Günümüz internet dünyasında ve kurumların iç ağ altyapılarında iletişiminin kesintisiz bir şekilde devam etmesi büyük önem taşımaktadır. Özellikle internet uygulamaları, ses ve video iletişimi kullanımı iletişimin kesilmemesini zaruri kılmaktadır. Bunun için ağ altyapılarında kullanılan bütün aktif cihazların yedekli olarak çalıştırılması böylece cihazlardan birinin servis dışı kalması durumunda dahi gruptaki diğer cihazın yükü alarak iletişimin kesintisiz sürmesi hedeflenmektedir. Kurum içi ağ altyapıları açısından olaya bakıldığında, ağın merkezinde 3.katmanda çalışan bir cihazın çalışamaz hale gelmesi halinde buna alternatif olarak çalışıp iletişimi kesintisiz bir şekilde devam ettirecek yedek bir cihazın varlığı gerekir.
HSRP (Hot Standby Router Protocol) aynı işi yapan birden fazla yönlendiricinin veya 3.katman ağ cihazıının son kullanıcılara bir tek ağ geçidi gibi görünmesini sağlayarak yedeklilik yapısı sağlayan Cisco’ya özgü bir protokoldür. Aynı gruptaki yönlendiricilerden bir tanesi aktif olarak yönlendirme işlemini yürütürken grubun diğer üyesi yedek olarak "standby" konumunda, aktif yönlendiriciyi takip ederek herhangi bir terslik durumunda yerine geçmek için yedekte beklemektedir.  Protokol gereği cihazlar her 3 sn’de bir birbirlerine "hello"paketi gönderir. Yedek durumda olan cihaz, aktif cihazdan 10sn. içinde hiç hello paketi alamazsa kendini ağda "Active Router" olarak ilan ederek iletişimi devralır. Bundan sonra ilk durumda aktif olan cihaz yedek duruma geçer. Yapılandırma için iki cihazında üyesi olduğu ortak bir grup numarası belirlendikten sonra sanal ağ geçidi için sanal bir MAC adresi oluşturulur. Ağ kullanıcıları için sanal ağ geçidi IP adresi belirlenir. Burada asıl amaç kullanıcıların ağ geçidi olarak bu sanal IP adresini baz alması ve herhangi bir arıza veya aktif-yedek geçişlerinde arka tarafta çalışan yapının durumundan bağımsız hareket etmesini sağlamaktır. İki cihazdan hangisinin aktif hangisinin yedek olacağını ise "priority" olarak bilinen değer belirler. Varsayılanda bu değer 100 olduğu için, aktif olması istenen cihaza 100’den büyük bir değer girmek yeterlidir (0-255 arasında herhangi bir değer atanabilir). Bu değer iki cihazda  da aynıysa o zaman IP adresi büyük olan cihaz aktif olarak görev yapacaktır.
HSRP grubu üyeleri birbirleri ile 224.0.0.2 multicast IP adresi ve UDP 1985 portu üzerinden haberleşirler ve varsayılanda kimlik doğrulama şifrelenmemiş şekilde yapılır. Bu durum ağda yer alan herhangi bir cihazın sadece paketleri dinleyerek yapı hakkında bilgi sahibi olmasını ve bunu baz alarak saldırı yapabilme imkanını doğurur.

Şekilde belirtildiği üzere kendini bu gruba ait gösteren saldırgan belirtilen multicast IP adresine daha yüksek önceliklendirme değeri ile paketler göndererek aktif yönlendirici rolünü devralıp araya girebileceği gibi cihazın işlemci kullanımını %100'e vurdurarak sistemi servis veremez hale de getirebilir. Wireshark gibi bir paket dinleme aracı ile HSRP grubunun kullandığı şifrelenmemiş kimlik doğrulama parolası görülebilir. Görüldüğü üzere veri açık metin halinde iletilmektedir.
HSRP gibi bir yedeklilik protokolünün çalınması 2.katmanda yer alan bütün güvenlik korumalarınıda etkisiz bırakacaktır. Scapy gibi bir paket üreteci ya da ağ saldırıları için özelleşmiş Yersinia veya Loki araçları ile bu tip bir saldırı gerçekleştirilebilir. Scapy üzerinden örnek vermek gerekirse aşağıdaki gibi bir paketin üretilmesi ile ağda aktif yönlendirici rolü çalınabilir.

Linux# scapy
Welcome to Scapy (2.0.0.10 beta)
>>> ip = IP(src='192.168.40.128', dst='224.0.0.2')
>>> udp = UDP()
>>> hsrp = HSRP(group=1, priority=255, virtualIP='192.168.40.1')
>>> send(ip/udp/hsrp, iface='eth1', inter=3, loop=1)

Saldırı sonucunda mevcut ağ cihazlarının durumundaki değişim cihaz konsolundan görüldüğü üzere şu şekildedir.

%HSRP-5-STATECHANGE: FastEthernet0/0 Grp 1 state Active -> Speak
%HSRP-5-STATECHANGE: FastEthernet0/0 Grp 1 state Speak -> Standby

Bu ağ üzerindeki bütün paketler artık saldırganın üzerinden geçmekte ve bu durum saldırgana paketlere istediği gibi müdahale etme şansı vermektedir. İç ağ sızma testlerinde böyle bir saldırının kullanılması için son şekliyle yönlendirmeler doğru şekilde yapılmalı ve saldırıyı yapan makinenin ağ trafiğini kaldırabilecek güçlülükte olmasına dikkat edilmelidir.

Çözüm:

• Yetkilendirme: HSRP ilişkisini gerçekleyecek bütün cihazlar için yetkilendirme gerçekleştirilmeli, böylelikle yetkisiz birinin gruba dahil olması engellenmelidir. Aşağıdaki gibi MD5 ile özetlenmiş “key-string”lerle yapılan bir yapılandırma örneği yetkilendirme için kullanılabilir.
  

interface FastEthernet1/0
ip address 192.168.40.2 255.255.255.0
duplex auto
speed auto
standby 1 ip 192.168.40.1
standby 1 preempt
standby 1 authentication md5 key-string HSRP_PAROLA

Böylece gönderilen paketler gözardı edilebilir, düşürülebilir.

*Mar  1 02:11:14.650: %HSRP-4-BADAUTH: Bad authentication from 192.168.40.128, group 1, remote state Speak

• Gelen HSRP trafiğini sınırlandırmak için erişim kontrol listeleri kullanılabilir.
  
• Gruba dahil olacak cihazlar arasında IPSEC tünel kurularak HSRP paketlerinin bu tünelden geçmesi sağlanabilir.
  
• HSRP yerine AH(Authentication Header) içeren VRRP protokolü kullanılabilir.
  

Referanslar:

[1] Hacking Exposed Cisco Networks: Cisco Security Secrets & Solutions
[2] http://isc.sans.edu/diary.html?storyid=10120