Guide pour éviter les problèmes d'amplification Portmapper

Qu'est ce que Portmapper

Le service de mappage de port (rpc.portmap, portmap ou rpcbind) est un service d’appel de procédures à distance d’informatique réseau ouverte (ONC RPC) qui s’exécute sur les nœuds de réseau qui offrent d’autres services ONC RPC.

Un hôte peut se connecter à un serveur qui prend en charge le protocole Portmapper en passant par le port TCP/UDP numéro 111.  

Consultez le site Web suivant pour en savoir davantage au sujet de ce protocole : https://fr.wikipedia.org/wiki/Portmap

Description de l’attaque par amplification

Le protocole Portmapper UDP peut être utilisé à mauvais escient et servir à une attaque par déni de service dans le dessein d’amplifier le trafic. Les serveurs utilisant le protocole Portmapper sont vulnérables aux attaques par déni de service distribué par réflexion (DRDoS).

L’attaquant envoie sur le port 111 d’un tel serveur un grand nombre des paquets UDP en usurpant une adresse IP source qui fera paraître ces paquets légitimes.

Vérification de la vulnérabilité de votre serveur ou périphérique

Ci-dessous, quelques exemples de résultats d’analyse :

1) Le port Portmapper UDP est vulnérable (xx.xx.xx.xx représente l’adresse IP du serveur).

rpcinfo -T udp -p xx.xx.xx.xx
program vers proto port service
100000 4 tcp 111 portmapper
100000 3 tcp 111 portmapper
100000 2 tcp 111 portmapper
100000 4 udp 111 portmapper
100000 3 udp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 49500 status
100024 1 tcp 47792 status
[...]

Solution

Différentes options vous sont offertes pour protéger votre serveur ou votre périphérique :

1) Désactivez le service Portmapper si vous ne l’utilisez pas. Il s’agit de la solution la plus facile et la plus efficace. Il se peut cependant qu’elle ait une incidence sur le service NFS (sauf si vous utilisez NFSv4 qui n'a aucune interaction avec portmapper).

2) Configurez votre pare-feu de façon à restreindre les requêtes entrantes destinées au service Portmapper à une liste spécifique d’hôtes et de réseaux ou à les bloquer complètement. Veuillez vous assurer que la règle de pare-feu sera enregistrée et rechargée après le redémarrage du serveur.

Références (en anglais seulement)

  1. https://www.us-cert.gov/ncas/alerts/TA14-017A
  2. https://tools.ietf.org/html/rfc1833
  3. https://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-nfs.html
Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk