5.2. Portmap sichern

Der portmap-Service ist ein dynamischer Port-Zuweisungs-Daemon für RPC-Services wie NIS und NFS. Es besitzt schwache Authentifizierungsmechanismen und hat die Fähigkeit, eine große Bandbreite an Ports für die von ihm kontrollierten Service zuzuweisen. Aus diesen Gründen ist portmap schwer zu sichern.

Wenn Sie RPC-Services ausführen, sollten Sie diese Grundregeln beachten.

5.2.1. Schützen von portmap mit TCP Wrappers

Es ist wichtig, TCP Wrappers zur Einschränkung des Zugriffs von Netzwerken und Hosts auf den portmap-Service einzusetzen, da letzterer keine integrierte Authentifizierungsmöglichkeit bietet.

Desweiteren sollten Sie nur IP-Adressen verwenden, wenn Sie den Zugriff auf den Service einschränken wollen. Vermeiden Sie Hostnamen, da sie durch DNS-Poisoning und andere Methoden gefälscht werden können.

5.2.2. Schützen mit portmap mit IPTables

Um den Zugriff auf den portmap-Service weiter einzuschränken, ist es sinnvoll, IPTables-Regeln zum Server hinzuzufügen, die den Zugriff auf bestimmte Netzwerke einschränken.

Unten finden Sie zwei Beispiele für IPTables-Befehle, die TCP-Verbindungen zum portmap-Service (auf Port 111) vom 192.168.0/24 Netzwerk und vom localhost (der für den sgi_fam-Service für Nautilus benötigt wird) ermöglichen. Alle anderen Pakete werden abgelehnt.

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

Um auf gleiche Weise UDP-Traffic einzuschränken, verwenden Sie den folgenden Befehl.

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

TippTipp
 

Unter Kapitel 7 finden Sie weitere Informationen zum Errichten von Firewalls mit dem IPTables-Befehl.