1 No orientado a
conexión
2 Utiliza puertos
para la comunicación con aplicaciones
3 No usa acknowledge
o control de flujo
4 Los mensajes UDP
pueden:
·
Perderse
·
Duplicarse
·
Recibidos de forma desordenada
5 RFC 768
Campos
Segmento UDP
|
0
|
10
|
20
|
30
|
||||||||||||||||||||||||||||
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
0
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
0
|
1
|
|
Puerto UDP origen
|
Puerto UDP destino
|
||||||||||||||||||||||||||||||
|
Longitud del datagrama
|
Checksum UDP
|
||||||||||||||||||||||||||||||
|
Datos
|
|||||||||||||||||||||||||||||||
|
...
|
|||||||||||||||||||||||||||||||
Puerto de Origen: es opcional; cuando tiene sentido, indica el puerto del proceso
emisor, y puede que se asuma que ése sea el puerto al cual la respuesta debería
ser dirigida en ausencia de otra información. Si no se utiliza, se inserta un
valor cero.
Puerto de Destino.- tiene significado dentro del contexto de una dirección de destino en
un entorno Internet particular.
Longitud.- representa la longitud en octetos de este datagrama de usuario,
incluyendo la cabecera y los datos. (Esto implica que el valor mínimo del campo
Longitud es ocho.)
Suma de Control (Checksum).- es el complemento
a uno de 16 bits de la suma de los complementos a uno de las palabras de la
combinación de una pseudo-cabecera construida con información de la cabecera
IP, la cabecera UDP y los datos, y rellenada con octetos de valor cero en la
parte final (si es necesario) hasta tener un
Múltiplo de dos octetos.
Si la suma de control calculada es cero, se transmite como un campo de
unos (el equivalente en la aritmética del complemento a uno). Un valor de la
suma de control trasmitido como un campo de ceros significa que el emisor no
generó la suma de control (para depuración o para protocolos de más alto nivel
a los que este campo les sea indiferente).
La pseudo-cabecera.- que imaginariamente antecede a la cabecera UDP
contiene la dirección de origen, la dirección de destino, el protocolo y la
longitud UDP. Esta información proporciona protección frente a datagramas mal
encaminados. Este procedimiento de comprobación es el mismo que el utilizado en
TCP.
Aplicación del Protocolo
Los usos principales de este protocolo son el Servidor de Nombres de
Internet y la Transferencia Trivial de Ficheros (Trivial FileTransfer).
- El protocolo
UDP a pesar de su sencillez y de haber sido opacado por TCP, poderosas y
muy utilizadas aplicaciones se basan en UDP. Entre ellas están:
o
NFS (Network
File System): permite utilizar discos de estaciones remotas como si fueran
propios.
o DNS (Domain Name Server): servicio de
nombres.
o SNMP (Simple Network Management Protocol)
Los estándares internacionales son generados y
publicados por Organismos Internacionales que discuten y acuerdan definiciones
relevantes.
Algunas de las Organizaciones internacionales más conocidas
son las siguientes:
Organización
Internacional de Estándares (ISO,
International Organization for Standarization). Responsable del
modelo de referencia OSI y su conjunto de protocolos.
·
Instituto
nacional de estándares americanos (ANSI, American National Stadards Institute). Miembro de la ISO
al interior de los estados unidos. Su estándar más reconocido es FDDI
·
Asociación
de industrias electrónicas (EIA,
Electronic Industries Association). Especifican estándares de
transmisión eléctrica. Su estándar más reconocido es EIA/TIA 232. Comúnmente
RS232.
·
Instituto
de ingenieros electricistas y electrónicos (IEEE, Institute of electrical and electronic
engineers). Organización de profesionales que definen estándares de
redes. Sus estándares mas conocidos son los IEEE de redes locales.
·
Comité
consultivo internacional para la telefonía y la telegrafía. (CCITT, Committed for International Telegraph and Telephone). Anterior
comité de telecomunicaciones de las naciones unidas. Ahora ITU-T.
·
Unión
Internacional de Telecomunicaciones (ITU, International Telecommunication Union).
·
Sector
de estandarización internacional para telecomunicaciones. (ITU-T, International Telecommunication Union Telecommunication
Standardization Sector). Es el organismo internacional que
desarrolla los estándares de comunicaciones. Su estándar mas reconocido es
X.25.
·
Consejo
de actividades de Internet (IAB,
Internet Activities Board). Grupo de investigadores que discuten lo
concerniente a Internet, proporciona la investigación y desarrollo de los protocolos TCP/IP. Definen los estándares de Internet en forma de RFC’s (Request for comments) a partir de
fuerzas de tarea (IETF, Internet
Engineer Task Forces).
·
Centro
integrado de información de red (INTERNIC, Integrated Network Information Center). Concepto
registrado por el departamento de comercio de US para integrar la información
de Internet.
PUERTOS UDP/TCP
echo (7/tcp,udp) .- Se utiliza únicamente para depuración. Sin embargo, un atacante puede realizar "labores de
depuración" creando bucles en la red a partir de este puerto (véase udp
chargen/19). BLOQUEAR.
systat (11/tcp/udp) .- Muestra información acerca
del host como usuarios conectados, carga del sistema, procesos en
funcionamiento, etc.. BLOQUEAR.
chargen (19/tcp,udp).- Se utiliza únicamente para
depuración. Basta con enviar un paquete a este puerto aparentemente originado
en el puerto de echo (7/udp) para provocar un bucle en la red. BLOQUEAR.
telnet (23/tcp,udp).- Vulnerable a "toma de
sesiones". Es preferible utilizar en su lugar otras soluciones como SSH.
smtp (25/tcp,udp) .- Históricamente la mayoría de
las entradas en hosts han venido a través de este puerto. Se debe FILTRAR este
puerto y mantener SIEMPRE la última versión estable conocida de cualquier
programa de correo, especialmente si trabajamos con sendmail.
time (37/tcp,udp) .- Devuelve la hora del sistema
en un formato legible por la máquina (4 bytes mas o menos). Puede ser accedido
tras un ataque vía ntp(123/tcp,udp).
nameserver (42/tcp,udp).- Si dispone de una red
privada, debe instalar un servidor de nombres para ella. Bloquee el acceso a
dicho servidor desde el exterior, y utilice siempre la última versión de BIND
para resolver nombres. En este caso, puede cortar sin excesivos problemas el
acceso al DNS sobre UDP.
tftp (69/tcp,udp) .- Falta de autentificación.
Bloquear si no se dispone de máquina alguna con arranque remoto.
private dialout (75/tcp,udp)
- - - [RFC1700] .- Si encontramos una traza de este puerto en los diarios del sistema (logs),
en el mejor de los casos estaremos siendo analizados por un scanner de
puertos. BLOQUEAR.
finger (79/tcp,udp) .- Puede obtenerse información
acerca de usuarios concretos, información que puede utilizarse para adivinar
claves de acceso. BLOQUEAR
http (80/tcp,udp) .- ¡¡¡Cuidado!!! los servidores
web son cada vez más complejos y permiten demasiadas cosas. Conviene redirigir
el acceso a un puerto no privilegiado en maquinas unix.
npp (92/tcp,udp) - [Network
Printing Protocol] .- Nadie quiere imprimir documentos ajenos ¿ verdad ?.
objcall (94/tcp,udp) -
[Tivoli Object Dispatcher] .-
Utilizado por la herramienta de Gestión de redes Tivoli. Si utilizamos
tivoli, aplicar las mismas precauciones que con SNMP.
sunrpc (111/tcp,udp) .- Especialmente peligroso sobre
UDP. No autentifica fuentes, y es la base para otros servicios como NFS.
auth (113/tcp,udp) .- No debería permitirse obtener
información acerca de puertos privilegiados (puede utilizarse para realizar un
portscan). No se utiliza mas que en Unix.
ntp (123/tcp,udp) [Network
Time Protocol] .- Se utiliza para sincronizar los relojes de las máquinas de una subred. Un
ejemplo de ataque clásico consiste en enviar paquetes a este puerto para
distorsionar los logs de la máquina.
netbios (137,138,139/tcp,udp)
.- No dispone de suficiente autenticación. Afortunadamente según los RFC2001 y
2002 NetBIOS es capaz de funcionar correctamente a pesar de que se estén
enviando bloques de datos con información errónea o corrompida.
irc (194/tcp,udp) – No es peligroso en sí; sin
embargo sus usuarios suelen divertirse atacando los hosts de otras personas con
el fin de echarlos cuando no pueden hacer uso de la orden 'kick'. Generalmente
conviene bloquear los puertos 6666, 6667 y 6668 ya que son a los que se
enganchan los servidores de IRC.
biff (512/udp) .- Notifica de la llegada de
correo. Buen candidato para posibles desbordamientos de buffer, o simplemente
para obligar a abandonar la sesión a un usuario debido a la llegada masiva de
mensajes de correo. (biff suele funcionar incluso con mesg n)
BLOQUEAR.
who (513/udp) .- Muestra quien está utilizando
el host remoto. Se puede obtener información bastante detallada acerca de quién
utiliza una máquina y desde que terminal, uptime (tiempo que lleva en
funcionamiento), carga de la máquina, etc...
BLOQUEAR.
No hay comentarios.:
Publicar un comentario