Guía para evitar las problemas de amplificación del servicio Portmapper

¿Qué es Portmapper?

El mapeador de puertos (rpc.portmap, portmap o rpcbind) es un servicio de llamadas a procedimientos remotos de Open Network Computing (ONC RPC) que se ejecuta en nodos de red que proporcionan otros servicios de ONC RPC.

El host se puede conectar a un servidor que admita el protocolo de Portmapper en el puerto n.º 111 del protocolo de control de transmisión (TCP) o el protocolo de datagramas de usuario (UDP). 

Encontrará más información sobre este protocolo en el siguiente enlace: https://en.wikipedia.org/wiki/Portmap

Descripción del ataque de amplificación:

Se puede abusar del protocolo de Portmapper basado en UDP para amplificar el tráfico en ataques de denegación de servicio. Los servidores que ejecuten Portmapper son vulnerables a ataques de denegación de servicio reflexivos distribuidos (DRDoS).

El atacante genera una gran cantidad de paquetes UDP con direcciones IP de origen suplantadas para que parezca que los paquetes provienen del destino adecuado. Estos paquetes UDP se envían a los servidores de Portmapper (puerto 111).

Cómo comprobar si el servidor o dispositivo es vulnerable

Estos son algunos ejemplos de resultados:

 1) El puerto UDP de Portmapper es vulnerable (xx.xx.xx.xx es la dirección IP del servidor).

rpcinfo -T udp -p xx.xx.xx.xx
program vers proto port service
100000 4 tcp 111 portmapper
100000 3 tcp 111 portmapper
100000 2 tcp 111 portmapper
100000 4 udp 111 portmapper
100000 3 udp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 49500 status
100024 1 tcp 47792 status
[...]

Resolución

Existen diferentes opciones para proteger su servidor o dispositivo.

1) Deshabilite el servicio de Portmapper si no lo utiliza. Esta es la solución más simple y eficaz. Sin embargo, es posible que esta solución influya en el servicio NFS (a menos que usted esté utilizando NFSv4 el cual no interactúa con portmapper).

2) Configure su firewall para que limite las solicitudes entrantes del servicio de Portmapper según una lista específica de clientes o redes, o para que las bloquee en su totalidad. Verifique que la regla del firewall se guardará y se volverá a cargar después de reiniciar el servidor.

Referencias:

  1. https://www.us-cert.gov/ncas/alerts/TA14-017A
  2. https://tools.ietf.org/html/rfc1833
  3. https://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-nfs.html
¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk