Sperre des UDP-Ports 111 (portmap, rpcbind) am X-WiN-Übergang

MWN/LRZ Abuse Response Team abuse at lrz.de
Do Apr 14 15:42:01 CEST 2016 

Sehr geehrte Damen und Herren,

das LRZ hat sich entschlossen, zum einen aus Sicherheitsgründen und zum
anderen um die Aufwände für jeden einzelnen betroffenen Anwender (z.B.
Lehrstuhl, Institut, Betriebsgruppe) zu reduzieren, eine Sperre des
UDP-Ports 111 (portmap, rpcbind) am X-WiN-Übergang einzurichten.

Die Umsetzung der Sperre erfolgt am Dienstag, den 26.04.2016, ab 07:30 Uhr.

Wofür wird der Portmapper-Dienst verwendet?
Der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen
(Remote Procedure Calls) dem korrekten Dienst zuzuordnen, u.a wird er
für Netzwerkfreigaben über das Network File System (NFS) genutzt.
Standardmäßig wird für die Kommunikation Port 111 tcp/udp [1] verwendet.
Von LRZ-Mitarbeitern durchgeführte Tests bestätigen, dass der Zugriff
auf Netzwerkfreigaben via NFS über den von der Sperre betroffenen
UDP-Port nicht beeinträchtigt wird.

Welche Bedrohung besteht bei einem unzureichend abgesicherten
Portmapper-Dienst?
Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von
einem Angreifer zur Durchführung von
DDoS-Reflection/Amplification-Angriffen missbraucht werden. Darüber
lassen sich zudem Informationen über das Netzwerk, wie z.B. laufende
RPC-Dienste oder über vorhandene Netzwerkfreigaben erlangen.
Einige der verwundbaren Systeme werden bereits aktiv für DDoS-Angriffe
genutzt.

Im Rahmen des Shadowserver 'Open Portmapper Scanning Projects' [2]
werden weltweit Systeme identifiziert, welche Anfragen an den
Portmapper-Dienst aus dem Internet beantworten. Diese Systeme können
somit potentiell für derartige Angriffe missbraucht werden, sofern keine
Gegenmaßnahmen implementiert wurden.

Welche Maßnahmen werden empfohlen, um solche Angriffe zu verhindert?
Als Gegenmaßnahmen werden nach unserem bisherigen Kenntnisstand folgende
empfohlen [3]:

1) Abschalten/Deaktivieren des Portmapper/Rpcbind-Dienstes auf dem
betroffenen Systemen

2) Beschränken des Dienst-Zugriffs per system-lokaler
TCPWrapper-Konfiguration oder lokaler Host- bzw. Netz-Firewall (Blocken
der Kommunikation auf Port 111/udp bzw. Einschränken der Kommunikation
auf das lokale Subnetz)

Sind Systeme im Münchner Wissenschaftsnetz bzw. in meinem
Verantwortungsbereich betroffen?
Aktuell sind im Münchner Wissenschaftsnetz (MWN) mehrere Hundert Systeme
gefährdet. Sollten Sie selbst überprüfen wollen, ob öffentlich bzw. aus
dem Internet erreichbare Systeme in ihrem Verantwortungsbereich
betroffen sind, können Sie folgenden Befehl verwenden:

rpcinfo -T udp -p [IP]

Sollten Sie als Ergebnis eine Liste mit Portmapper-Diensten erhalten, so
ist der Zugriff auf den Dienst und somit auch ein Missbrauch möglich.

Wo finde ich weiterführende Informationen?
Weiterführende Informationen, u.a. eine Beschreibung des Dienstes, des
Shadowserver Projekts, Angriffsmöglichkeiten und Möglichkeiten zur
Abwehr finden sich hier:

[1] Wikipedia: Portmap
   <https://en.wikipedia.org/wiki/Portmap>
[2] Shadowserver: Open Portmapper Scanning Project
   <https://portmapperscan.shadowserver.org/>
[3] Level 3: A New DDoS Reflection Attack: Portmapper
   <http://blog.level3.com/security/a-new-ddos-reflection-attack-
    portmapper-an-early-warning-to-the-industry/>
[4] US-CERT: UDP-based Amplification Attacks
   <https://www.us-cert.gov/ncas/alerts/TA14-017A>

-- 
+----------------------------------------------------------+
| MWN/LRZ Abuse Response Team                              |
|                                                          |
| E-Mail:  abuse at lrz.de       |  Leibniz-Rechenzentrum     |
| Phone:   +49 89 35831 8800  |  Boltzmanntraße 1          |
| Fax:     +49 89 35831 9700  |  D-85748 Garching, Germany |
+----------------------------------------------------------+

Mehr Informationen über die Mailingliste aktuell