Abuse-Meldung des BSI zum Thema RPC und NFS

Geschäftsfähige Person bekommt mehr als sie bestellt hat.

Self-Hosting hat sehr viele Ecken und Kanten, doch sollte es niemanden abhalten sich aktiv mit den damit verbunden Vor- und Nachteilen zu beschäftigen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet hierbei sogar Warnungen für die gröbsten Schnitzer die zu ernsten Problemen werden könnten.

Das BSI sendet hierbei generelle Mitteilungen an den Abuse-C-Kontakt des IP-Netzwerks wie er bei RIPE eingetragen ist. Handelt es sich dabei um einen Provider, ist dieser angehalten, Meldungen direkt an den Kunden weiterzuleiten. Den Abuse-C-Kontakt einer IP kann man einfach ermitteln:

whois -h whois.ripe.net 116.203.57.224
 
% Information related to '116.202.0.0 - 116.203.255.255'
% Abuse contact for '116.202.0.0 - 116.203.255.255' is 'abuse@hetzner.com'
...

Eine dieser Mitteilungen des BSI weist auf einen offenen Port hin, der für RPC-Anfragen und dem Network File System (NFS) hin.

Sehr geehrte Damen und Herren,

der Portmapper-Dienst (portmap, rpcbind) wird benötigt, um RPC-Anfragen einem Dienst zuzuordnen. Der Portmapper-Dienst wird u. a. fr Netzwerkfreigaben ber das Network File System (NFS) benötigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp.

Ein offen aus dem Internet erreichbarer offener Portmapper-Dienst kann von einem Angreifer zur Durchführung von DDoS-Reflection-Angriffen missbraucht werden. Weiterhin kann ein Angreifer darüber Informationen ber das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder vorhandene Netzwerkfreigaben.

In den letzten Monaten wurden Systeme, welche Anfragen aus dem Internet an den Portmapper-Dienst beantworten, zunehmend zur Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht.

Das BSI schlägt sogar Lösungsansätze vor. Zusammengefasst sind diese natürlich einfach gehalten:

Die wahrscheinlichste Lösung ist die Deinstallation des RPC-Dienstes:

apt remove rpcbind

Sollte der Dienst aber notwendig sein, so kkann der Zugriff auf vertrauenswürdige Clients eingegrenzt werden. Dies erfordert, im einfachsten Fall, jedoch eine statische IP-Adresse.

Als einleitendes Beispiel könnte man hier

iptables -I INPUT -p udp --dport 111 -j DROP

verwenden, doch sei angemerkt das dies nicht einfach damit getan ist und die Verwendung von iptables für Anfänger viele Fallstricke hat. Sehr empfehlenswert sind die technischen Artikel des Thomas-Krenn-Teams oder die sehr hilfreiche Anleitung der Ubuntu Community , welche allerdings auf Englisch sind. Die man-Seiten zu iptables sind eine Welt für sich und leider nicht wirklich einsteigerfreundlich.

Abschließend weist das BSI noch auf die allgemeinen Informationen hin, die man zumindest mal überflogen haben sollte. Diese sind eine wichtige Quelle an interessanten Themen:

Weitere Informationen zu dieser Benachrichtigung, Hinweise zur Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf häufig gestellte Fragen finden Sie unter: https://reports.cert-bund.de/