Bundesamt für Sicherheit in der Informationstechnik

Offene Portmapper-Dienste

Der Portmapper (portmap, rpcbind) übernimmt die Zuordnung von RPC-Anfragen (Remote Procedure Calls) zu Netzwerkdiensten. Er wird zum Beispiel für die Einbindung von Netzlaufwerken über das Network File System (NFS) benötigt.

Problem

Offen aus dem Internet erreichbare Portmapper-Dienste können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden.

Prüfung

Dieser Abschnitt beschreibt, wie Sie Ihr System auf einen offenen Dienst prüfen können. Es existieren üblicherweise mehrere Wege, dies zu testen. Das hier beschriebene Verfahren ist eines davon. Für alle hier beschriebenen Testverfahren werden Programme verwendet, die in gängigen Linux/Unix-Distributionen enthalten sind. Um zu überprüfen, ob ein Dienst offen aus dem Internet erreichbar ist, sollte die Prüfung nicht auf dem System selbst oder im lokalen Netzwerk erfolgen, sondern von einem anderen System im Internet, zum Beispiel an einem Kabel/DSL-Internetzugang. In allen Beispielen muss 192.168.45.67 durch die IP-Adresse des Systems ersetzt werden, welches geprüft werden soll.

Um zu überprüfen, ob sich unter einer IP-Adresse ein offen aus dem Internet erreichbarer Portmapper-Dienst befindet, kann das Programm 'rpcinfo' verwendet werden:

$ rpcinfo -T udp -p 192.168.45.67

Ein offen erreichbarer Portmapper-Dienst liefert eine Antwort wie die folgende zurück:

program vers proto   port  service
100000 4 tcp 111 portmapper
100000 3 tcp 111 portmapper
100000 2 tcp 111 portmapper
100000 4 udp 111 portmapper
100000 3 udp 111 portmapper
100000 2 udp 111 portmapper
100024 1 udp 48035 status
100024 1 tcp 52605 status

Ist unter der IP-Adresse kein offener Portmapper-Dienst erreichbar, läuft die Anfrage in einen Timeout:

rpcinfo: can't contact portmapper: RPC: Remote system error - Connection timed out

Lösung

Wenn der Portmapper-Dienst (portmap, rpcbind) nicht benötigt wird, sollte er deaktiviert bzw. deinstalliert werden. Andernfalls sollte der Zugriff auf vertrauenswürdige Clients beschränkt werden, zum Beispiel durch die Blockierung eingehender Verbindungen auf Port 111/tcp und 111/udp auf der Firewall.

Auf Debian/Ubuntu-basierten Linux-Systemen kann ein nicht benötigter Portmapper-Dienst mit folgendem Kommando entfernt werden:

# apt-get remove rpcbind

Weitere Informationen