Linux: Configurar RPC PortMapper por razones de seguridad

[hivitro]

 

Al despertar me encontré con un email interesante, ya que provenía de la Oficina Federal Alemana de Seguridad de la Información o bien llamada BSI (German Federal Office for Information Security ) indicandome que ciertos puertos de mi servidor no estaban correctamente configurados, y los mismos podrian ser utilizados como relay para realizar ataques de DDoS a otros sitios.

Quote

On 27 Sep 10:31, reports@reports.cert-bund.de wrote:

Dear Sir or Madam,

The Portmapper service (portmap, rpcbind) is required for mapping RPC requests to a network service. The Portmapper service is needed e.g. for mounting network shares using the Network File System (NFS).

The Portmapper service runs on port 111 tcp/udp.

 

In addition to being abused for DDoS reflection attacks, the Portmapper service can be used by attackers to obtain information on the target network like available RPC services or network shares.

 

Over the past months, systems responding to Portmapper requests from anywhere on the Internet have been increasingly abused DDoS reflection attacks against third parties.

 

El Manual de Debian nos indica que existen 2 caminos para lograr una mayor seguridad:

 

Quote

- Hacerlos sólo accesibles en los puntos de acceso (interfaces) que necesitan estar.

- Configurándolos correctamente para que sólo puedan ser utilizados por usuarios legítimos de una manera autorizada.

 

La lista de configuraciones es amplia, hay conceptos ya conocidos, como otros que es necesario ponerse al dia, yo por ejemplo no sabia la cantidad de "intentos de ataque" que recibía mi FTP diariamente, tratando de ingresar con el usuario "Anonimo", "ftp" y "www-data". Llegue al punto de pensar que no es mala la idea de desactivar el servidor de FTP mientras no lo uso, y si necesito subir archivos, me logueo por consola, lo activo, y tema solucionado.

Exactamente lo mismo, ocurre con el servidor de DNS, la cantidad de clientes conectados intentando leer los cache de navegacion parecia mentira, por un lado claramente no navego con el servidor, y sin embargo continuamente Bind9 esta informando los accesos no autorizados que rechaza. Considerando que administro los DNS con otra empresa, el servicio fue desistalado directamente!

 

RPC debe ser desactivado si no lo necesita.

Remote Procedure Call (RPC) es un protocolo que los programas pueden utilizar para solicitar servicios de otros programas ubicados en diferentes equipos. El servicio portmap controla los servicios RPC asignando números de programa RPC a números de puerto de protocolo DARPA; debe estar ejecutándose para realizar llamadas RPC.

Los servicios basados en RPC han tenido un registro de agujeros de seguridad, aunque el portmapper en sí no tiene (pero todavía proporciona información a un atacante remoto). Tenga en cuenta que algunos de los ataques DDoS (denegación distribuida de servicio) usan explotaciones RPC para entrar en el sistema y actuar como un agente / manejador.

Sólo necesita RPC si está utilizando un servicio basado en RPC. Los servicios RPC más comunes son NFS (Network File System) y NIS (Network Information System)

 

En debian, para saber si el servicio esta activo, solo necesite tipear:

$ sudo systemctl status rpcbind.service

 

Para luego detenerlo y desactivarlo!

$ sudo systemctl stop rpcbind.service

$ sudo apt-get remove rpcbind

 

Claramente, al no disponer  el servicio de DNS, ni tener activo el RPC portmapper, las peticiones en esos puertos pasan a ser nulas, y yo me quedo tranquilo que Merkel no me va a enviar a sus agentes de la SS para criticarme por estar mirando anime en ves de manuales de seguridad Linux!

 

Y digamos, que no quieres ser TAN radical como yo, y por ejemplo tienes un entorno gráfico GNOME y necesitas del servicio, lo que tendras que hacer es configurar el firewall, para que solo permita accesos desde tu red local/intranet o donde tu quieras, eso puedes darle un vistazo desde esta pagina

Saludos a todos y espero que algo de esta informacion les pueda ser util!