[mission hsrp] 22 décembre 2013

Présentation de HSRP   : Le protocole HSRP (Hot Standby Routing Protocol) est un protocole propriétaire de “continuité de service” implémenté dans les routeurs Cisco pour la gestion des “liens de secours”.HSRP est un protocole propriétaire aux équipements Cisco et il n'est pas activé par défaut.Les communications HSRP entre les routeurs participant au routeur virtuel se font par l'envoi de paquets Multicast (224.0.0.2) vers le port 1985 des routeurs concernés.

HSRP sert à augmenter la tolérance de panne sur le réseau en créant un routeur virtuel à partir de 2 (ou plus) routeurs physiques : un “actif” et l'autre (ou les autres) “en attente” (ou ”standby”) en fonction des priorités accordées à chacun de ces routeurs. Cependant le protocole HSRP utilise pour authentifier les requêtes un mot de passe qui transite en clair sur le réseau (même principe que les noms de communauté SNMP - Simple Network Management Protocol). Au-delà de cette faiblesse, il existe aussi un problème dans la gestion des adresses IP par HSRP.En effet, bien que les messages HSPR soient de type Multicast, les paquets de type Unicast sont acceptés et traités par HSRP. Les paquets HSRP, ayant pour adresse de destination celle du routeur, seront traités par ce dernier sans contrainte. Ce comportement peut permettre des attaques à distance en s'affranchissant des contraintes de sécurité liées au trafic Multicast (le trafic Multicast peut être parfois interdit au niveau de la politique de sécurité des routeurs). Ouverture intempestive du port relatif à HRSP (port 1985)Il a été constaté dans certaines circonstances que sur certaines versions de Cisco IOS (11.2.x, 12.1.x), le port 1985 relatif au protocole HSRP était ouvert même si HSRP n'était pas configuré. Ce phénomène peut être propice à l'inondation de ce port jusqu'à la saturation des ressources de l'équipement. Pour une sécurité plus optimale, Cisco propose d'utiliser IPSec ou un autre protocole : VRRP (Virtual Router Redundancy Protocol). De son côté Cisco a prévu deux types d'amélioration pour son protocole HSRP :- utilisation de mécanisme de hachage de type MD5 afin de sécuriser les mots de passe HSRP- vérification plus stricte des adresses IP de destination dans les paquets relatifs à HSRP

COUDERC – GENIEZ – DELMON - LACROIX | 1

[mission hsrp] 22 décembre 2013

Fonctionnement de HSRP   : En pratique, HSRP permet qu’un routeur de secours (ou spare) prenne immédiatement, de façon transparente, le relais dès qu’un problème physique apparaît. En partageant une seule même adresse IP et MAC, plusieurs routeurs peuvent être considérés comme un seul routeur “Virtuel”. Les membres du groupe de ce routeur virtuel sont capables de s’échanger des messages d’état et des informations. Un routeur physique peut donc être “responsable” du routage et un autre en redondance. Si le routeur, que nous appellerons primaire, a un problème, le routeur secondaire prendra sa place automatiquement. Les paquets continueront de transiter de façon transparente car les 2 routeurs partagent les mêmes adresses IP et MAC ! Un groupe de routeur va négocier au sein d’un même groupe HSRP (ou standby group), un routeur primaire (Active router), élu au moyen d’une priorité, pour transmettre les paquets envoyés au routeur virtuel. Un autre routeur, le routeur secondaire (Standby router), sera élu lui aussi afin de remplacer le routeur primaire en cas de problème. Le secondaire assumera donc la tâche de transmettre les paquets à la place du primaire en cas de défaillance. Le processus d’élection se déroule pendant la mise en place des liens, une fois ce processus terminé, seul le routeur primaire (Active) va envoyer des messages multicast en UDP périodiques HSRP aux autres afin de minimiser le trafic réseau. Si ces messages ne sont plus reçus par le routeur secondaire (Standby), c’est que le routeur primaire à un problème et le secondaire devient donc Actif. L’élection se fait un peu à la manière de spanning-tree, en prenant en compte une priorité. Cette priorité est composée d’un paramètre “priority” compris entre 1 et 255 (255 étant le plus prioritaire) et de l’adresse IP de l’interface. A priorités statiques égales, la plus haute adresse IP sera élue. Plusieurs groupes HSRP peuvent exister au sein d’un même routeur sans que cela ne pose problème (depuis l’IOS 10.3). Seuls les routeurs du même numéro de groupe s’échangeront les messages HSRP.

HSRP et VRRP fonctionnent sur le principe actif/passif, c'est-à-dire que les routeurs ne fonctionnent pas simultanément.

COUDERC – GENIEZ – DELMON - LACROIX | 2

[mission hsrp] 22 décembre 2013

Schéma de fonctionnement :

GLBP (Gateway Load Balancing Protocol) fait approximativement la même chose, avec en plus la répartition de charge.

HSRP : Propriétaire Cisco, créé en 1994, Active/Standby Failover VRRP : Créé par l’IETF en 1999 (donc compatible multi vendeurs), identique à HSRP (toutefois

VRRP utilise des timers plus petit par défaut le rendant plus rapide) GLBP : Propriétaire Cisco, créé en 2005, permets le failover Active/Active pour faire du load-

balancing.

COUDERC – GENIEZ – DELMON - LACROIX | 3

[mission hsrp] 22 décembre 2013

HSRP et VRRP font sensiblement la même chose, s’il existe les deux aujourd’hui, c’est en partie du au fait que HSRP a été créé avant VRRP, et que Cisco, tout en implémentant VRRP, ont gardé HSRP. Si vous êtes uniquement Cisco, vous pouvez utiliser HSRP, sinon, VRRP vous permettras d’avoir de la redondance entre équipements de divers fabricants. Un des avantages de HSRP cependant est de pouvoir tracker simplement une interface sans avoir à créer un objet de tracking.

GLBP est une bonne solution, puisque la configuration est aussi aisée que HSRP et VRRP, cependant il permet de faire du load balancing entre les clients d’un LAN, ce qui évite d’avoir un routeur inactif

COUDERC – GENIEZ – DELMON - LACROIX | 4

[mission hsrp] 22 décembre 2013

Présentation de HSRP Le protocole HSRP (Hot Standby Routing Protocol) est un protocole propriétaire de “continuité de service” implémenté dans les routeurs Cisco pour la gestion des “liens de secours”.HSRP est un protocole propriétaire aux équipements Cisco et il n'est pas activé par défaut.Les communications HSRP entre les routeurs participant au routeur virtuel se font par l'envoi de paquets Multicast (224.0.0.2) vers le port 1985 des routeurs concernés.

HSRP sert à augmenter la tolérance de panne sur le réseau en créant un routeur virtuel à partir de 2 (ou plus) routeurs physiques : un “actif” et l'autre (ou les autres) “en attente” (ou ”standby”) en fonction des priorités accordées à chacun de ces routeurs. Cependant le protocole HSRP utilise pour authentifier les requêtes un mot de passe qui transite en clair sur le réseau (même principe que les noms de communauté SNMP - Simple Network Management Protocol). Au-delà de cette faiblesse, il existe aussi un problème dans la gestion des adresses IP par HSRP.En effet, bien que les messages HSPR soient de type Multicast, les paquets de type Unicast sont acceptés et traités par HSRP. Les paquets HSRP, ayant pour adresse de destination celle du routeur, seront traités par ce dernier sans contrainte. Ce comportement peut permettre des attaques à distance en s'affranchissant des contraintes de sécurité liées au trafic Multicast (le trafic Multicast peut être parfois interdit au niveau de la politique de sécurité des routeurs). Ouverture intempestive du port relatif à HRSP (port 1985)Il a été constaté dans certaines circonstances que sur certaines versions de Cisco IOS (11.2.x, 12.1.x), le port 1985 relatif au protocole HSRP était ouvert même si HSRP n'était pas configuré. Ce phénomène peut être propice à l'inondation de ce port jusqu'à la saturation des ressources de l'équipement. Pour une sécurité plus optimale, Cisco propose d'utiliser IPSec ou un autre protocole : VRRP (Virtual Router Redundancy Protocol). De son côté Cisco a prévu deux types d'amélioration pour son protocole HSRP :- Utilisation de mécanisme de hachage de type MD5 afin de sécuriser les mots de passe HSRP- Vérification plus stricte des adresses IP de destination dans les paquets relatifs à HSRP

COUDERC – GENIEZ – DELMON - LACROIX | 5