VRRP est souvent présenté comme un protocole essentiel à la redondance réseau. Si ses faiblesses sont aujourd’hui connues, elles restent cependant trop souvent ignorées lors de son déploiement.
Introduction
VRRP (Virtual Router Redundancy Protocol) est un protocole de niveau 3 du modèle OSI, défini actuellement par la RFC 9568. Il a été conçu par l'IETF pour assurer la haute disponibilité des équipements réseau afin de maintenir l'accès à un service même en cas de panne d'un équipement. Souvent comparé à HSRP, un protocole propriétaire de Cisco, il fonctionne de manière quasi identique [1]. Cet article se focalise sur la sécurité de ce protocole en mettant en lumière les menaces liées à de mauvaises configurations, hélas répandues, puis en décrivant un scénario d’attaque réaliste.
1. Fonctionnement de VRRP
VRRP repose sur un mécanisme de redondance actif/passif. Plusieurs routeurs sont regroupés au sein d’une instance VRRP identifiée par un ID, dans laquelle un seul d’entre eux est élu Master. Ce dernier détient et annonce continuellement l’adresse IP virtuelle appelée communément « VIP ». Les autres…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première