PROTOCOLOS TCP Y UDP VULNERABILIDADES Y

SEGURIDAD

JOSE ALIRIO BARRAGAN SANCHEZPEDRO JULIO GOMEZ

Protocolo UDPUDP acrónimo de User Datagram Protocol (Protocolo de Datagramas de Usuario).

UDP es un protocolo que permite el envío de datagramas a través de la red sin que se haya establecido previamente una conexión, ya que el propio datagrama incorpora suficiente información de direccionamiento en su cabecera. Tampoco tiene confirmación, ni control de flujo, por lo que los paquetes pueden adelantarse unos a otros; y tampoco sabemos si ha llegado correctamente, ya que no hay confirmación de entrega o de recepción.

Formato del Datagrama UDP

Donde:Puerto de origen Indica el puerto del proceso que envía. Este es el puerto que se direcciona en las respuestas. Puerto destino Especifica el puerto del proceso destino en el host de destino. Longitud Es el tamaño (en bytes) de este datagrama de usuario incluyendo la cabecera. Suma de comprobación (checksum) Es un campo opcional de 16 bits en complemento a uno de la suma en complemento a uno de una cabecera pseudo-IP, la cabecera UDP y los datos UDP. La cabecera pseudo-IP extiende efectivamente la suma de comprobación para incluir el datagrama IP original (defragmentado).

Estándares que utilizan UDP

Protocolo de Transferencia de Ficheros Trivial (TFTP)

Sistema de Nombres de Dominio (DNS) servidor de nombres

Llamada a Procedimiento Remoto (RPC), usado por el Sistema de Ficheros en Red (NFS)

Sistema de Computación de Redes (NCS) Protocolo de Gestión Simple de Redes (SNMP)

Protocolo TCP TCP son las siglas de Protocolo de Control de (en inglés Transmission Control Protocol/), un sistema de protocolo que hacen posibles servicios Telnet, FTP, E-mail, y otros entre ordenadores que no pertenecen a la misma red.

El Protocolo de Control de Transmisión (TCP) permite a dos anfitriones establecer una conexión e intercambiar datos. El TCP garantiza la entrega de datos, es decir, que los datos no se pierdan durante la transmisión y también garantiza que los paquetes sean entregados en el mismo orden en el cual fueron enviados.Los Protocolos de Aplicación como HTTP, SMTP, FTP, NNTP e IRC se basan y utilizan TCP.

CARACTERISTICAS TCPTCP (que significa Protocolo de Control de Transmisión) es uno de los principales protocolos de la capa de transporte del modelo TCP/IP.TCP es un protocolo orientado a conexión, es decir, que permite que dos máquinas que están comunicadas controlen el estado de la transmisión.

CARACTERISTICASTCP permite colocar los datagramas nuevamente en orden cuando vienen del protocolo IP.TCP permite que el monitoreo del flujo de los datos y así evita la saturación de la red.TCP permite que los datos se formen en segmentos de longitud variada para "entregarlos" al protocolo IP.TCP permite multiplexar los datos, es decir, que la información que viene de diferentes fuentes (por ejemplo, aplicaciones) en la misma línea pueda circular simultáneamente.Por último, TCP permite comenzar y finalizar la comunicación amablemente.

El formato de los datos en TCP

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Puerto de origen Puerto de destino

Número de secuencia

Número de acuse de recibo

Margende datos

ReservadoURGACKPSHRSTSYNFIN

Ventana

Suma de control Puntero urgente

Opciones Relleno

Datos

Significado de los camposPuerto de origen (16 bits): Puerto relacionado con la aplicación en curso en la máquina origenPuerto de destino (16 bits): Puerto relacionado con la aplicación en curso en la máquina destinoNúmero de secuencia (32 bits): Cuando el indicador SYN está fijado en 0, el número de secuencia es el de la primera palabra del segmento actual.Cuando SYN está fijado en 1, el número de secuencia es igual al número de secuencia inicial utilizado para sincronizar los números de secuencia (ISN).Número de acuse de recibo (32 bits): El número de acuse de recibo, también llamado número de descargo se relaciona con el número (secuencia) del último segmento esperado y no el número del último segmento recibido.Margen de datos (4 bits): Esto permite ubicar el inicio de los datos en el paquete. Aquí, el margen es fundamental porque el campo opción es de tamaño variable.Reservado (6 bits): Un campo que actualmente no está en uso pero se proporciona para el uso futuro.Indicadores (6x1 bit): Los indicadores representan información adicional:

URG: Si este indicador está fijado en 1, el paquete se debe procesar en forma urgente.ACK: Si este indicador está fijado en 1, el paquete es un acuse de recibo.PSH (PUSH): Si este indicador está fijado en 1, el paquete opera de acuerdo con el método PUSH.RST: Si este indicador está fijado en 1, se restablece la conexión.SYN: El indicador SYN de TCP indica un pedido para establecer una conexión.FIN: Si este indicador está fijado en 1, se interrumpe la conexión.

Ventana (16 bits): Campo que permite saber la cantidad de bytes que el receptor desea recibir sin acuse de recibo.Suma de control (CRC): La suma de control se realiza tomando la suma del campo de datos del encabezado para poder verificar la integridad del encabezado.Puntero urgente (16 bits): Indica el número de secuencia después del cual la información se torna urgente.Opciones (tamaño variable): Diversas opcionesRelleno: Espacio restante después de que las opciones se rellenan con ceros para tener una longitud que sea múltiplo de 32 bits.

Vulnerabilidades y ataques UDPUna es el rastreo de puertos UDP abiertos:Aunque el protocolo UDP no está orientado a la conexión, es posible realizar un escaneo. No tiene un paquete SYN como el protocolo TCP, sin embargo si un paquete se envía a un puerto que no está abierto, responde con un mensaje ICMP Port Unreachable. La mayoría de los escáners de puertos UDP usan este método, e infieren que si no hay respuesta, el puerto está abierto. Pero en el caso que esté filtrado por un firewall, este método dará una información errónea.Una opción es enviar paquetes UDP de una aplicación específica, para generar una respuesta de la capa de aplicación. Por ejemplo enviar una consulta DNS el resultado será un servidor DNS con su cache repleta de resoluciones incorrectas.

Posible solución Vulnerabilidades UDPLos efectos para el usuario pueden ser desastrosos, pues, en cierta manera, se crea un problema de seguridad similar al phishing (se redirige al usuario a páginas que no son las verdaderas).El fallo afecta a multitud de sistemas y varias empresas han lazando parches desde entonces para intentar solucionar el problema (Microsoft, Sun, Cisco, Red Hat, Debian, Apple.. ) aunque según parece no han tenido el efecto esperado y la vulnerabilidad sigue estando presente en los servidores que han sido parcheados.A pesar de la primera oleada de parches parece que todavía se está intentando encontrar una solución duradera (que no pase por redefinir el funcionamiento de las DNS) y de todas maneras, muchos servidores todavía no han aplicado los parches ya existentes, con el consiguiente riesgo para los usuarios.

Vulnerabilidades y ataques Protocolo TCP

Básicamente la vulnerabilidades delicadas TCP están en el manejo de sus banderas (Flags) y en la apertura de los puertos que usan las aplicaciones los cuales pueden ser escaneados con software fácil de adquirir en la red.Objetivos primarios del Scanning:1. Detectar sistemas “vivos” o activos que están

corriendo en la red.2. Descubrir cuales puertos están activos o abiertos para

saber por dónde entrar.3. Descubrir el OS y su versión para buscar

vulnerabilidades especificas.4. Descubrir qué tipo de servicios o aplicaciones está

corriendo en el sistema para buscar vulnerabilidades específicas de esa aplicación y poder tener acceso al sistema.

5. Descubrir direcciones IP del sistema objetivo (target).

Existen tres tipos de Escaneo

Escaneo de Puertos – es verificar los servicios o aplicaciones que están corriendo en el sistema objetivo o victima por el envió de una secuencia de mensajes para intentar penetrar en los puertos.Escaneo de red (network) – es el procedimiento de identificar hosts (computadoras) activos en una red para atacarlos (en el caso de un Hacker o Cracker) o para realizar tareas de seguridad (en el caso de un administrador de redes). Los Host son identificados por su dirección IP individual.Escaneo de Vulnerabilidades – es el método usado para detectar vulnerabilidades en los sistemas y redes, es usado para saber si un sistema puede ser “explotado”.

Otras formas de ataque TCP es por sus Flags

Las mas usadas sonel Half-Open y escaneo Inerte.Escaneo Half-Open (media abierta) Muchos Hackers, para evitar ser detectados usan esta técnica de escaneo, se le llama así porque el atacante no abre o establece una conexión TCP completa o Full-Open. Esta técnica es parecida a la Full-Open, con la diferencia de que al final en vez de enviar un paquete con una bandera ACK se envía un paquete con un RST para terminar la conexión. Esta técnica es registrada por muy pocos sitios, pero los IDS y Firewalls sofisticados son capaces de detectar esta técnica. Además necesitas tener privilegios de “root” para poder usar esta técnica de escaneo.

Otras formas de ataque TCP es por sus Flags

Escaneo IDLE (inerte, inactivo) El escaneo Idle es el favorito de los Hackers y Crackers, también conocido como escaneo “invisible” o “zombie”. Esta técnica relativamente nueva fue inventada hace aproximadamente 4 años por el investigador de seguridad Antirez. Esta técnica permite un escaneo a los puertos completamente invisible, el atacante puede escanear a su objetivo sin enviar un solo paquete que pueda revelar la dirección IP del atacante.

Herramientas para Network Scanning

Nmap (Network mapper) Nmap es una utilidad gratis de código abierto para la exploración y escaneo de redes, es la favorita de los Hackers y profesionales de seguridad. HPING2 http://www.hping.org/ Escáner para Linux, Solaris y Mac OS X, sus características son: Firewall testing, escáner avanzado de puertos, Network testing usando diferentes protocolos, trazador de rutas avanzado, detección de OS, remote uptime guessing, audición de TCP/IP stacks, entre otras cosas.

Herramientas para Network Scanning

WUPS UDP Scanner http://ntsecurity.nu/toolbox/wups/ Es un simple pero efectivo escáner del protocolo UDP, es para Windows y viene con interface gráfica. Está disponible para todas las versiones de Windows excepto Vista.Bidiblah Escáner Automatizado http://www.sensepost.com/ Bidiblah te permite hacer de manera automatizada Footprinting, enumeración de DNS, detectar OS, escanear puertos y detectar vulnerabilidades, todo en un mismo programa.

CONTRAMEDIDAS Su Firewall debe ser lo suficientemente bueno como para

detectar pruebas de escaneo de un atacante. Su Firewall debe realizar inspecciones confiables teniendo un conjunto especifico de reglas (rule set)

Se deben usar NIDS (Network Intrusion Detection System) para evitar el método de detección de sistemas operativos de herramientas como Nmap.

Solo los puertos necesarios deben permanecer abiertos, el resto deben ser filtrados.

Toda la información sensitiva que no debe ser divulgada al público sobre internet no puede ser mostrada.

Haga uso de un escáner de vulnerabilidades como los antes mencionados para encontrar fallas en su red, dispositivos y software antes que sean encontrados por los atacantes.

Muchas veces los servicios o aplicaciones activas que están en estado de escucha pueden permitir el acceso no autorizado a los sistemas que no están configurados adecuadamente y más aun si estos servicios o aplicaciones contienen vulnerabilidades.

FUENTESCibergrafia

http://estebansaiz.com/blog/2008/08/13/la-vulnerabilidad-en-las-dns/http://www.pergaminovirtual.com.ar/definicion/UDP.htmlhttp://www.masadelante.com/faqs/udphttp://personales.upv.es/rmartin/TcpIp/cap02s11.htmlhttp://es.kioskea.net/contents/internet/tcp.php3http://www.masadelante.com/faqs/tcp-iphttp://es.wikipedia.org/wiki/Transmission_Control_Protocolhttp://www.wisedatasecurity.com/net-scanning.htmlhttp://www.terra.es/personal6/morenocerro2/redes/osi/transporte_3.html Bibliografía TCP/IP Arquitectura, Protocolos, Implementación y Seguridad. Dr. Sidnie FeitRedes Globales de Información con Internet y TCP/IP Principios Básicos, Protocolos y Arquitectura. Douglas E. Comer.