VRRP應用風險研究

◆張 儼

?

VRRP應用風險研究

◆張 儼

（荊州市中心醫院 湖北 434020）

VRRP是常用冗余協議，無需在客戶主機上運行特殊的路由協議就能夠實現設備級的備份功能。本文研究VRRP協議在實際應用中的安全隱患和風險規避措施，并結合某實際網絡分析和驗證了此安全漏洞，為特定網絡拓撲結構下健全網絡信息傳輸做了初步探討。

VRRP；網關；數據截取

0 引言

VRRP[1]是目前最常用的冗余路由協議[2]之一，由于其部署方便和配置簡易，在企業網、校園網、政府專線等都有廣泛而成熟的應用[3][4][5]。討論其應用的論文很多，認為該協議可以通過設備和鏈路冗余增加網絡的穩定性，但專門討論由于其網絡拓撲的特殊結構和協議在配置上的疏忽帶來安全風險的論文并不多[6][7]。本文就VRRP協議在某特殊場景中使用的風險進行初步探討。

1 應用場景描述

VRRP由于其可以迅速的在多個核心設備之間進行業務切換，且無需接入設備運行特殊路由協議，在資金較為充裕，且對網絡質量有一定要求的場景下廣泛使用，如大型商場，火車站候車廳，商務賓館等，在一個較大的區域內實現無線寬帶覆蓋，同時提供一定數量的固網接口，這時固網接口和AP置于同一二層網絡內。常常采用如圖1所示的拓撲結構，即由兩臺具備路由功能的三層交換設備作為業務核心，并使用不同上行鏈路（往往是多個運營商）接入Internet，采用雙歸形式連接認證服務器、DHCP server等控制、管理、應用服務器群，再通過二層交換機作為匯聚層，在接入層部署AP。用戶上網前可以動態獲取IP地址，其網關直接指向核心層的VRRP地址。

在這種網絡結構中，匯聚層經由核心層到達出口采用多個鏈路冗余，網絡正常時，流量根據所用策略分布在不同設備上，實行負載分擔，但如果出現單點異常，如設備斷電或掉線，另外一個設備或鏈路可以迅速切換，承擔全部流量，保證業務整體不中斷。

2 上網認證過程和業務流向分析

當用戶終端如手機電腦等連接到網絡中后，往往需要經過獲取地址、網頁認證后才能進行網絡訪問，本節就其過程和業務流向進行介紹。

2.1 用戶認證過程

用戶主機獲得地址后，一般還需要網頁認證才能正常訪問，這種認證的往往只需要在匯聚交換機旁掛或串接的寬帶接入服務器（BAS）上實現，具體實現方法就是當用戶使用瀏覽器訪問網頁時，先將網頁內容重定向到認證服務器上，這時用戶打開的是一個允許輸入用戶名和密碼的網頁，只有在這個網頁上輸入了正確的用戶名和密碼，才能繼續通過匯聚交換機訪問Internet，如圖2所示。在這個過程中，偽造portal服務器是比較困難的，但大多數信息泄露都是從截獲用戶終端設備到網關交互認證網頁開始的。

圖2用戶認證

2.2用戶上網過程

在圖1所示的拓撲和圖2所示的IP地址分配過程中，用戶所獲得的網關地址實際上是兩臺核心交換機所共同使用的虛擬地址，這兩臺設備之間的虛擬協議是VRRP。用戶業務的流向基本如圖3所示。在這個過程中，如果VRRP部署不恰當，也有可能形成雙主用設備的情況，引起流量損失[6]。

3 VRRP實現機制和風險探討

VRRP工作基本思路是將網絡中并行的多臺設備配置有相同的虛擬地址，經過協商分為主用和備份設備，只有主用設備的虛擬地址生效，當備份設備檢測不到主設備工作時，自動切換為主設備，其虛地址生效。虛地址作為用戶終端的網關，這樣用戶終端并不需要實際感知哪臺設備是主用設備，只需要和這個虛擬網關通信即可。而數據返回時，可以從主用設備和備份設備的真實地址或虛擬地址返回。

如果主用設備感知到網絡有所變化，可以降低VRRP的優先級，使得備份設備也可以迅速切換為新的主用設備，這是VRRP與端口狀態或IP協議采用BFD/IP SLA聯動的基礎思想[7][8]。反過來說，如果主用設備收到了一個更高優先級的VRRP報文，同樣可能會自己“降級”為備份設備。

從上述分析來看，如果我們在運行了VRRP網段中插入一臺具備同樣可以協商VRRP的新設備，使其具備更高的優先級，可以將現有的主用設備“驅趕”為備份設備，虛擬的網關IP地址則會落于這臺新增的設備。另一方面，我們可以通過原有的設備的真實IP地址作為轉發用戶數據的通道。這就形成了網絡中漏洞，用戶幾乎無法感知這個新增設備的存在，而發向網絡的數據不得不經過這個新增設備。很容易在這個新增設備上截取數據包，從而可以分析出用戶當前行為。

4 VRRP漏洞的驗證

為了驗證，我們找了一家星級賓館，在酒店中需要在前臺登記，使用本人的姓名縮寫和預設密碼上網，我們將筆記本電腦接在某房間網口上，另一個朋友在其它房間使用手機wifi上網。

首先，我們在筆記本電腦上通過IP地址掃描找到賓館的網關設備的真實IP地址，驗證了直接使用該地址可以進行數據轉發，通過VRRP虛擬的網關IP地址分析出VID號，然后在電腦上運行軟件仿真一臺路由器，路由器的接口與電腦的eth口成為橋接狀態，虛擬路由器上配置IP地址、VRRP協議，如我們所料，仿真的路由器與賓館真實的網關設備協商后，VRRP的主用設備移到了電腦仿真的虛擬路由器上，再將路由器的缺省路由配置指向其中一臺真實設備IP地址，原有其它房間可以上網的用戶并沒有感知到這次網關的遷移，仍然可以繼續上網。

其后，我們在筆記本電腦上運行抓包軟件，分析流經電腦eth口的數據流量，找到了手機wifi認證網頁的數據包，且在報文內可以直接查看明文的用戶名密碼，如圖4所示。

圖4截獲數據包分析

這樣，我們就驗證了該網絡中VRRP漏洞是真實存在的，且可以輕易被一些具有少量網絡知識的“偽黑客”所利用。

5 VRRP漏洞風險的防范辦法

5.1通過VRRP協商過程防范

只需要在接入交換機處隔離掉VRRP協商的組播數據包，這樣用戶就不可能偽造一個“主用設備”來作為其它用戶的網關。這一點，無線AP就做得很好，直接拒絕所有組播地址傳輸，使得VRRP協議協商失敗。這也是我們在上述實驗中，不能使用筆記本無線網卡作為仿真路由器接口的原因。

5.2通過用戶隔離來防范

接入層交換機往往不能配置上述組播過濾功能，但可以配置端口隔離，只需要將所有用戶接口設置到同一隔離組中，其接口數據只能通過與匯聚層交換機接口轉發，而不會影響到其它用戶，從根源上杜絕了偽造網關的可能，但這樣也有可能造成其它用戶無法正常上網（因為其它用戶無法訪問到虛擬網關）。

5.3VRRP協議加密

如果真實網關設備在VRRP協商的過程中，配置一串密碼，使得不具備此密碼的虛擬路由器無法和真實路由器進行協商，那么可以降低被冒用的風險，同時在這一廣播域內，會形成兩個相同地址，都可以被用戶主機所學到（相同IP、相同MAC），無法區分，而接入層的交換機也出現大量的MAC漂移，因此這只是一種消極的應對措施，但可以配合前種方法來有效規避網關冒用。

5.4屏蔽核心交換機真實地址的轉發功能

可以通過限制核心交換機，防止其使用真實地址進行轉發，這樣即使出現了冒用，所有用戶都無法進行網絡訪問（包括偽裝成網關地址的黑客主機），從根源上堵塞了這一可能造成信息泄露的漏洞。該限制功能一般可以通過配置具備二層控制的訪問列表來實現。

6 結論

本文介紹了VRRP協議在網絡中的使用，通過分析網絡結構，提出某一可能造成信息泄露的風險，并實際驗證其漏洞的存在。通過技術分析，探討出在不修改網絡實際拓撲連接情況下，僅通過增加網絡設備的配置用以防止該漏洞造成信息泄露的多種方法，具有較強的實用價值，在賓館、校園、交通樞紐、政企辦公等場合都可以得到推廣應用，增強網絡的安全性。

[1]S.Nadas,Bucknell University, Virtual Router Redundancy Protocol (VRRP) Version 3 for IPv4 and IPv6, RFC 5798,http://www.ietf.org/rfc/rfc5798.txt.

[2]N.H.Bhagat, Virtual Router Redundancy Protocol-A Best Open Standard Protocol in Maintaining Redundancy[C]. International Conference on Web Services Computing(ICW- SC)，2011.

[3]羅定福, 陳永松.VRRP多備份組的設計與實現[J]. 齊齊哈爾大學學報：自然科學版，2012.

[4]王東.VRRP協議實現園區網絡的路由冗余和負載均衡[J]. 重慶科技學院學報（自然科學版），2010.

[5]張志成，鄒仁明，張曉泉，朱駿君.基于冗余架構的校園網多出口系統的設計與實現[J].計算機科學，2012.

[6]陶愛生.VRRP技術在網絡安全優化中的運用[C]. 中國通信學會信息通信網絡技術委員會年會，2015.

[7]馬海平.VRRP協議的應用及優化研究[D]. 南京理工大學，2010.

[8]王麗娜，侯健敏，劉炎，張赟，樊超.SLA和VRRP的多出口校園網可靠性實驗設計[J].實驗室研究與探索，2016.