Guía para evitar las problemas de amplificación del servicio Portmapper

¿Qué es Portmapper?

El mapeador de puertos (rpc.portmap, portmap o rpcbind) es un servicio de llamadas a procedimientos remotos de Open Network Computing (ONC RPC) que se ejecuta en nodos de red que proporcionan otros servicios de ONC RPC.

El host se puede conectar a un servidor que admita el protocolo de Portmapper en el puerto n.º 111 del protocolo de control de transmisión (TCP) o el protocolo de datagramas de usuario (UDP). 

Encontrará más información sobre este protocolo en el siguiente enlace: https://en.wikipedia.org/wiki/Portmap

Descripción del ataque de amplificación:

Se puede abusar del protocolo de Portmapper basado en UDP para amplificar el tráfico en ataques de denegación de servicio. Los servidores que ejecuten Portmapper son vulnerables a ataques de denegación de servicio reflexivos distribuidos (DRDoS).

El atacante genera una gran cantidad de paquetes UDP con direcciones IP de origen suplantadas para que parezca que los paquetes provienen del destino adecuado. Estos paquetes UDP se envían a los servidores de Portmapper (puerto 111).

Cómo comprobar si el servidor o dispositivo es vulnerable

Estos son algunos ejemplos de resultados cuando el puerto UDP de Portmapper es vulnerable
(xx.xx.xx.xx es la dirección IP del servidor)

# nmap -Pn -sU -p U:111 --script=rpcinfo xx.xx.xx.xx

Nmap scan report for xx.xx.xx.xx
PORT STATE SERVICE
111/udp open rpcbind
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100024 1 45676/udp status
|_ 100024 1 53787/tcp status

o, alternativamente:
# rpcinfo -s xx.xx.xx.xx
program version(s) netid(s) service owner
100000 2,3,4 local,udp,tcp,udp6,tcp6 portmapper superuser
100024 1 tcp6,udp6,tcp,udp status 106
[...]

Resolución

Existen diferentes opciones para proteger su servidor o dispositivo.

1) Deshabilite el servicio de Portmapper si no lo utiliza. Esta es la solución más simple y eficaz.
Si está utilizando NFSv3, debería considerar la segunda opción. Sin embargo, NFSv4 no interactúa con portmapper.

2) Configure su firewall para que limite las solicitudes entrantes del servicio de Portmapper según una lista específica de clientes o redes, o para que las bloquee en su totalidad. Verifique que la regla del firewall se guardará y se volverá a cargar después de reiniciar el servidor.

Referencias:

  1. https://www.us-cert.gov/ncas/alerts/TA14-017A
  2. https://tools.ietf.org/html/rfc1833
  3. https://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-nfs.html
¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk