Sehr geehrte Damen und Herren, das LRZ hat sich entschlossen, zum einen aus Sicherheitsgründen und zum anderen um die Aufwände für jeden einzelnen betroffenen Anwender (z.B. Lehrstuhl, Institut, Betriebsgruppe) zu reduzieren, eine Sperre des UDP-Ports 111 (portmap, rpcbind) am X-WiN-Übergang einzurichten. Die Umsetzung der Sperre erfolgt am Dienstag, den 26.04.2016, ab 07:30 Uhr. Wofür wird der Portmapper-Dienst verwendet? Der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen (Remote Procedure Calls) dem korrekten Dienst zuzuordnen, u.a wird er für Netzwerkfreigaben über das Network File System (NFS) genutzt. Standardmäßig wird für die Kommunikation Port 111 tcp/udp [1] verwendet. Von LRZ-Mitarbeitern durchgeführte Tests bestätigen, dass der Zugriff auf Netzwerkfreigaben via NFS über den von der Sperre betroffenen UDP-Port nicht beeinträchtigt wird. Welche Bedrohung besteht bei einem unzureichend abgesicherten Portmapper-Dienst? Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem Angreifer zur Durchführung von DDoS-Reflection/Amplification-Angriffen missbraucht werden. Darüber lassen sich zudem Informationen über das Netzwerk, wie z.B. laufende RPC-Dienste oder über vorhandene Netzwerkfreigaben erlangen. Einige der verwundbaren Systeme werden bereits aktiv für DDoS-Angriffe genutzt. Im Rahmen des Shadowserver 'Open Portmapper Scanning Projects' [2] werden weltweit Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem Internet beantworten. Diese Systeme können somit potentiell für derartige Angriffe missbraucht werden, sofern keine Gegenmaßnahmen implementiert wurden. Welche Maßnahmen werden empfohlen, um solche Angriffe zu verhindert? Als Gegenmaßnahmen werden nach unserem bisherigen Kenntnisstand folgende empfohlen [3]: 1) Abschalten/Deaktivieren des Portmapper/Rpcbind-Dienstes auf dem betroffenen Systemen 2) Beschränken des Dienst-Zugriffs per system-lokaler TCPWrapper-Konfiguration oder lokaler Host- bzw. Netz-Firewall (Blocken der Kommunikation auf Port 111/udp bzw. Einschränken der Kommunikation auf das lokale Subnetz) Sind Systeme im Münchner Wissenschaftsnetz bzw. in meinem Verantwortungsbereich betroffen? Aktuell sind im Münchner Wissenschaftsnetz (MWN) mehrere Hundert Systeme gefährdet. Sollten Sie selbst überprüfen wollen, ob öffentlich bzw. aus dem Internet erreichbare Systeme in ihrem Verantwortungsbereich betroffen sind, können Sie folgenden Befehl verwenden: rpcinfo -T udp -p [IP] Sollten Sie als Ergebnis eine Liste mit Portmapper-Diensten erhalten, so ist der Zugriff auf den Dienst und somit auch ein Missbrauch möglich. Wo finde ich weiterführende Informationen? Weiterführende Informationen, u.a. eine Beschreibung des Dienstes, des Shadowserver Projekts, Angriffsmöglichkeiten und Möglichkeiten zur Abwehr finden sich hier: [1] Wikipedia: Portmap <https://en.wikipedia.org/wiki/Portmap> [2] Shadowserver: Open Portmapper Scanning Project <https://portmapperscan.shadowserver.org/> [3] Level 3: A New DDoS Reflection Attack: Portmapper <http://blog.level3.com/security/a-new-ddos-reflection-attack- portmapper-an-early-warning-to-the-industry/> [4] US-CERT: UDP-based Amplification Attacks <https://www.us-cert.gov/ncas/alerts/TA14-017A> -- +----------------------------------------------------------+ | MWN/LRZ Abuse Response Team | | | | E-Mail: abuse@lrz.de | Leibniz-Rechenzentrum | | Phone: +49 89 35831 8800 | Boltzmanntraße 1 | | Fax: +49 89 35831 9700 | D-85748 Garching, Germany | +----------------------------------------------------------+