Seite 1 von 1
BSI empfiehlt portmapper (bzw. rpcbind) zu stoppen
Verfasst: 31.03.2016 21:57:46
von Liffi
Bei mir flatterte in den letzten Tag für eines unserer Systeme eine Email vom BSI[1] vorbei. Sie warnen davor, portmapper (bzw. rpcbind) laufen zu lassen, da mit diesem wohl über UDP DOS Attacken gefahren werden können. Bei uns lief der Dienst mehr oder weniger zufällig mit. Vermutlich habe ich damals "standard system utilities" ausgewählt, da ist er für nfs dabei.
Vielleicht hilft das dem ein oder anderen das Internet ein wenig sicherer zu machen.
[1]
https://gist.github.com/schmunk42/c8ed7 ... 6c85e644ab
Re: BSI empfiehlt portmapper (bzw. rpcbind) zu stoppen
Verfasst: 01.04.2016 09:28:24
von MSfree
Liffi hat geschrieben:Bei mir flatterte in den letzten Tag für eines unserer Systeme eine Email vom BSI[1] vorbei.
Oh Mann, das BSI mal wieder. Arbeiten da nur Amateure? Was kommt als nächstes? Das BSI empfiehlt, nicht mehr über TCP-Port 80 zu surfen?
Ich kenne keine Konfiguration, wo die nötigen NFS-Ports von aussen erreichbar wäre, die Gefahr für eine DOS-Attacke von aussen ist Null. Und wer die Infrastruktur von innen angreift, darf mit einer fristlosen Kündigung wegen Sabotage rechnen.
Die sollten das BSI lieber schließen, von denen kommt nichts sinnvolles rüber.
Re: BSI empfiehlt portmapper (bzw. rpcbind) zu stoppen
Verfasst: 01.04.2016 10:13:17
von uname
+1
Re: BSI empfiehlt portmapper (bzw. rpcbind) zu stoppen
Verfasst: 01.04.2016 12:42:09
von catdog2
Re: BSI empfiehlt portmapper (bzw. rpcbind) zu stoppen
Verfasst: 01.04.2016 15:45:17
von OppaErich
Guck mal auf den Kalender. Mal schauen ob das morgen auch noch so ist...
Edit: Da hätte ich wohl erstmal auf's Datum des Artikels schauen sollen.
Re: BSI empfiehlt portmapper (bzw. rpcbind) zu stoppen
Verfasst: 01.04.2016 15:53:43
von spiralnebelverdreher
MSfree hat geschrieben:Ich kenne keine Konfiguration, wo die nötigen NFS-Ports von aussen erreichbar wäre, die Gefahr für eine DOS-Attacke von aussen ist Null.
Anscheinend hat das BSI Hinweise auf ein so konfiguriertes System erhalten. Der Link im Eröffnungspost enthält m.E. konkrete Hinweise, dass diese Ports von außen erreichbar waren/sind:
BSI hat geschrieben:Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzbereich. Der Zeitstempel gibt an, wann das System geprüft wurde und eine Anfrage an den Portmapper-Dienst aus dem Internet beantwortet hat.
...
Betroffene Systeme in Ihrem Netzbereich:
Format:
ASN | IP address | Timestamp (UTC)
24940 | XXX.XXX.XXX.XXX | 2016-03-28 05:30:44
MSFree hat geschrieben:Die sollten das BSI lieber schließen, von denen kommt nichts sinnvolles rüber.
Wenn du meinst ...