Portmap als Default offen

german

#1

Hallo,

das BSI-CERT ist in letzter Zeit sehr rührend um die Sicherheit im deutschen Internet bemüht. Wir haben gestern mehrere “Abuse”-Mitteilungen wie folgende bekommen (Umlaute sind überbewertet und unterwegs verlorengegangen):

[quote]Sehr geehrte Damen und Herren,

der Portmapper-Dienst (portmap, rpcbind) wird bentigt, um RPC-Anfragen
(Remote Procedure Calls) dem korrekten Dienst zuzuordnen. Der Portmapper-
Dienst wird u.a. fr Netzwerkfreigaben ber das Network File System (NFS)
bentigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp [1].

Ein aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem
Angreifer zur Durchfhrung von DDoS-Reflection/Amplification-Angriffen
missbraucht werden. Weiterhin kann ein Angreifer darber Informationen
ber das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene
Netzwerkfreigaben.

In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet
an den Portmapper-Dienst beantworten, zunehmend zur Durchfhrung von
DDoS-Reflection/Amplification-Angriffen missbraucht [2].

Im Rahmen des Shadowserver ‘Open Portmapper Scanning Projects’ werden
Systeme identifiziert, welche Anfragen an den Portmapper-Dienst aus dem
Internet beantworten. Diese Systeme knnen fr DDoS-Angriffe missbraucht
werden, sofern keine anderen Gegenmanahmen implementiert wurden.

CERT-Bund erhlt von Shadowserver die Testergebnisse fr IP-Adressen in
Deutschland, um betroffene Systembetreiber benachrichtigen zu knnen.
Weitere Informationen zu den von Shadowserver durchgefhrten Tests
finden Sie unter [3].

Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel gibt an, wann das System geprft wurde und
eine Anfrage an den Portmapper-Dienst aus dem Internet beantwortet hat.

Wir mchten Sie bitten, den Sachverhalt zu prfen und Manahmen zur
Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu
ergreifen bzw. Ihre Kunden entsprechend zu informieren.

Falls Sie krzlich bereits Gegenmanahmen getroffen haben und diese
Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen
Zeitstempel. Wurde die Gegenmanahme erfolgreich umgesetzt, sollten
Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung
mehr erhalten.

Referenzen:

[1] Wikipedia: Portmap
https://en.wikipedia.org/wiki/Portmap
[2] Level 3: A New DDoS Reflection Attack: Portmapper
<http://blog.level3.com/security/a-new-ddos-reflection-attack-
portmapper-an-early-warning-to-the-industry/>
[3] Shadowserver: Open Portmapper Scanning Project
https://portmapperscan.shadowserver.org/
[4] US-CERT: UDP-based Amplification Attacks
https://www.us-cert.gov/ncas/alerts/TA14-017A

Diese E-Mail ist mittels PGP digital signiert. Informationen zu dem
verwendeten Schlssel finden Sie auf unserer Webseite unter:
https://www.cert-bund.de/reports-sig

Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rckfragen wenden Sie sich bitte an certbund@bsi.bund.de.


Betroffene Systeme in Ihrem Netzbereich:

Format: ASN | IP address | Timestamp (UTC)
(entfernt) | (entfernt) | 2016-04-02 04:33:30

Mit freundlichen Gren
Team CERT-Bund

Bundesamt fr Sicherheit in der Informationstechnik (BSI)
Federal Office for Information Security
Referat C21 - CERT-Bund
Godesberger Allee 185-189, D-53175 Bonn, Germany[/quote]

Bei den betroffenen UCS ist in der Tat portmap wegen univention-nfs-server, der als Abhängigkeit von univention-role-server-common installiert wurde, offen.
Nun bin ich mir sicher, dass ich auf diesen konkreten Systemen definitiv kein von außen erreichbares NFS benötige, komme aber bei der Beschreibung der UCR-Variablen etwas ins Grübeln:

[code]# ucr search 111
security/packetfilter/package/univention-nfs/tcp/111/all/en: portmap
Variables following the scheme ‘security/packetfilter/PACKAGE/*’ are packet filter rules shipped by UCS packages (see ‘security/packetfilter/use_packages’). They should not be modified.

security/packetfilter/package/univention-nfs/tcp/111/all: ACCEPT
Variables following the scheme ‘security/packetfilter/PACKAGE/*’ are packet filter rules shipped by UCS packages (see ‘security/packetfilter/use_packages’). They should not be modified.

security/packetfilter/package/univention-nfs/udp/111/all/en: portmap
Variables following the scheme ‘security/packetfilter/PACKAGE/*’ are packet filter rules shipped by UCS packages (see ‘security/packetfilter/use_packages’). They should not be modified.

security/packetfilter/package/univention-nfs/udp/111/all: ACCEPT
Variables following the scheme ‘security/packetfilter/PACKAGE/*’ are packet filter rules shipped by UCS packages (see ‘security/packetfilter/use_packages’). They should not be modified.
[/code]

Ich werds trotzdem machen.

Mir ist natürlich auch klar, welche Relevanz diese Abuse-Meldung hat…

Viele Grüße,
Dirk Ahrnke


#2

Hallo,

bekomme regelmäßig bei zwei UCS Servern ebenfalls die Mail. Einer läuft ausschließlich mit owncloud und der Andere mit OpenXchange. Die weiteren haben bekommen aber diese Mail nicht. Wie hast du das Problem gelöst?


#3

Das hier sollte ausreichend sein:

ucr set security/packetfilter/package/univention-nfs/tcp/111/all='REJECT'
ucr set security/packetfilter/package/univention-nfs/udp/111/all='REJECT'
systemctl restart univention-firewall