[Alug] udp-Ports

[Michael Mueller]

Hallo Ingo,

du schriebst:
> wie sieht es eigentlich mit der Sicherheit von udp-Ports aus? Welche
> Angriffsformen sind denn da denkbar?

Insbesondere hat UDP den "angenehmen Vorteil", dass Spoofing der
Absenderadresse problemlos moeglich ist.

Natuerlich laesst sich UDP fuer eine sichere Kommunikation nutzen, z.B.
durch Nutzung einer Challenge-Response-Authentifizierung und
Sequenz-Nummern. Aber dann hat man etwas aehnliches wie ein
selbstgebasteltes TCP.

Ueblich sind durchaus Protokolle ohne Authentifizierung oder mit
Authentifizierung ueber die Absender-Adresse (was ja so ziemlich
aequivalent ist, s.o.). Wenn die Antwort der Gegenstelle nicht benoetigt
wird oder vorausgesagt werden kann (z.B. einfaches Acknoledge), so steht
einem Angreifer Tuer und Tor offen.

Laeuft auf dem angegriffenen Rechner kein Dienst welcher einem UDP Port
horcht, so bleibt ein Angriff erfolglos. Das darauf ausgesendete
ICMP-Paket (Fehlermeldung an den Absender des UDP-Paketes) enthaelt i.A.
keine sicherheitsrelavanten Information.

Ein spezielles Paketfilter-Problem gibt es fuer UDP auch noch: Fuer
einige UDP basierte Protokolle muss man eventuell die Tuer weiter
oeffnen als gewollt. So gibt es einige Dienste, die ihre Antwort von
einem multihomed host aus schonmal mit einer anderer Quelladresse
absenden, als die Empfaengeradresse in der Anfrage. So koennen dann
leicht Pakete fremder Absender durchschluepfen. 

Das Raten der richtigen Adressen der erlaubten Kommunikationspartner ist
meisst auch nicht schwer, z.B. sind ja DNS-Server i.A. oeffentlich
verzeichnet.

Es waren auch immer Angriffe mit fragmentierten Paketen beliebt. Je nach
Betriebssystem werden die ueberlappenden Teile der Fragmente
unterschiedlich verwendet. Beachtet eine Firewall dies nicht, so kann
der Client unter dem eingehenden Paket etwas ganz anderes verstehen, als
die Firewall meint hindurchgelassen zu haben. Aber das hat nicht mehr
viel mit den speziellen Eigenschaften von UDP zu tun.



Michael