08_capaTransporteUDP

Embed Size (px)

Citation preview

  • 7/31/2019 08_capaTransporteUDP

    1/65

    Universisdad de Los Andes

    Facultad de IngenieraEscuela de Sistemas

    Capa de Transporte

    Mrida - VenezuelaProf. Gilberto Daz

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    2/65

    Capa de Transporte

    La capa de transporte no es una capa ms, es elcorazn de todos los protocolos de redes. Aqu selleva a cabo el control de la transmisin y lagestin de errores

    Objetivo: El objetivo principal de esta capa esproporcionar servicios eficientes y confiables asus usuarios (generalemente los procesos de lacapa de aplicacin)

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    3/65

    Capa de Transporte

    La capa de transporte es generalmenteimplantada en el kernel de S.O, como un procesoo como una biblioteca de funciones.

    Al software que realiza las funciones de estacapa se le conoce como Entidad de Transporte

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    4/65

    Capa de Transporte

    Esta capa hace ms confiable la transmisin deinformacin encargndose de la recuperacin deeventos como paquetes perdidos o paquetes malformados

    Gracias a la capa de transporte losprogramadores de aplicaciones pueden escribircdigo segn un conjunto estndar de primitivasy hacer que esas aplicaciones funcionen en unaamplia variedad de redes

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    5/65

    Capa de Transporte

    De la misma forma como nosotros podemosencontrar dos tipos de servicios de red, tambintenemos dos tipos de servicios de transporte:

    Orientado a conexin

    No orientado a conexin

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    6/65

    Capa de Transporte

    Para proporcionar el servicio de transporte sedebe contar con ese conjunto de primitivas lascuales conforman la interfaz de la capa. Estainterfaz soporta los dos tipos de servicios

    Orientado a conexin: (streams) donde seprovee un servicio confiable

    No orientado a conexin: (datagram) aqui no

    hay gestin de errores

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    7/65

    Capa de Transporte

    Berkeley SocketsEs la combianacin de una direccin IP y unpuerto. Fueron desarrollados en la Universidad deBerkeley en 1983 y son el mecanismo ms

    ampliamente utilizado para implantaraplicaciones de red

    socket crea un nuevo punto de comunicacinbind: conecta el socket a la direccin locallisten: anuncia que acepta conexionesaccept: bloquea el llamador hasta que un intento de

    conexin arribaconnect: intenta activamente establecer una conexinsend: enva datos a travs de la conexinreceive: recibe datos a travs de la conexinclose: cierra la conexin

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    8/65

    Capa de Transporte

    Elementos Involucrados

    DireccionamientoEstablecimiento de la conexin

    Cerrando la conexinControl del Flujo y buffersMultiplexacinRecuperacin de fallas

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    9/65

    Capa de Transporte

    En Internet se utilizan dos protocolos principalesen la capa de transporte

    User Datagram Protocol (UDP): Dedicado a

    servicios no orientados a conexin. Esbsicamente el mismo protocolo IP slo queen la cabecera tiene informacin adicional

    Transmission Control Protocol (TCP):

    Dedicado a servicios orientados a conexiny proporciona mecanismos para establecerconexiones confiables

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    10/65

    Capa de Transporte

    User Datagram Protocol (UDP)

    UDP proporciona a las aplicaciones una formade enviar datagramas IP encapsulados sin la

    necesidad de establecer primero una conexin.

    Los PDUs utilizados en UDP se denominansegmentos cuya cabecera es de 8 bytes. El

    payload es el contenido del paquete

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    SourcePort

    DestPort

    UDPLength

    Checksum

  • 7/31/2019 08_capaTransporteUDP

    11/65

    Capa de Transporte

    User Datagram Protocol (UDP)

    El puerto de origen (Source port) es necesariocuando se necesita enviar una respuesta al nodo

    de origen

    El campo de longitud incluye los 8 bytes de lacabecera

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    SourcePort

    DestPort

    UDPLength

    Checksum

  • 7/31/2019 08_capaTransporteUDP

    12/65

    Capa de Transporte

    User Datagram Protocol (UDP)

    UDP no realiza tareas de:

    Control de flujoControl de erroresRetransmisin de paquetes mal formados operdidos

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    13/65

    Capa de Transporte

    User Datagram Protocol (UDP)

    Sin embargo, UDP es til en situaciones dondeun cliente hace una solicitud corta y el servidorda una respuesta igualmente corta.

    Si el paquete se pierde simplemente se hace unreintento al transcurrir el timeout

    Esto es mucho ms sencillo y no hay necesidadde mensajes adicionales para el establecimientode la conexin.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    14/65

    Capa de Transporte

    Remote Procedure Call (RPC)

    Este es un protocolo que utiliza UDP como base

    En cierto sentido enviar un mensaje a unamquina remota y recibir una respuesta es comohacer un llamado a un procedimiento

    En ambos casos se comienza con algunos

    parmetros y se finaliza con algunos resultados

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    15/65

    Capa de Transporte

    Remote Procedure Call (RPC)

    Esto hace que las aplicaciones de red seanmucho ms sencillas y fciles de entender.

    Esta tcnica fue sugerida por Birell y Nelson en1984 permitiendo a los programas hacer llamadosa procedimientos localizados en mquinasremotas.

    El procedimiento que hace el llamado esdenominado cliente y el procedimiento que esllamado es denominado servidor

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    16/65

    Capa de Transporte

    Remote Procedure Call (RPC)

    Generalmente toda la complejidad se escondeutilizando bibliotecas con interfaces tanto para elservidor como para el cliente

    Client stub

    Server stub

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    17/65

    Capa de Transporte

    Remote Procedure Call (RPC)

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Client Clientstub

    Operating System

    Client CPU

    Server Serverstub

    Operating System

    Server CPU

  • 7/31/2019 08_capaTransporteUDP

    18/65

    Domain Name System (DNS)

    Es uno de los pilares fundamentales de Internet. Surgicomo necesidad de extender el direccionamiento delcorreo electrnico al crecer ARPANET

    DN

    S

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    19/65

    Domain Name System (DNS)

    Es responsable de traducir nombres de dominios adirecciones IP.

    Nombre de dominio Direccin IP

    www.ula.ve 192.168.3.1

    DN

    S

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    20/65

    Domain Name System (DNS)

    Es una base de datos jerrquica distribuida a travsde Internet.Los datos se almacenan en una estructura de rbol.Cada servidor de dominio almacena una porcin de la

    base de datos.

    .

    org ve

    org ulaabsf

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    21/65

    Domain Name System (DNS)

    Cada porcin corresponde a la informacin de lasmquinas pertenecientes a un dominio determinado.

    ve

    org ulamail.ula.vewww.ula.ve

    ....

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    22/65

    Pero...

    Qu es un dominio?

    Como acepcin inicial diremos que un dominio es unaforma de ver al mundo como una jerarqua. Laestructura ms usual es la de rbol.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    23/65

    Qu es un dominio?

    Los dominios han sido utilizados por aos por sistemascomo el servicio postal y el servicio telefnico.

    Para comprender mejor este concepto haremos unaresea sobre estos dos sistemas.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    24/65

    El servicio postal ha dividido al mundo en:

    PaisesEstadosCiudades, pueblos y caserosCalles y avenidasEdificios, casas

    Entonces nosotros tenemos direcciones de la siguienteforma:

    Edif. General Masini, Calle 5 entre avs 18 y 19 Mridaedo Mrida - Venezuela

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    25/65

    El servicio telefnico utiliza nmeros pero los agrupa encdigos que representan a

    PaisesEstados (operadoras)Identificacin del individuoExtensin

    De esta manera nosotros tenemos que para llamar a laUniversidad de Los Andes

    24011110274 2401111119 274 2401111

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    26/65

    El servicio postal la parte ms especfica viene alprincipio (ms a la izquierda)

    Mientras que en el servicio telefnico la parte msespecfica va al final (ms a la derecha)

    El nmero telefnico a marcar depende de donde

    donde nos encontremos. Si estamos fuera del pais(119 274 2401111) o si es una llamada local(2401111). Esto es direcciones relativas.

    En el caso del servicio postal la direccin completapuede ser utilizada sin importar la ubicacin del emisor(local o remota)

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    27/65

    ARPANET evolucion utilizando un sistema dedirecciones absolutas:

    usuario@mquina funcionaba desde cualquierubicacin

    En el caso de UUCP se utilizaban direcciones

    relativas:mquina!usuario funcionaba desde cualquierubicacin con un enlace directo a mquina y setena que enrutar el correo a travs de la red

    hasta encontrar la mquina

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    28/65

    El formato usuario@mquina fue mucho msaceptado, sobre todo en aquellos sitios donde se corria

    algn tipo de software para correo.La estrategia utilizada era:

    Buscar la mquina en una tabla y luego enviar elmensaje.

    El problema se hizo inmanejable cuando se tenianmuchas mquinas, pues es muy complicado manteneruna tabla con un gran nmero de registros.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    29/65

    Qu es un dominio?

    Luego de la revisin anterior podemos decir:

    Un dominio es un sub rbol del rbol completo de DNSy representa todas las mquinas y nombres debajo del.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    30/65

    DNS trabaja bajo el principio de delegacin

    Debido a que los datos se encuentran distribuidos,cuando un servidor recibe una solicitud para resolver elnombre de un host que se encuentra fuera de sudominio, es probable que ste no tenga la informacin

    ve

    ula

    Resolver

    bind9.sourceforge.net A

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    31/65

    DNS trabaja bajo el principio de delegacin

    Para atender la solicitud lo nico que necesita saber elservidor es como delegarle la solicitud a los servidoresdel dominio raiz (punto)

    bind9.sourceforge.net A

    .

    ve

    ula

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    32/65

    DNS trabaja bajo el principio de delegacin

    El servidor del dominio raiz responde diceindo que lepregunte al servidor del dominio .net

    askes server@net

    .

    ve

    ula

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    33/65

    DNS trabaja bajo el principio de delegacin

    El servidor local entonces le pregunta al servidor deldominio net

    .

    netbind9.sourceforge.net A

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    34/65

    DNS trabaja bajo el principio de delegacin

    ste a su vez responde que le pregunte al servidor deldominio sourceforge.net

    .

    netaskes [email protected]

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    35/65

    DNS trabaja bajo el principio de delegacin

    El servidor local le pregunta al servidor del dominiosourceforge.net

    net

    sourceforgebind9.sourceforge.net A

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    36/65

    DNS trabaja bajo el principio de delegacin

    El servidor del dominio sourceforge.net respondefinalmente con la direccin solicitada

    net

    sourceforge69.7.8.101

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    37/65

    DNS trabaja bajo el principio de delegacin

    El servidor local le responde al cliente la solicitud yalmacena la direccin en cuestin en el cache pararesponder a futuras solicitudes

    ve

    ula

    Resolver

    69.7.8.101

    cache

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    38/65

    DNS fue introducido en 1984

    Desde sus inicios el desarrollo de DNS se llev a cabosin considerar la seguridad pues el tamao de la red, eltipo de usuarios, y la utilizacin de recursos nopropiciaban incidentes de seguridad.

    A medida que Internet creci y ms usuarios seconectaron aparecieron amenazas en los diferenctesservicios y se hizo necesario considerar la seguridadde los mismos.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    39/65

    Vulnerabilidades en DNS

    DNS utiliza el protocolo UDP el cual acarrea mltiplesvulnerabilidades.

    UDP no tiene mecanismos para verificar el origen decada paquete. Esto lo hace susceptible a spoofing y

    ataques de origen

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    40/65

    Vulnerabilidades en DNS

    Muchas de ellas son de ndole general, como lasmencionadas anteriormente, pero hay unas cuantasque son intrnsecas al protocolo DNS como tal.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    41/65

    Vulnerabilidades en DNS

    Los cuatro problemas principales que podemosencontrar en DNS son:

    cache spoofing

    traffic diversion

    distributed denial-of-service attacks (DDoS)

    buffer overruns.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    42/65

    Ataque de Negacin deServicio Distribuido (DDoS)

    utilizando el DNS

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Negacin de Servicio Distribuido usando el

  • 7/31/2019 08_capaTransporteUDP

    43/65

    DNS

    Ingredientes

    AtacanteVctimaServidores de DNS con recursinactivada

    SRC:VICTIMA

    DST:DNS-R

    SRC:

    DNS-R

    DST:

    VICTIMA

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Negacin de Servicio Distribuido usando el

  • 7/31/2019 08_capaTransporteUDP

    44/65

    DNS

    SRC:VICTIMA

    DST:DNS-R

    SRC:DNS-R

    DST:VICTIMA

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Negacin de Servicio Distribuido usando el

  • 7/31/2019 08_capaTransporteUDP

    45/65

    DNS

    SRC:VICTIMA

    DST:DNS-R

    SRC:DNS-R

    DST:VICTIMA

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Negacin de Servicio Distribuido usando elDNS

  • 7/31/2019 08_capaTransporteUDP

    46/65

    DNS

    SRC:VICTIMA

    DST:DNS-R

    SRC:

    DNS-R

    DST:

    VICTIMA

    www.datos.com.ve IN TXT ?

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

    XXXXXXXXXXXXXXXX

    512 Bytes (en UDP) o ms (con TCP)

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Negacin de Servicio Distribuido usando elDNS

    http://www.datos.com.ve/http://www.datos.com.ve/
  • 7/31/2019 08_capaTransporteUDP

    47/65

    DNS(Soluciones)

    Contribuir NO teniendo servidores de DNS con recursinabierta al pblico

    En ISPs Universidades En servidores de prueba, laboratorios, etc.

    Validar los orgenes a nivel de enrutadores: (ej: cisco)

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

  • 7/31/2019 08_capaTransporteUDP

    48/65

    Ataque de Cumpleaos

    (envenenamiento de cache)

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Cumpleaos(En enenamiento de Cache)

  • 7/31/2019 08_capaTransporteUDP

    49/65

    (Envenenamiento de Cache)

    Cual es la probabilidad que en un grupo de 23personas, 2 o mas tengan la misma fecha denacimiento?

    Probabilidad es mayor a !!!

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Cumpleaos(Envenenamiento de Cache)

  • 7/31/2019 08_capaTransporteUDP

    50/65

    (Envenenamiento de Cache)

    www.mibanco.com.ve

    ROOT-SERVERS

    Servidores del .VE

    Servidores de:mibanco.com.ve

    SRC: SRSPT: 33333

    DST: SDPT:53

    (src: 53 dst:33333)

    (src: 53 dst:33333)

    (src: 53 dst:33333)

    (src: 53 dst:41234)

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Cumpleaos(Envenenamiento de Cache)

  • 7/31/2019 08_capaTransporteUDP

    51/65

    (Envenenamiento de Cache)

    SRC:Spoofed

    DST:VICTIMA

    VICTIMA:DNS con Recursinactivado

    mibanco.com.ve

    www.mibanco.com.ve A?

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Cumpleaos(Envenenamiento de Cache)

    http://www.mibanco.com.ve/http://www.mibanco.com.ve/
  • 7/31/2019 08_capaTransporteUDP

    52/65

    (Envenenamiento de Cache)

    SRC:Spoofed

    DST:VICTIMA

    VICTIMA:DNS con Recursinactivado

    mibanco.com.ve

    www.mibanco.com.ve A?

    DDoS

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Cumpleaos(Envenenamiento de Cache)

    http://www.mibanco.com.ve/http://www.mibanco.com.ve/
  • 7/31/2019 08_capaTransporteUDP

    53/65

    (Envenenamiento de Cache)

    SRC:Spoofed

    DST:VICTIMA

    VICTIMA:DNS con Recursinactivado

    mibanco.com.ve

    www.mibanco.com.ve A?

    DDoS

    SRC:mibanco..

    DST:VICTIMA

    QryID: 0-65536)SPT: Conocido

    DPT: ConocidoA: 200.1.2.3QryID: RAND()

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Cumpleaos(Envenenamiento de Cache)

    http://www.mibanco.com.ve/http://www.mibanco.com.ve/
  • 7/31/2019 08_capaTransporteUDP

    54/65

    (Envenenamiento de Cache)

    Probabilidad de xito de 100% con alrededorde 700 paquetes

    Bsicamente es una carrera entre el

    servidor autoritativo y el atacante, donde elatacante ya tiene la ventaja

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Ataque de Cumpleaos(Envenenamiento de Cache)

  • 7/31/2019 08_capaTransporteUDP

    55/65

    (Envenenamiento de Cache)

    Para minimizar la probabilidad deenvenenamiento:

    Actualizar a BIND9

    Utilizar servidores de DNS que generenpuertos origen aleatoriosMejorar el generador de nmeros aleatorios(/dev/random, algn dispositivo externo,etc.)

    Las mismas previsiones del ataque DDoS

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    DNSSEC

  • 7/31/2019 08_capaTransporteUDP

    56/65

    DNSSEC

    Las extensiones de seguridad de DNS solucionan losproblemas relacionados con:

    Integridad de los datos

    Source spoofing

    No! protegen contra

    distributed denial-of-service attacks (DDoS)

    buffer overruns.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    DNSSEC

  • 7/31/2019 08_capaTransporteUDP

    57/65

    DNSSEC

    Esta extensin utiliza tecnologa ya conocida (PKI) parafuncionar y es totalmente transparente para losusuarios, es decir, ellos no necesitan realizar ningunaaccin para beneficiarse con DNSSEC.

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    DNSSEC

  • 7/31/2019 08_capaTransporteUDP

    58/65

    DNSSEC

    Esta extensin utiliza tecnologa ya conocida (PKI)para funcionar

    Es totalmente transparente para los usuarios, esdecir, ellos no necesitan realizar ninguna accin para

    beneficiarse con DNSSEC.

    Esta disponible slo a partir de Bind9. Actualice!

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    DNSSEC

  • 7/31/2019 08_capaTransporteUDP

    59/65

    El objetivo principal de esta extensin es garantizar laautenticidad e integridad de los datos

    Esto se logra utilizando criptografa de claveasimtrica y simtrica

    Puede utilizar tanto RSA como DSA

    Se debe utilizar en conjunto con la restricciones paratransferencias de zonas

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Configuracin DNSSEC

  • 7/31/2019 08_capaTransporteUDP

    60/65

    g

    Lo primero que debemos hacer es restringirlatransferencias de zonas.

    El comportamiento predefinido (no es por defectoporque no esta daado) de DNS es aceptar desde

    cualquier mquina una lista completa de sus registros

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Configuracin DNSSEC

  • 7/31/2019 08_capaTransporteUDP

    61/65

    g

    options {allow-transfer { 192.168.4.154; };

    };

    O de una forma ms especfica

    type master;zone "ejemplo.com" {

    file "db.ejemplo.com";allow-transfer { 192.168.4.154; };

    };

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Configuracin DNSSEC

  • 7/31/2019 08_capaTransporteUDP

    62/65

    g

    Para asegurar mucho ms nuestro servidorrestringimos tambin las actualizaciones

    zone "ejemplo.com" {type master;

    file "db.ejemplo.com";update-policy {grant allowed-www-updater self

    www.ejemplo.com A;};

    };

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Configuracin DNSSEC

  • 7/31/2019 08_capaTransporteUDP

    63/65

    Finalmente configuramos TSIG para asegurar laautenticidad de la fuente de los datos

    En el Master

    key tsig-signing. {algorithm hmac-md5;secret "mZiMNOUYQPMNwsDzrX2ENw==";

    };zone "ejemplo.com" {

    type master;file "db.ejeplo.com";allow-transfer { key tsig-signing; };

    };Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Configuracin DNSSEC

  • 7/31/2019 08_capaTransporteUDP

    64/65

    En el Slavekey tsig-signing. {

    algorithm hmac-md5;secret "mZiMNOUYQPMNwsDzrX2ENw==";

    };

    server 192.168.4.47 {transfer-format many-answers;keys { tsig-signing.; };

    };zone "ejemplo.com" {

    type slave;file "bak.ejemplo.com";allow-transfer { none; };

    };Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

    Finalmente para proteger el servidor contra cache-

  • 7/31/2019 08_capaTransporteUDP

    65/65

    poisoning

    Evitamos la recursin

    options {recursion no;

    };

    Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz