Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Comprobación de servicios UDP

La presente guía de apoyo ofrece algunos métodos para verificar que las medidas correctivas aplicadas para deshabilitar, o restringir el acceso a los servicios UDP vulnerables son las adecuadas y cumplieron con el objetivo.

La guía se divide en secciones, cada una corresponde a uno de los siguientes servicios:

·         SSDP

·         NETBIOS

·         SNMP

·         NTP

·         DNS

·         CHARGEN

·         QOTD

En cada sección se ofrece el nombre del servicio, el puerto asociado al mismo, su factor de amplificación[1], un método para realizar una petición al servicio y un ejemplo de la respuesta esperada cuando se han aplicado medidas correctivas.

Requerimientos: Herramienta de exploración de redes  nmap

NOTA: Cuando se hace uso de nmap, la respuesta debe incluir en la columna STATE los valores open|filtered o closed. Si únicamente se indica open, la medida correctiva no fue la adecuada.


Servicio: NTP (Network Time Protocol)

Puerto: 123

Factor de amplificación: 556.9

Prueba 1:

nmap -sU -p 123 -Pn -n --script=ntp-monlist <IP>

Ejemplo de respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:16 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up.
PORT    STATE         SERVICE
123/udp open|filtered ntp

Prueba 2:

ntpq -c rv <IP>

Ejemplo de respuesta esperada:

<IP>: timed out, nothing received
***Request timed out


Servicio: CHARGEN (Character Generator Protocol)

Puerto: 19

Factor de amplificación: 358.8

Prueba:

nmap -sU -p 19 <IP>

Ejemplo de respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:16 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up.
PORT    STATE         SERVICE
19/udp  closed      chargen


Servicio: QOTD (Quote Of The Day)

Puerto: 17

Factor de amplificación: 140.3

Prueba:

nmap -sU -p 17 <IP>

Ejemplo de respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:16 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up.
PORT    STATE         SERVICE
17/udp closed      qotd


Servicio: DNS (Domain Name System)

Puerto: 53

Factor de amplificación: de 28 a 54

Prueba:

Se puede utilizar el sitio web http://www.kloth.net/services/nslookup.php para realizar una petición de resolución de dominio.

Se tiene que proporcionar el dominio a resolver y la dirección IP del equipo reportado

Respuesta esperada:

DNS server handling your query: 132.24x.xxx.xxx
DNS server's address:        132.24x.xxx.xxx#53
 ** server can't find wikipedia.org.frog.qrq.de: REFUSED

Servicio: SSDP (Simple Service Discovery Protocol)

Puerto: 1900

Factor de amplificación: 30.8

Prueba:

nmap -sU -p 1900 --script=upnp-info --reason <IP>

Respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 13:34 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up, received reset (0.0099s latency).
PORT STATE SERVICE REASON
1900/udp open|filtered upnp no-response


Servicio: SNMP (Simple Network Management Protocol)

Puerto: 161

Factor de amplificación: 6.3

Prueba:

nmap -sU -p 161 --script snmp-sysdescr <IP>

Respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:39 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up (0.020s latency).
PORT STATE SERVICE
161/udp open|filtered snmp


Servicio: NetBIOS (Network Basic Input/Output System)

Puerto: 137

Factor de amplificación: 3.8

Prueba:

nmap -sU -p 137 --script=nbstat.nse <IP>

Respuesta esperada:

Starting Nmap 6.00 ( http://nmap.org ) at 2014-04-23 14:35 CDT
Nmap scan report for 132.24x.xxx.xxx
Host is up (0.00042s latency).
PORT STATE SERVICE
137/udp open|filtered netbios-ns



[1] El factor de amplificación es la diferencia entre el tamaño del paquete de una petición y el tamaño del paquete de la respuesta a esa petición.

Revisión histórica

  • Liberación original: Jueves, 06 Octubre 2016
  • Última revisión: Martes, 11 Octubre 2016

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:

  • Fausto Pérez Mosco
    Demian García Velázquez
    Víctor Enrique Arteaga Lona

Para mayor información acerca de este documento contactar a:

UNAM-CERT: Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
Dirección General de Cómputo y Tecnologías de Información y Comunicación
Universidad Nacional Autónoma de México
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT