冗余網關安全性研究

仲　磊　楊　鍇

摘 要 網絡冗余設備的安全性問題是一直網絡中心和網絡維護部門的心病,網關被其他黑客替代將會造成無法估計的損失。本文以比較常用的HSRP協議來做例,對于網關的安全性技術作了分析。

關鍵詞 網絡安全 HSRP 網絡攻擊

中圖分類號:TP393.08文獻標識碼:A

隨著網絡應用的普及化,為了保證網絡的穩(wěn)定運行,各個學校和企事業(yè)單位使用了雙核心并采用HSRP來保證其網關的穩(wěn)定。但是在實際網絡環(huán)境中卻發(fā)現了許多基于此類網關冗余協議的攻擊手段和方法。

1 HSRP工作的原理和其他細節(jié)

(1)每個路由器有它自己的mac和ip地址,但是它卻共享一個MAC和IP地址作為虛擬路由器的IP和MAC對于局域網內用戶來說就是網關地址和MAC。如果一臺路由器或者三層交換機down了,其他可以切換代替。

(2)在版本1的HSRP中,它的組播地址是224.0.0.2,在版本2中,組播地址為224.0.0.102.

(3)HSRP的TTL為1,所以黑客不能跨網攻擊。

(4)在1版本中虛擬的mac一般為0000.0c07.acxx,在版本2中為0000.0c9f.fxxx,在IPV6的環(huán)境中為0005.73a0.0xxx。其中xx為組號。

切換替代條件為:如果它從一個活動的路由器上收到任何HSRP的hello報文或者活動路由器自己需要變?yōu)閭溆脿顟B(tài)(如他失去了自己的廣域網連接),那么就會進行熱切換。

工作的協議為:在IPV4中采用udp的1985,在IPV6中采用udp的2029。

競爭活動狀態(tài)的原則:先看優(yōu)先級誰的值大就勝出,如果一樣就看誰的MAC地址小,那么誰將勝出。

具體配置命令為:standyby 1 ip 10.1.1.100; standyby 1 priority 105(默認100);standby 1 preempt(搶占加快切換時間)。默認的認證為明文的cisco。

2黑客攻擊的方法

(1)黑客會用dos進行攻擊:他一般先通過sniffer查找有沒有相應的HSRP的報文,再通過dos攻擊軟件進行攻擊(如:yersaina 或Hping3)

(2)中間人的攻擊: 通過ARP欺騙HSRP的虛擬MAC,實現對網絡的抓包。進而可以攻擊下面所有局域網的主機和服務器。

(3)信息的泄漏:一般主要作為探測主機類型、路由器的IP和相關設備參數,為下面植入木馬做準備。

3如何防御HSRP的攻擊

(1)使用強認證。

Key chain hsrpkey

Key 1

Key-string hsrpkey

Key-sting hsrpkey

Interface fastEthernet0/0

Standby 1 authentication md5 key-chain hsrpkey

但是如果攻擊者采用重放攻擊。通過拷貝HSRP的報文并設置為高優(yōu)先級,將會馬上成為活動的假路由器。對于這種攻擊,我們建議使用端口安全來保障局域網的安全。

(2)在網絡中使用vacl作用在交換機上和racl作用在路由器上來實現全局的安全架構。

vacl:access-list 101 permit udp host 192.168.0.7 host 224.0.0.2 eq 1985

access-list 101 permit udp host 192.168.0.9 host 224.0.0.2 eq 1985

access-list 102 permit udp any host 224.0.0.2 eq 1985

vlan access-map hsrp 10

match ip address 101

action forward

vlan access-map hsrp 20

match ip address 102

action drop

vlan access-map hsrp 30

action forward

vlan filter hsrp vlan-list 88

racl: access-list 101 permit udp host 192.168.0.7 host 224.0.0.2 eq 1985

access-list 101 permit udp host 192.168.0.9 host 224.0.0.2 eq 1985

access-list 101 deny udp any host 224.0.0.2 eq 1985

access-list 101 permit ip any any

interface f0/0

ip access-group 101 in