冗余网关安全性研究
2009-10-22仲磊杨锴
仲 磊 杨 锴
摘 要 网络冗余设备的安全性问题是一直网络中心和网络维护部门的心病,网关被其他黑客替代将会造成无法估计的损失。本文以比较常用的HSRP协议来做例,对于网关的安全性技术作了分析。
关键词 网络安全 HSRP 网络攻击
中图分类号:TP393.08文献标识码:A
随着网络应用的普及化,为了保证网络的稳定运行,各个学校和企事业单位使用了双核心并采用HSRP来保证其网关的稳定。但是在实际网络环境中却发现了许多基于此类网关冗余协议的攻击手段和方法。
1 HSRP工作的原理和其他细节
(1)每个路由器有它自己的mac和ip地址,但是它却共享一个MAC和IP地址作为虚拟路由器的IP和MAC对于局域网内用户来说就是网关地址和MAC。如果一台路由器或者三层交换机down了,其他可以切换代替。
(2)在版本1的HSRP中,它的组播地址是224.0.0.2,在版本2中,组播地址为224.0.0.102.
(3)HSRP的TTL为1,所以黑客不能跨网攻击。
(4)在1版本中虚拟的mac一般为0000.0c07.acxx,在版本2中为0000.0c9f.fxxx,在IPV6的环境中为0005.73a0.0xxx。其中xx为组号。
切换替代条件为:如果它从一个活动的路由器上收到任何HSRP的hello报文或者活动路由器自己需要变为备用状态(如他失去了自己的广域网连接),那么就会进行热切换。
工作的协议为:在IPV4中采用udp的1985,在IPV6中采用udp的2029。
竞争活动状态的原则:先看优先级谁的值大就胜出,如果一样就看谁的MAC地址小,那么谁将胜出。
具体配置命令为:standyby 1 ip 10.1.1.100; standyby 1 priority 105(默认100);standby 1 preempt(抢占加快切换时间)。默认的认证为明文的cisco。
2黑客攻击的方法
(1)黑客会用dos进行攻击:他一般先通过sniffer查找有没有相应的HSRP的报文,再通过dos攻击软件进行攻击(如:yersaina 或Hping3)
(2)中间人的攻击: 通过ARP欺骗HSRP的虚拟MAC,实现对网络的抓包。进而可以攻击下面所有局域网的主机和服务器。
(3)信息的泄漏:一般主要作为探测主机类型、路由器的IP和相关设备参数,为下面植入木马做准备。
3如何防御HSRP的攻击
(1)使用强认证。
Key chain hsrpkey
Key 1
Key-string hsrpkey
Key-sting hsrpkey
Interface fastEthernet0/0
Standby 1 authentication md5 key-chain hsrpkey
但是如果攻击者采用重放攻击。通过拷贝HSRP的报文并设置为高优先级,将会马上成为活动的假路由器。对于这种攻击,我们建议使用端口安全来保障局域网的安全。
(2)在网络中使用vacl作用在交换机上和racl作用在路由器上来实现全局的安全架构。
vacl:access-list 101 permit udp host 192.168.0.7 host 224.0.0.2 eq 1985
access-list 101 permit udp host 192.168.0.9 host 224.0.0.2 eq 1985
access-list 102 permit udp any host 224.0.0.2 eq 1985
vlan access-map hsrp 10
match ip address 101
action forward
vlan access-map hsrp 20
match ip address 102
action drop
vlan access-map hsrp 30
action forward
vlan filter hsrp vlan-list 88
racl: access-list 101 permit udp host 192.168.0.7 host 224.0.0.2 eq 1985
access-list 101 permit udp host 192.168.0.9 host 224.0.0.2 eq 1985
access-list 101 deny udp any host 224.0.0.2 eq 1985
access-list 101 permit ip any any
interface f0/0
ip access-group 101 in