Hulpartikel overzicht

Hulpartikel

De RPC-portmapperservice onbereikbaar maken

De RPC-portmapperservice is een service welke er voor zorgt dat bepaalde applicaties op de juiste poort terecht komen. Dit wordt bijvoorbeeld gebruikt voor NFS / fileserverapplicaties. Helaas is het zo dat deze service bij externe toegang misbruikt kan worden als 'reflector' / 'amplification' om zo bij te dragen aan een (D)DoS-aanval. Daardoor is het belangrijk dat je deze service uitschakelt of voor externe toegang onbereikbaar maakt.

Hoe je de service voor externe toegang onbereikbaar maakt, vind je hieronder voor de meest gebruikte firewalls:


De service uitschakelen

De eenvoudigste wijze om te zorgen dat je portmapper-service niet misbruikt kan worden, is hem uitschakelen. Hoe je de service uitschakelt verschilt per OS, maar in de meeste gevallen kun je via onderstaande commando's de portmapper service uitschakelen:

systemctl stop rpcbind
systemctl stop rpcbind.socket
systemctl disable rpcbind
systemctl disable rpcbind.socket

Firewalld (CentOS 7, DirectAdmin, Plesk, cPanel)

In Firewalld zet je de portmapper poort 111 dicht met het commando:

sudo firewall-cmd --permanent --zone=public --remove-port=111/udp

Je ziet dan als terugkoppeling "success" terug op de commandline. Herlaad vervolgens nog de firewall om de nieuwe regel van kracht te laten worden:

sudo firewall-cmd --reload

Let op! Het kan uiteraard zo zijn dat je een 'eigen' firewall gebruikt waardoor deze commando's niet werken. Dit is bijvoorbeeld het geval wanneer je Plesk (hier kun je via Tools & Settings > Firewall de poorten sluiten) of een applicatie zoals ConfigServer Security & Firewall (CSF) gebruikt. Ook kun je bijvoorbeeld op CentOS 7 gewoon IPtables installeren en inschakelen in plaats van firewalld. Controleer dit dan ook eerst voordat je deze commando's uitvoert.


IPtables (CentOS 6 en Ubuntu)

Gebruik je IPtables, dan sluit je met de volgende commando's de portmapper poort 111:

sudo iptables -A INPUT -p udp --dport 111 -j DROP

Herlaad vervolgens nog de firewall om de nieuwe regel van kracht te laten worden:

sudo iptables-save | sudo tee /etc/sysconfig/iptables
sudo service iptables restart

Let op! Indien je Debian gebruikt zal IPtables niet standaard als service draaien (zie ook het volgende artikel). In dat geval kun je er voor kiezen om via het commando "apt-get install iptables-persistent" dit wel mogelijk te maken.


Windows Server Firewall 2008, 2012, 2016 & 2019

 

Stap 1

Klik op de startknop en gebruik de zoekterm 'Firewall'. Je kunt als alternatief ook in de Server Manager onder 'Tools' de firewall terugvinden.

Klik in de zoekresultaten op 'Windows Firewall with Advanced Security'.

windows search firewall


 

Stap 2

Klik met je rechtermuisknop op 'Inbound rules' en kies voor 'New Rule'.

windows firewall inbound new rule


 

Stap 3

Kies als rule type 'Port' en klik op 'Next'.

windows firewall rule type


 

Stap 4

Selecteer 'UDP' en voer bij de Specific local ports '111' in. Klik daarna op 'Next'.

windows firewall new rule protocol and port


 

Stap 5

Selecteer 'Block the connection' en klik op 'Next'. Bij de volgende pagina klik je weer op 'Next'.

windows firewall new rule action block


 

Stap 6

Geef je nieuwe rule daarna een naam en optioneel ook een description.

windows firewall new rule name

Mocht je de service nog wel lokaal bereikbaar willen maken, dan kun je bij de eigenschappen van deze regel ook specifieke IP-adressen in de whitelist instellen.


 

Hoe kan ik controleren dat de service niet langer actief dan wel kwetsbaar is?

Indien je gebruik maakt van een OS met een terminal (zoals OS X, BSD of Linux) dan kun je met behulp van 'rpcinfo' controleren of er nog een portmapper service actief is.

rpcinfo -p [IP adres] -T udp

 

Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

Wil je dit artikel met andere gebruikers bespreken, laat dan vooral een bericht achter onder 'Reacties'.

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

0
sjmulder 17 september 2018 (#1955)

FreeBSD

De portmap daemon is rpcbind. Deze staat aan als er een rpcbind_enable="YES" regel staat in /etc/rc.conf.

Verwijder deze regel om rpcbind helemaal uit te zetten.

Als rpcbind wel nodig is (bijvoorbeeld voor NFS), kan deze worden beperkt tot een intern netwerk (zoals TransIP's private network functie) met de -h optie. Zie man rpcbind. Deze kan via /etc/rc.conf worden ingesteld, bijvoorbeeld:

rpcbind_enable="YES"
rpcbind_flags="-h 192.168.0.2"

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op