Tweet
🔥 HSRP Authentication – Bảo vệ Gateway Ảo khỏi Rogue Router
Anh em kỹ sư mạng chắc hẳn đều quen thuộc với HSRP – giao thức giúp tạo cổng mặc định ảo để tăng tính sẵn sàng cho hệ thống. Nhưng có một rủi ro ít ai để ý: nếu kẻ tấn công chèn một router giả mạo vào HSRP group và tự nhận mình là Active Router, toàn bộ traffic từ host có thể bị chặn (DoS) hoặc bị “chuyển hướng” qua thiết bị của attacker (Man-in-the-Middle). Đây chính là lý do HSRP authentication trở nên cực kỳ quan trọng.
🔑 Các cơ chế xác thực trong HSRP
Cisco hỗ trợ hai loại xác thực để đảm bảo chỉ những router hợp lệ mới có thể tham gia vào HSRP group:
👉 Trong thực tế, MD5 với key-chain là lựa chọn an toàn và chuyên nghiệp nhất.
🔄 HSRP Versions – Version 1 và Version 2
Bên cạnh authentication, anh em cũng cần nắm rõ sự khác biệt giữa HSRPv1 và HSRPv2:
✅ Tóm lại:
📌 Câu hỏi ôn tập (Review Question)
Trên Cisco router, có mấy loại HSRP authentication được hỗ trợ?
(Chọn 2 đáp án đúng)
👉 Đáp án: B và D
Anh em kỹ sư mạng chắc hẳn đều quen thuộc với HSRP – giao thức giúp tạo cổng mặc định ảo để tăng tính sẵn sàng cho hệ thống. Nhưng có một rủi ro ít ai để ý: nếu kẻ tấn công chèn một router giả mạo vào HSRP group và tự nhận mình là Active Router, toàn bộ traffic từ host có thể bị chặn (DoS) hoặc bị “chuyển hướng” qua thiết bị của attacker (Man-in-the-Middle). Đây chính là lý do HSRP authentication trở nên cực kỳ quan trọng.
🔑 Các cơ chế xác thực trong HSRP
Cisco hỗ trợ hai loại xác thực để đảm bảo chỉ những router hợp lệ mới có thể tham gia vào HSRP group:
- Plaintext authentication (chuỗi ký tự rõ)
- Cấu hình đơn giản:
Switch(config-if)# standby 1 authentication vnpro123 - Nhược điểm: chuỗi xác thực chỉ tối đa 8 ký tự, lại truyền dạng cleartext nên rất dễ bị sniff khi attacker chạy Wireshark.
👉 Vì lý do bảo mật, cơ chế này không khuyến khích sử dụng trong môi trường production.
- Cấu hình đơn giản:
- MD5 authentication (khuyến nghị)
- Sử dụng hàm băm MD5 trên nội dung HSRP message + key để sinh ra hash.
- Router nhận sẽ kiểm tra hash có khớp hay không → nếu khớp thì chấp nhận.
- Ưu điểm: attacker rất khó đảo ngược được hash để lấy key.
- Cấu hình trực tiếp bằng key-string:
Switch(config-if)# standby 1 authentication md5 key-string VerySecretPassword55 - Hoặc sử dụng Key Chain (linh hoạt hơn, hỗ trợ nhiều key với thời gian hiệu lực khác nhau):
Switch(config)# key chain HSRP-KEYS Switch(config-keychain)# key 1 Switch(config-keychain-key)# key-string vnproKey2025 Switch(config)# interface g0/1 Switch(config-if)# standby 1 authentication md5 key-chain HSRP-KEYS
👉 Trong thực tế, MD5 với key-chain là lựa chọn an toàn và chuyên nghiệp nhất.
🔄 HSRP Versions – Version 1 và Version 2
Bên cạnh authentication, anh em cũng cần nắm rõ sự khác biệt giữa HSRPv1 và HSRPv2:
- HSRPv1 (mặc định)
- Hỗ trợ IPv4.
- Group ID: 0–255.
- Virtual MAC: 0000.0C07.ACXX.
- Multicast hello: 224.0.0.2.
- HSRPv2
- Hỗ trợ cả IPv4 và IPv6.
- Group ID: 0–4095 (tức có thể mapping thẳng VLAN ID làm group ID).
- Virtual MAC: 0000.0C9F.FXXX.
- Multicast hello: 224.0.0.102.
- Packet format có thêm identifier field (6-byte) → dễ troubleshoot hơn.
- Cấu hình:
Switch(config-if)# standby 10 version 2 - Lưu ý: HSRPv1 và v2 không tương thích → tất cả router trong cùng một HSRP group phải chạy cùng version.
✅ Tóm lại:
- Luôn bật HSRP authentication bằng MD5 để ngăn rogue router.
- Trong hệ thống mới, dùng HSRPv2 thay vì v1, đặc biệt khi cần hỗ trợ IPv6 hoặc nhiều VLAN.
📌 Câu hỏi ôn tập (Review Question)
Trên Cisco router, có mấy loại HSRP authentication được hỗ trợ?
(Chọn 2 đáp án đúng)
- A. SHA-256
- B. Plaintext
- C. SHA-1
- D. MD5
- E. RSA
👉 Đáp án: B và D
Attached Files