08_capaTransporteUDP

7/31/2019 08_capaTransporteUDP

1/65

Universisdad de Los Andes

Facultad de IngenieraEscuela de Sistemas

Capa de Transporte

Mrida - VenezuelaProf. Gilberto Daz

Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz


2/65

Capa de Transporte

La capa de transporte no es una capa ms, es elcorazn de todos los protocolos de redes. Aqu selleva a cabo el control de la transmisin y lagestin de errores

Objetivo: El objetivo principal de esta capa esproporcionar servicios eficientes y confiables asus usuarios (generalemente los procesos de lacapa de aplicacin)



3/65

Capa de Transporte

La capa de transporte es generalmenteimplantada en el kernel de S.O, como un procesoo como una biblioteca de funciones.

Al software que realiza las funciones de estacapa se le conoce como Entidad de Transporte



4/65

Capa de Transporte

Esta capa hace ms confiable la transmisin deinformacin encargndose de la recuperacin deeventos como paquetes perdidos o paquetes malformados

Gracias a la capa de transporte losprogramadores de aplicaciones pueden escribircdigo segn un conjunto estndar de primitivasy hacer que esas aplicaciones funcionen en unaamplia variedad de redes



5/65

Capa de Transporte

De la misma forma como nosotros podemosencontrar dos tipos de servicios de red, tambintenemos dos tipos de servicios de transporte:

Orientado a conexin

No orientado a conexin



6/65

Capa de Transporte

Para proporcionar el servicio de transporte sedebe contar con ese conjunto de primitivas lascuales conforman la interfaz de la capa. Estainterfaz soporta los dos tipos de servicios

Orientado a conexin: (streams) donde seprovee un servicio confiable

No orientado a conexin: (datagram) aqui no

hay gestin de errores



7/65

Capa de Transporte

Berkeley SocketsEs la combianacin de una direccin IP y unpuerto. Fueron desarrollados en la Universidad deBerkeley en 1983 y son el mecanismo ms

ampliamente utilizado para implantaraplicaciones de red

socket crea un nuevo punto de comunicacinbind: conecta el socket a la direccin locallisten: anuncia que acepta conexionesaccept: bloquea el llamador hasta que un intento de

conexin arribaconnect: intenta activamente establecer una conexinsend: enva datos a travs de la conexinreceive: recibe datos a travs de la conexinclose: cierra la conexin



8/65

Capa de Transporte

Elementos Involucrados

DireccionamientoEstablecimiento de la conexin

Cerrando la conexinControl del Flujo y buffersMultiplexacinRecuperacin de fallas



9/65

Capa de Transporte

En Internet se utilizan dos protocolos principalesen la capa de transporte

User Datagram Protocol (UDP): Dedicado a

servicios no orientados a conexin. Esbsicamente el mismo protocolo IP slo queen la cabecera tiene informacin adicional

Transmission Control Protocol (TCP):

Dedicado a servicios orientados a conexiny proporciona mecanismos para establecerconexiones confiables



10/65

Capa de Transporte

User Datagram Protocol (UDP)

UDP proporciona a las aplicaciones una formade enviar datagramas IP encapsulados sin la

necesidad de establecer primero una conexin.

Los PDUs utilizados en UDP se denominansegmentos cuya cabecera es de 8 bytes. El

payload es el contenido del paquete


SourcePort

DestPort

UDPLength

Checksum


11/65

Capa de Transporte


El puerto de origen (Source port) es necesariocuando se necesita enviar una respuesta al nodo

de origen

El campo de longitud incluye los 8 bytes de lacabecera


SourcePort

DestPort

UDPLength

Checksum


12/65

Capa de Transporte


UDP no realiza tareas de:

Control de flujoControl de erroresRetransmisin de paquetes mal formados operdidos



13/65

Capa de Transporte


Sin embargo, UDP es til en situaciones dondeun cliente hace una solicitud corta y el servidorda una respuesta igualmente corta.

Si el paquete se pierde simplemente se hace unreintento al transcurrir el timeout

Esto es mucho ms sencillo y no hay necesidadde mensajes adicionales para el establecimientode la conexin.



14/65

Capa de Transporte

Remote Procedure Call (RPC)

Este es un protocolo que utiliza UDP como base

En cierto sentido enviar un mensaje a unamquina remota y recibir una respuesta es comohacer un llamado a un procedimiento

En ambos casos se comienza con algunos

parmetros y se finaliza con algunos resultados



15/65

Capa de Transporte


Esto hace que las aplicaciones de red seanmucho ms sencillas y fciles de entender.

Esta tcnica fue sugerida por Birell y Nelson en1984 permitiendo a los programas hacer llamadosa procedimientos localizados en mquinasremotas.

El procedimiento que hace el llamado esdenominado cliente y el procedimiento que esllamado es denominado servidor



16/65

Capa de Transporte


Generalmente toda la complejidad se escondeutilizando bibliotecas con interfaces tanto para elservidor como para el cliente

Client stub

Server stub



17/65

Capa de Transporte



Client Clientstub

Operating System

Client CPU

Server Serverstub

Operating System

Server CPU


18/65

Domain Name System (DNS)

Es uno de los pilares fundamentales de Internet. Surgicomo necesidad de extender el direccionamiento delcorreo electrnico al crecer ARPANET

DN

S



19/65


Es responsable de traducir nombres de dominios adirecciones IP.

Nombre de dominio Direccin IP

www.ula.ve 192.168.3.1

DN

S



20/65


Es una base de datos jerrquica distribuida a travsde Internet.Los datos se almacenan en una estructura de rbol.Cada servidor de dominio almacena una porcin de la

base de datos.

.

org ve

org ulaabsf



21/65


Cada porcin corresponde a la informacin de lasmquinas pertenecientes a un dominio determinado.

ve

org ulamail.ula.vewww.ula.ve

....



22/65

Pero...

Qu es un dominio?

Como acepcin inicial diremos que un dominio es unaforma de ver al mundo como una jerarqua. Laestructura ms usual es la de rbol.



23/65

Qu es un dominio?

Los dominios han sido utilizados por aos por sistemascomo el servicio postal y el servicio telefnico.

Para comprender mejor este concepto haremos unaresea sobre estos dos sistemas.



24/65

El servicio postal ha dividido al mundo en:

PaisesEstadosCiudades, pueblos y caserosCalles y avenidasEdificios, casas

Entonces nosotros tenemos direcciones de la siguienteforma:

Edif. General Masini, Calle 5 entre avs 18 y 19 Mridaedo Mrida - Venezuela



25/65

El servicio telefnico utiliza nmeros pero los agrupa encdigos que representan a

PaisesEstados (operadoras)Identificacin del individuoExtensin

De esta manera nosotros tenemos que para llamar a laUniversidad de Los Andes

24011110274 2401111119 274 2401111



26/65

El servicio postal la parte ms especfica viene alprincipio (ms a la izquierda)

Mientras que en el servicio telefnico la parte msespecfica va al final (ms a la derecha)

El nmero telefnico a marcar depende de donde

donde nos encontremos. Si estamos fuera del pais(119 274 2401111) o si es una llamada local(2401111). Esto es direcciones relativas.

En el caso del servicio postal la direccin completapuede ser utilizada sin importar la ubicacin del emisor(local o remota)



27/65

ARPANET evolucion utilizando un sistema dedirecciones absolutas:

usuario@mquina funcionaba desde cualquierubicacin

En el caso de UUCP se utilizaban direcciones

relativas:mquina!usuario funcionaba desde cualquierubicacin con un enlace directo a mquina y setena que enrutar el correo a travs de la red

hasta encontrar la mquina



28/65

El formato usuario@mquina fue mucho msaceptado, sobre todo en aquellos sitios donde se corria

algn tipo de software para correo.La estrategia utilizada era:

Buscar la mquina en una tabla y luego enviar elmensaje.

El problema se hizo inmanejable cuando se tenianmuchas mquinas, pues es muy complicado manteneruna tabla con un gran nmero de registros.



29/65

Qu es un dominio?

Luego de la revisin anterior podemos decir:

Un dominio es un sub rbol del rbol completo de DNSy representa todas las mquinas y nombres debajo del.



30/65

DNS trabaja bajo el principio de delegacin

Debido a que los datos se encuentran distribuidos,cuando un servidor recibe una solicitud para resolver elnombre de un host que se encuentra fuera de sudominio, es probable que ste no tenga la informacin

ve

ula

Resolver

bind9.sourceforge.net A



31/65


Para atender la solicitud lo nico que necesita saber elservidor es como delegarle la solicitud a los servidoresdel dominio raiz (punto)

bind9.sourceforge.net A

.

ve

ula



32/65


El servidor del dominio raiz responde diceindo que lepregunte al servidor del dominio .net

askes server@net

.

ve

ula



33/65


El servidor local entonces le pregunta al servidor deldominio net

.

netbind9.sourceforge.net A



34/65


ste a su vez responde que le pregunte al servidor deldominio sourceforge.net

.

netaskes [email protected]



35/65


El servidor local le pregunta al servidor del dominiosourceforge.net

net

sourceforgebind9.sourceforge.net A



36/65


El servidor del dominio sourceforge.net respondefinalmente con la direccin solicitada

net

sourceforge69.7.8.101



37/65


El servidor local le responde al cliente la solicitud yalmacena la direccin en cuestin en el cache pararesponder a futuras solicitudes

ve

ula

Resolver

69.7.8.101

cache



38/65

DNS fue introducido en 1984

Desde sus inicios el desarrollo de DNS se llev a cabosin considerar la seguridad pues el tamao de la red, eltipo de usuarios, y la utilizacin de recursos nopropiciaban incidentes de seguridad.

A medida que Internet creci y ms usuarios seconectaron aparecieron amenazas en los diferenctesservicios y se hizo necesario considerar la seguridadde los mismos.



39/65

Vulnerabilidades en DNS

DNS utiliza el protocolo UDP el cual acarrea mltiplesvulnerabilidades.

UDP no tiene mecanismos para verificar el origen decada paquete. Esto lo hace susceptible a spoofing y

ataques de origen



40/65


Muchas de ellas son de ndole general, como lasmencionadas anteriormente, pero hay unas cuantasque son intrnsecas al protocolo DNS como tal.



41/65


Los cuatro problemas principales que podemosencontrar en DNS son:

cache spoofing

traffic diversion

distributed denial-of-service attacks (DDoS)

buffer overruns.



42/65

Ataque de Negacin deServicio Distribuido (DDoS)

utilizando el DNS


Ataque de Negacin de Servicio Distribuido usando el


43/65

DNS

Ingredientes

AtacanteVctimaServidores de DNS con recursinactivada

SRC:VICTIMA

DST:DNS-R

SRC:

DNS-R

DST:

VICTIMA




44/65

DNS

SRC:VICTIMA

DST:DNS-R

SRC:DNS-R

DST:VICTIMA




45/65

DNS

SRC:VICTIMA

DST:DNS-R

SRC:DNS-R

DST:VICTIMA


Ataque de Negacin de Servicio Distribuido usando elDNS


46/65

DNS

SRC:VICTIMA

DST:DNS-R

SRC:

DNS-R

DST:

VICTIMA

www.datos.com.ve IN TXT ?

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXX

512 Bytes (en UDP) o ms (con TCP)


Ataque de Negacin de Servicio Distribuido usando elDNS
http://www.datos.com.ve/http://www.datos.com.ve/


47/65

DNS(Soluciones)

Contribuir NO teniendo servidores de DNS con recursinabierta al pblico

En ISPs Universidades En servidores de prueba, laboratorios, etc.

Validar los orgenes a nivel de enrutadores: (ej: cisco)



48/65

Ataque de Cumpleaos

(envenenamiento de cache)


Ataque de Cumpleaos(En enenamiento de Cache)


49/65

(Envenenamiento de Cache)

Cual es la probabilidad que en un grupo de 23personas, 2 o mas tengan la misma fecha denacimiento?

Probabilidad es mayor a !!!


Ataque de Cumpleaos(Envenenamiento de Cache)


50/65


www.mibanco.com.ve

ROOT-SERVERS

Servidores del .VE

Servidores de:mibanco.com.ve

SRC: SRSPT: 33333

DST: SDPT:53

(src: 53 dst:33333)

(src: 53 dst:33333)

(src: 53 dst:33333)

(src: 53 dst:41234)




51/65


SRC:Spoofed

DST:VICTIMA

VICTIMA:DNS con Recursinactivado

mibanco.com.ve

www.mibanco.com.ve A?


http://www.mibanco.com.ve/http://www.mibanco.com.ve/


52/65


SRC:Spoofed

DST:VICTIMA


mibanco.com.ve


DDoS




53/65


SRC:Spoofed

DST:VICTIMA


mibanco.com.ve


DDoS

SRC:mibanco..

DST:VICTIMA

QryID: 0-65536)SPT: Conocido

DPT: ConocidoA: 200.1.2.3QryID: RAND()




54/65


Probabilidad de xito de 100% con alrededorde 700 paquetes

Bsicamente es una carrera entre el

servidor autoritativo y el atacante, donde elatacante ya tiene la ventaja




55/65


Para minimizar la probabilidad deenvenenamiento:

Actualizar a BIND9

Utilizar servidores de DNS que generenpuertos origen aleatoriosMejorar el generador de nmeros aleatorios(/dev/random, algn dispositivo externo,etc.)

Las mismas previsiones del ataque DDoS


DNSSEC


56/65

DNSSEC

Las extensiones de seguridad de DNS solucionan losproblemas relacionados con:

Integridad de los datos

Source spoofing

No! protegen contra

distributed denial-of-service attacks (DDoS)

buffer overruns.


DNSSEC


57/65

DNSSEC

Esta extensin utiliza tecnologa ya conocida (PKI) parafuncionar y es totalmente transparente para losusuarios, es decir, ellos no necesitan realizar ningunaaccin para beneficiarse con DNSSEC.


DNSSEC


58/65

DNSSEC

Esta extensin utiliza tecnologa ya conocida (PKI)para funcionar

Es totalmente transparente para los usuarios, esdecir, ellos no necesitan realizar ninguna accin para

beneficiarse con DNSSEC.

Esta disponible slo a partir de Bind9. Actualice!


DNSSEC


59/65

El objetivo principal de esta extensin es garantizar laautenticidad e integridad de los datos

Esto se logra utilizando criptografa de claveasimtrica y simtrica

Puede utilizar tanto RSA como DSA

Se debe utilizar en conjunto con la restricciones paratransferencias de zonas


Configuracin DNSSEC


60/65

g

Lo primero que debemos hacer es restringirlatransferencias de zonas.

El comportamiento predefinido (no es por defectoporque no esta daado) de DNS es aceptar desde

cualquier mquina una lista completa de sus registros


Configuracin DNSSEC


61/65

g

options {allow-transfer { 192.168.4.154; };

};

O de una forma ms especfica

type master;zone "ejemplo.com" {

file "db.ejemplo.com";allow-transfer { 192.168.4.154; };

};


Configuracin DNSSEC


62/65

g

Para asegurar mucho ms nuestro servidorrestringimos tambin las actualizaciones

zone "ejemplo.com" {type master;

file "db.ejemplo.com";update-policy {grant allowed-www-updater self

www.ejemplo.com A;};

};


Configuracin DNSSEC


63/65

Finalmente configuramos TSIG para asegurar laautenticidad de la fuente de los datos

En el Master

key tsig-signing. {algorithm hmac-md5;secret "mZiMNOUYQPMNwsDzrX2ENw==";

};zone "ejemplo.com" {

type master;file "db.ejeplo.com";allow-transfer { key tsig-signing; };

};Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

Configuracin DNSSEC


64/65

En el Slavekey tsig-signing. {

algorithm hmac-md5;secret "mZiMNOUYQPMNwsDzrX2ENw==";

};

server 192.168.4.47 {transfer-format many-answers;keys { tsig-signing.; };

};zone "ejemplo.com" {

type slave;file "bak.ejemplo.com";allow-transfer { none; };

};Universidad de Los Andes Fac de Ingeniera Escuela de Sistemas Redes de Computadoras Prof. Gilberto Diaz

Finalmente para proteger el servidor contra cache-


65/65

poisoning

Evitamos la recursin

options {recursion no;

};


Documents

08_capaTransporteUDP