FHRP Nightmare: Пентест домена резервирования FHRP

[ammo]

Атака выглядит весьма сильно теоретической, т.к. FHRP в основном используются только в энтерпрайзе, т.е. внутри периметра, за который еще нужно как-то попасть. Т.е. звучит примерно как "ну допустим вы получили рута, при этом открываются следующие уязвимости...". Плюс во всяких параноидальных энвайрнментах (банки) используется port security, так что даже внутри периметра mac на своей машине поменять не получится.

Другой кейс: операторы связи, где атакующий - рядовой клиент. Ну здесь, как правило, либо один, либо сразу все 3 пункта, из-за которых тоже ничего не получится:

а) не используется FHRP в сторону клиентов. На BNG-коробках есть похожие на FHRP проприетарные механизмы, но control plane там бегает в одном выделенном VLAN, доступа в который нет у клиентов

б) используется уникальный VLAN на каждого абонента

в) вообще не подключают по IPoE (по крайней мере физиков), вместо этого используются PPPoE или L2TP

[casterbyte]

В основном FHRP используется, чтобы задействовать несколько маршрутизаторов в рамках одной корпоративной сети. И когда ты включаешься в свитч (даже в тот же уровень доступа) - ты уже видишь пакеты FHRP-протокола.

Атака действительно практичная и PoC в статье присутствует. Просто вероятность встретить FHRP в проде при таких обстоятельствах - относительно небольшая, тут я соглашусь.

И да, тебе нужно быть прямо в канальном сегменте сети, безусловно.

[casterbyte]

Кстати говоря, хочу попробовать провести атаку без смены мака, напишу, что выйдет из этого)

Там просто впрыск Gratuitous ARP должен всё уладить. Попробую) у этой атаки достаточно много нюансов, с этим всё нужно начать разбираться...

[0HenrY0]

Пентестера вполне могут пригласить внутрь периметра и даже отключить для него часть защиты. Это распространенная практика.

[Karroplan]

так в современной ИБ внутренний нарушитель считается более опасным чем внешний.

[KOCTALEM]

во всяких параноидальных энвайрнментах (банки) используется port security, так что даже внутри периметра mac на своей машине поменять не получится.

Если нарушитель пробрался внутрь виртуальной среды, например на вебсервер в датацентре, там с port security наблюдаются некоторые сложности. И порезвиться в рамках своего VLAN должно получиться.

[olegtsss]

Отличный материал, спасибо, интересно было читать. Ковырять самому безопасность протоколов — это творчество. И гораздо интереснее, чем перевод иностранных статей, особенно не адаптированный для чтения другими людьми )

[casterbyte]

Благодарю:3

[BjLomax]

Я для балансировки поднимаю две группы на двух роутерах, а со стороны L3 коммутатора или МСЭ делаю два одинаковых маршрута на оба VIP. В нормальной режиме трафик распределяется на роутеры, а при выключении одного из них съезжаются на оставшийся рабочий.

[casterbyte]

Плавающие статические маршруты?

[KOCTALEM]

Спасибо, статья заставила призадуматься. Заглянул на железки, увидел priority 100, записал в todo.

Небольшая поправка -- чаще вместо "позвоночная" говорят "хребтовая".

[aeangel]

позволяют объединить группу физических маршрутизаторов в один логический

Здесь ошибка, эти протоколы резервируют IP-адрес, а не объединяют или резервируют маршрутизаторы. Механизм в том что несколько маршрутизаторов могут делить один виртуальный адрес(VIP) между собой.

[casterbyte]

Привет, спасибо, что уточнил) так и есть, я согласен. Чутка сыровата теоретическая часть, доработаю

[ildar_vildanovich]

Искал статью с целью бегло ознакомиться с VRRP :))) в итоге залип почти на час, отличный материал!