): Aktif router kesilirse devreye standby router girer. Aktif router bulunan sorun giderilse bile bundan sonra trafik genede standby router üzerinden akmaya devam eder. Bu durumu değiştirmek için yani akif routerda bulunan sorun giderildiğinde trafik eskisi gibi aktif router üzerinden devam etmesi için HSRP preemption aktifleştirmek gerekir. Preemption, routerları HSRP seçim sürecini tetikler.
Yaygın HSRP Yapılandırma Sorunları
- HSRP Router’ları, aynı alt ağdan gelen IPv4 adresleriyle yapılandırılmamış olabilir.
- Sanal IP adresi her iki cihazda yanlış verilmiş olabilir. Sanal IP adresimiz uç ağ cihazlarımızın varsayılan ağ geçididir.
- HSRP yönlendiricileri aynı HSRP grup numarasıyla yapılandırılmamış. Bu, her Router’ın etkin rol almasına neden olur.
- Uç cihazlar doğru varsayılan ağ geçidi adresi(default gateway) ile yapılandırılmamış olabilir.
HSRP ATAKLARI VE ÖNLENMESİ
Bu Lab’ta GNS3 kullanarak HSRP atağı yapacağız. Labımızı üsteki gibi ve yapılandırması da aşağıdaki gibi sadece HSRP yapılandırdık.
R1#configure terminal
R1(config)#interface fastEthernet 0/0
R1(config-if)#ip address 192.168.1.10 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#standby 10 ip 192.168.1.15
R1(config-if)#standby 10 priority 110
R1(config-if)#standby 10 preemptR2#configure terminal
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip address 192.168.1.20 255.255.255.0
R2(config-if)#no shutdownR2(config-if)#standby 10 ip 192.168.1.15
HSRP bağlantımızı kontrol edelim.
Router1 için
Router2 için
Şimdi Kali Linux’taki Yersinia tool’u ile HSRP atağı gerçekleştirelim. Konsolu açıp yersinia -G yazıp Yersinia’yı grafik modunda başlatıyoruz.
Yersinia açıldıktan sonra Launch attack butonuna basıp becoming ACTIVE router seçerek OK butonuna basıyoruz. Yani kendimizi aktif router gibi tanıtıyoruz.
Ardından bizden Aktif router rolünü üstlenmemiz için bir IP adresi istiyor. IP adresimizi girip OK butonuna basıyoruz.
Router1'in durumuna bakalım. Active Router’da IP adresimiz değişmiş.
Router2'nin durumuna bakalım.
Kali Linux yüklü makinemiz Router1'in yerine geçti.
ÖNLEM ALMAK İÇİN
HSRP ataklarına karşı önlem almak için 2 yöntemimiz var.
1-ACL yazarak HSRP konuşan cihazların IP’leri harici diğer IP adreslerini bloke etmek.
2-HSRP Authentication yapmak.
İkinci yöntemi tavsiye etmiyorum çünkü şifreler kırılabiliyor.
(config)# key chain <NAME>
(config-keychain)# key <ID_number>
(config-keychain-key)# key-string <passphrase>
(config-if)# standby 1 authentication md5 key-chain <NAME>En güzeli ACL yazarak cihazları emniyete almak.
R1(config)#access-list 101 permit udp 192.168.1.20 0.0.0.255 eq 1985 any
