Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

CERT-Bund-Reports

Offene Portmapper-Dienste

Der Portmapper (portmap, rpcbind) übernimmt die Zuordnung von RPC-Anfragen (Remote Procedure Calls) zu Netzwerkdiensten. Er wird zum Beispiel für die Einbindung von Netzlaufwerken über das Network File System (NFS) benötigt.

Problem

Offen aus dem Internet erreichbare Portmapper-Dienste können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden.

Prüfung

Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.

Um zu überprüfen, ob sich unter einer IP-Adresse ein offen aus dem Internet erreichbarer Portmapper-Dienst befindet, kann das Programm 'rpcinfo' verwendet werden:

$ rpcinfo -T udp -p 192.168.45.67

Ein offen erreichbarer Portmapper-Dienst liefert eine Antwort wie die folgende zurück:

program vers proto   port  service

100000    4   tcp    111  portmapper

100000    3   tcp    111  portmapper

100000    2   tcp    111  portmapper

100000    4   udp    111  portmapper

100000    3   udp    111  portmapper

100000    2   udp    111  portmapper

100024    1   udp  48035  status

100024    1   tcp  52605  status

Ist unter der IP-Adresse kein offener Portmapper-Dienst erreichbar, läuft die Anfrage in einen Timeout:

rpcinfo: can't contact portmapper: RPC: Remote system error - Connection timed out

Lösung

Wenn der Portmapper-Dienst (portmap, rpcbind) nicht benötigt wird, sollte er deaktiviert bzw. deinstalliert werden. Andernfalls sollte der Zugriff auf vertrauenswürdige Clients beschränkt werden, zum Beispiel durch die Blockierung eingehender Verbindungen auf Port 111/tcp und 111/udp auf der Firewall.

Auf Debian/Ubuntu-basierten Linux-Systemen kann ein nicht benötigter Portmapper-Dienst mit folgendem Kommando entfernt werden:

# apt-get remove rpcbind

Weitere Informationen

FAQ

Ähnliche Themen

Zurück zu HowTo

Kurz-URL:
https://www.bsi.bund.de/dok/8369160