Guide pour éviter les problèmes d'amplification Portmapper

Qu'est ce que Portmapper

Le service de mappage de port (rpc.portmap, portmap ou rpcbind) est un service d’appel de procédures à distance d’informatique réseau ouverte (ONC RPC) qui s’exécute sur les nœuds de réseau qui offrent d’autres services ONC RPC.

Un hôte peut se connecter à un serveur qui prend en charge le protocole Portmapper en passant par le port TCP/UDP numéro 111.  

Consultez le site Web suivant pour en savoir davantage au sujet de ce protocole : https://fr.wikipedia.org/wiki/Portmap

Description de l’attaque par amplification

Le protocole Portmapper UDP peut être utilisé à mauvais escient et servir à une attaque par déni de service dans le dessein d’amplifier le trafic. Les serveurs utilisant le protocole Portmapper sont vulnérables aux attaques par déni de service distribué par réflexion (DRDoS).

L’attaquant envoie sur le port 111 d’un tel serveur un grand nombre des paquets UDP en usurpant une adresse IP source qui fera paraître ces paquets légitimes.

Vérification de la vulnérabilité de votre serveur ou périphérique

Ci-dessous, quelques exemples de résultats d’analyse lorsque le port Portmapper UDP est vulnérable (xx.xx.xx.xx représente l’adresse IP du serveur).

# nmap -Pn -sU -p U:111 --script=rpcinfo xx.xx.xx.xx

Nmap scan report for xx.xx.xx.xx
PORT STATE SERVICE
111/udp open rpcbind
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100024 1 45676/udp status
|_ 100024 1 53787/tcp status

ou, autrement:
# rpcinfo -s xx.xx.xx.xx
program version(s) netid(s) service owner
100000 2,3,4 local,udp,tcp,udp6,tcp6 portmapper superuser
100024 1 tcp6,udp6,tcp,udp status 106
[...]

Solution

Différentes options vous sont offertes pour protéger votre serveur ou votre périphérique :

1) Désactivez le service Portmapper si vous ne l’utilisez pas. Il s’agit de la solution la plus facile et la plus efficace.
(Si vous utilisez NFSv3, vous devriez considérer la seconde option. Cependant NFSv4 n'a aucune interaction avec portmapper.)

2) Configurez votre pare-feu de façon à restreindre les requêtes entrantes destinées au service Portmapper à une liste spécifique d’hôtes et de réseaux ou à les bloquer complètement. Veuillez vous assurer que la règle de pare-feu sera enregistrée et rechargée après le redémarrage du serveur.

Références (en anglais seulement)

  1. https://www.us-cert.gov/ncas/alerts/TA14-017A
  2. https://tools.ietf.org/html/rfc1833
  3. https://www.centos.org/docs/5/html/Deployment_Guide-en-US/ch-nfs.html
Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk