Linux - Proxmox - Cert-Bund - Abuse Meldung - portmap, rpcbind


  • Kaum läuft die neue Proxmox-Instanz trudelt auch schon die erste Meldung vom BSI (Bundesamt für Sicherheit in der Informationstechnik) über offene Portmapper-Dienste ein
    • Die E-Mail habe ich Euch in den Anhang gehängt [1]
  • Der RPC-Port 111 wird gerne für Distributed-Denial-of-Service (DDoS) Attacken verwendet.
  • Da der Dienst von Proxmox nur für NFS benötigt wird, werden wir den Zugriff via IPTables verbieten

  • Bevor wir die IPTables-Regeln einpflegen, beenden wir wieder fail2ban
    • service fail2ban stop

  • Da der Server auf UDP und TCP lauscht, müssen wir beides sperren
  iptables -A INPUT -p tcp --dport 111 -j DROP
  iptables -A INPUT -p udp --dport 111 -j DROP
  • Anschließend speichern wir die Regeln mit iptables-save < /etc/iptables/rules.v4
  • Das BSI ignoriert IPv6 bisher komplett. Ist dies bei Euch in Verwendung, sollte auch hier die Ports gesperrt
ip6tables -A INPUT -p tcp --dport 111 -j DROP
ip6tables -A INPUT -p udp --dport 111 -j DROP
  • und mit ip6tables-save < /etc/iptables/rules.v6 gespeichert werden
  • Abschließend müssen wir fail2ban wieder starten
    • service fail2ban start

  • Natürlich kann der Dienst auch dekonfiguriert werden falls er nicht benötigt wird. Alternativ können interne Netze auch im Nachhinein erlaubt werden.

[1]

Sehr geehrte(r) Herr ...,

wir haben einen Sicherheitshinweis vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten.
Bitte beachten Sie die Originalmeldung ganz unten.

Die Weiterleitung dieser Beschwerde dient nur als Information für Sie.
Wir erwarten bezüglich dieser Beschwerde keine Rückmeldung Ihrerseits.
Wir bitten jedoch darum, der Meldung nachzugehen und evtl. Probleme zu beheben.

Weitere Informationen finden Sie in den unten referenzierten HOWTOs.
Bei weiteren Fragen wenden Sie sich bitte unter Beibehaltung der Ticketnummer der Originalmeldung [CB-Report#...] in der Betreffzeile an certbund@bsi.bund.de. 
Antworten Sie nicht an reports@reports.cert-bund.de, da diese Adresse nur zum Versand der Reports dient und Nachrichten an diese Adresse nicht gelesen werden.

Mit freundlichen Grüßen

Abuse-Team

On 26 Nov 15:06, reports@reports.cert-bund.de wrote:
> Sehr geehrte Damen und Herren,
> 
> der Portmapper-Dienst (portmap, rpcbind) wird bentigt, um RPC-Anfragen 
> einem Dienst zuzuordnen. Der Portmapper-Dienst wird u.a. fr 
> Netzwerkfreigaben ber das Network File System (NFS) bentigt. Der 
> Portmapper-Dienst verwendet Port 111 tcp/udp.
> 
> Ein offen aus dem Internet erreichbarer offener Portmapper-Dienst kann 
> von einem Angreifer zur Durchfhrung von DDoS-Reflection-Angriffen 
> missbraucht werden. Weiterhin kann ein Angreifer darber Informationen 
> ber das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder 
> vorhandene Netzwerkfreigaben.
> 
> In den letzten Monaten wurden Systeme, welche Anfragen aus dem 
> Internet an den Portmapper-Dienst beantworten, zunehmend zur 
> Durchfhrung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter 
> missbraucht.
> 
> Betroffene Systeme in Ihrem Netzbereich:
> 
> Format: ASN | IP | Timestamp (UTC) | RPC response
>  24940 | xxx.xxx.xxx.xxx | 2017-11-25 03:37:21 | 100000 4 111/udp; 
> 100000 3 111/udp; 100000 2 111/udp; 100000 4 111/udp; 100000 3 
> 111/udp; 100000 2 111/udp;
> 
> Wir mchten Sie bitten, den Sachverhalt zu prfen und Manahmen zur 
> Absicherung der Portmapper-Dienste auf den betroffenen Systemen zu 
> ergreifen bzw. Ihre Kunden entsprechend zu informieren.
> 
> Falls Sie krzlich bereits Gegenmanahmen getroffen haben und diese          
> Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen          
> Zeitstempel. Wurde die Gegenmanahme erfolgreich umgesetzt, sollten Sie 
> keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung mehr 
> erhalten.
> 
> Weitere Informationen zu dieser Benachrichtigung, Hinweise zur 
> Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf hufig 
> gestellte Fragen finden Sie unter:
> <https://reports.cert-bund.de/>
> 
> Diese E-Mail ist mittels PGP digital signiert.
> Informationen zu dem verwendeten Schlssel finden Sie unter:
> <https://reports.cert-bund.de>
> 
> Bitte beachten Sie:
> Dies ist eine automatisch generierte Nachricht. Antworten an die 
> Absenderadresse <reports@reports.cert-bund.de> werden NICHT gelesen 
> und automatisch verworfen. Bei Rckfragen wenden Sie sich bitte unter 
> Beibehaltung der Ticketnummer [CB-Report#...] in der Betreffzeile an 
> <certbund@bsi.bund.de>.
> 
> !! Bitte lesen Sie zunchst unsere HOWTOs und FAQ, welche unter !! 
> <https://reports.cert-bund.de/> verfgbar sind.
> 
> 
> 
> Mit freundlichen Gren / Kind regards
> Team CERT-Bund
> 
> Bundesamt fr Sicherheit in der Informationstechnik Federal Office for 
> Information Security (BSI) Referat CK22 - CERT-Bund Godesberger Allee 
> 185-189, 53175 Bonn, Germany

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen: