...
Kurzinfo:
Treffsicherheit:
Sehr gut, da offene Services relativ einfach via nmap & rpcinfo zu finden sind.
Beschreibung:
Durch (weltweit)offene Portmapper-Services können die betroffenen Maschinen leicht für Amplification Attacken ausgenutzt werden. Da dieses Service per UDP erreichbar ist, sind hier vor allem gespoofte IP Adressen mit im Spiel.
Durch das vermindern solcher weltweit offener Dienste (DNS, NTP monlist, Portmapper, SSDP,...) trägt man als Betreiber wesentlich zur Hygiene im Internet bei und schützt damit implizit andere vor DDoS Attacken bzw. seine eigene Infrastruktur vor (Ressourcen) Missbrauch.
Amplification Faktor:
lt. US-CERT ca. 7-28-fach
Gegenmaßnahmen:
- Service abdrehen sofern es nicht benötigt wird (zB für NFS Shares)
- Firewallregeln gezielt setzen und nur benötigte (zB. alle die NFS Shares nutzen müssen) und damit berechtigte IP Adressen via Firewall freischalten
- jedenfalls einschränken auf zB.
- Instituts-/fakultätsinterne, DLE-interne, zentrumsinterne IP Adressen
- zusätzlich wenn benötigt VPN IP Adressen
- ACOnet-Teilnehmer-interne IP Adressen
- jedenfalls einschränken auf zB.
- In regelmäßigen Abständen Firewallregeln sichten und zB. nach any-any-Rules oder dergleichen suchen
- In regelmäßigen Abständen die aufgedrehten Services auf den Maschinen sichten und nicht (mehr) benötigte abdrehen
Links:
http://blog.level3.com/security/a-new-ddos-reflection-attack-portmapper-an-early-warning-to-the-industry/
...
http://www.securityweek.com/rpc-portmapper-abused-ddos-attack-reflection-amplification
Erfahrungen:
- Sperren des UDP Ports 111 via Firewall dürfte helfen
- mehrere Interfaces einer Maschine werden durch den Scan (natürlich) nicht erkannt - d.h. es kann zu mehreren Meldungen für eigentlich dieselbe Maschine kommen
- Achtgeben, auch bei Minimalinstallationen ist dieses Service oft auch unbemerkt aufgedreht
- Bisher kaum false-positives bekannt