Prsentation de HSRP

Le protocole HSRP (Hot Standby Routing Protocol) est un protocole propritaire de continuit de service implment dans les routeurs Cisco pour la gestion des liens de secours. HSRP sert augmenter la tolrance de panne sur le rseau en crant un routeur virtuel partir de 2 (ou plus) routeurs physiques : un actif et l'autre (ou les autres) en attente (ou standby) en fonction des priorits accordes chacun de ces routeurs. HSRP est un protocole propritaire aux quipements Cisco et il n'est pas activ par dfaut. Les communications HSRP entre les routeurs participant au routeur virtuel se font par l'envoi de paquets Multicast (224.0.0.2) vers le port 1985 des routeurs concerns. Comme nous l'avons dj mentionn dans le bulletin n45, le protocole HSRP utilise pour authentifier les requtes un mot de passe qui transite en clair sur le rseau (mme principe que les noms de communaut SNMP - Simple Network Management Protocol). Au-del de cette faiblesse, il existe aussi un problme dans la gestion des adresses IP par HSRP. En effet, bien que les messages HSPR sont de type Multicast, les paquets de type Unicast sont accepts et traits par HSRP. Les paquets HSRP, ayant pour adresse de destination celle du routeur, seront traits par ce dernier sans contrainte. Ce comportement peut permettre des attaques distance en s'affranchissant des contraintes de scurit lies au trafic Multicast (le trafic Multicast peut tre parfois interdit au niveau de la politique de scurit des routeurs). Ouverture intempestive du port relatif HRSP (port 1985) Il a t constat dans certaines circonstances que sur certaines versions de Cisco IOS (11.2.x, 12.1.x), le port 1985 relatif au protocole HSRP tait ouvert mme si HSRP n'tait pas configur. Ce phnomne peut tre propice l'inondation de ce port jusqu' la saturation des ressources de l'quipement. Pour une scurit plus optimale, Cisco propose d'utiliser IPSec ou un autre protocole : VRRP (Virtual Router Redundancy Protocol). De son ct Cisco a prvu deux types d'amlioration pour son protocole HSRP : - utilisation de mcanisme de hachage de type MD5 afin de scuriser les mots de passe HSRP - vrification plus stricte des adresses IP de destination dans les paquets relatifs HSRP

Fonctionnement de HSRP
HSRP (Hot Standby Routing Protocol) est un protocole propritaire cre par Cisco et trs utilis aujourdhui dans nos LAN. De ce protocole est driv VRRP (Virtual Router Redundancy Protocol), normalis et utilis chez la plupart des autres constructeurs (Nokia, Alcatel) En pratique, HSRP permet quun routeur de secours (ou spare) prenne immdiatement, de faon transparente, le relais ds quun problme physique apparat. En partageant une seule mme adresse IP et MAC, plusieurs routeurs peuvent tre considrs comme un seul routeur Virtuel. Les membres du groupe de ce routeur virtuel sont capables de schanger des messages dtat et des informations. Un routeur physique peut donc tre responsable du routage et un autre en redondance. Si le routeur, que nous appellerons primaire, a un problme, le routeur secondaire prendra sa place automatiquement. Les paquets continueront de transiter de faon transparente car les 2 routeurs partagent les mmes adresses IP et MAC !

Un groupe de routeur va ngocier au sein dun mme groupe HSRP (ou standby group), un routeur primaire (Active router), lu au moyen dune priorit, pour transmettre les paquets envoys au routeur virtuel. Un autre routeur, le routeur secondaire (Standby router), sera lu lui aussi afin de remplacer le routeur primaire en cas de problme. Le secondaire assumera donc la tche de transmettre les paquets la place du primaire en cas de dfaillance. Le processus dlection se droule pendant la mise en place des liens, une fois ce processus termin, seul le routeur primaire (Active) va envoyer des messages multicast en UDP priodiques HSRP aux autres afin de minimiser le trafic rseau. Si ces messages ne sont plus reus par le routeur secondaire (Standby), cest que le routeur primaire un problme et le secondaire devient donc Actif. Llection se fait un peu la manire de spanning-tree, en prenant en compte une priorit. Cette priorit est compose dun paramtre priority compris entre 1 et 255 (255 tant le plus prioritaire) et de ladresse IP de linterface. A priorits statiques gales, la plus haute adresse IP sera lue. Plusieurs groupes HSRP peuvent exister au sein dun mme routeur sans que cela ne pose problme (depuis lIOS 10.3). Seuls les routeurs du mme numro de groupe schangeront les messages HSRP.

Configuration de HSRP
Nous allons prendre comme cas de figure, le schma suivant :

Le PC1 veut envoyer une requte sur Internet. R1 et R2 sont donc capables de router sa demande. Nous allons voir la configuration ncessaire afin que R1 soit le routeur primaire HSRP du groupe numro 1 et que R2 soit le secondaire (standby) en cas de problmes. Les interfaces Serial 0/0 des routeurs sont pour les liens vers Internet et les interfaces FastEthernet 0/0 pour les liens du LAN. NB : Bien sur, cette configuration sapplique galement une interface VLAN. Il faut de toute faon affecter une adresse IP physique relle chacune des interfaces puis configurer le HSRP. Nous choisirons le groupe HSRP Numro 1 et R1 en tant que routeur primaire. Configuration du routeur 1 R1(config)#interface Fastethernet 0/0 R1(config-if)# ip address 192.168.0.2 255.255.255.0 R1(config-if)#standby 1 ip 192.168.0.1 R1(config-if)#standby 1 priority 105 R1(config-if)#standby 1 preempt Le denier paramtre preempt permet dacclrer le processus dlection. Le routeur avec la plus haute priorit sera lu, mme si un nouveau routeur avec une priorit plus haute est ajout. Configuration du routeur 2 R2(config)#interface Fastethernet 0/0 R2(config-if)# ip address 192.168.0.3 255.255.255.0 R2(config-if)#standby 1 ip 192.168.0.1 R2(config-if)#standby 1 preempt La priorit nest pas dfinie ici, en effet par dfaut elle est 100. Donc R1 avec sa priorit 105 sera lu primaire (active) et R2 secondaire (Standby) Les requtes du PC1 seront donc envoyes vers R1 de faon transparente. Si jamais R1 devient inactif, la requte sera redirige alors vers R2 sans aucun changement de configuration.

Le tracking en HSRP
Notre configuration est valide mais quarrive-t-il si le lien du Serial 0/0 du R1 est coup ? Le HSRP restera identique car le routeur lui-mme nest pas tomb ou le lien vers le LAN !! Le paramtre track permet de surveiller une autre interface du routeur et de baisser la priorit HSRP si celle-ci devient down. Le dcrment est, par dfaut, de 10 par interface surveille mais ce nombre peut tre spcifi par la commande suivante : standby [group] track interface [priority] Retour notre configuration, la priorit de R1 est de 105, donc si une interface surveille devient inactive elle sera, par dfaut, rduite de 10. Sa priorit passera donc 95. La priorit HSRP de R2 tant, par dfaut, de 100, R2 deviendra donc actif la place de R1 ! Configuration du tracking Routeur 1 : R1(config-if)#standby 1 track serial 0/0

Le comportement est le mme si on spcifie explicitement la valeur du dcrment (ici 10) : Routeur 1 : R1(config-if)#standby 1 track serial 0/0 10

Bilan de HSRP
Le protocole HSRP est trs rpandu avec du matriel Cisco sur les LAN. Cela permet une souplesse de configuration sur tous les matriels Cisco, y compris Wireless. Dautres options sont utilisables, notamment les groupes multiples HSRP ou le support dans une architecture MPLS-VPN. Vous trouverez plus dinformations cette adresse : http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094a91.shtml Cependant, HSRP prsente quelques failles non ngligeables. En effet, le protocole HSRP utilise pour authentifier les requtes un mot de passe qui transite en clair sur le rseau (mme principe que les noms de communaut SNMP - Simple Network Management Protocol). Au-del de cette faiblesse, il existe aussi un problme dans la gestion des adresses IP par HSRP. En effet, bien que les messages HSPR sont de type Multicast, les paquets de type Unicast sont accepts et traits par HSRP. Cela signifie que les paquets HSRP, ayant pour adresse de destination celle du routeur, seront traits par ce dernier sans contrainte. Ce comportement peut permettre des attaques distance en s'affranchissant des contraintes de scurit lies au trafic Multicast (le trafic Multicast peut tre interdit au niveau de la politique de scurit des routeurs). La solution serait de filtrer le port 1985, relatif au protocole HSRP.