Ho trovato sulla mia macchina la porta 111 è aperta. Questo è elencato come RPC.
Capisco che ci sono possibili attacchi su questa porta. Come può essere attaccata la mia macchina se la porta 111 è aperta?
Come posso proteggere questa porta?
Le porte TCP e UDP 111 sono le porte conosciute per il portmapper di ONC RPC. Portmapper è analogo al DNS, nel senso che un server RPC registra con il processo portmapper sulla macchina su cui entrambi eseguono. Un server RPC fornisce al portmapper le porte su cui il server RPC ascolta le richieste e il numero (si spera univoco) che identifica l'interfaccia o il contratto fornito dal server RPC.
Un potenziale cliente RPC interroga il portmapper sulla porta 111, assegnandogli il numero che identifica il server RPC che il client RPC desidera utilizzare. Portmapper restituisce le porte TCP o UDP che il server RPC ha registrato in precedenza. Il client RPC quindi può contattare direttamente il server RPC, lasciando Portmapper fuori da ogni ulteriore interazione.
Se non si dispone di un processo del server RPC ONC in esecuzione, probabilmente non si dovrebbe eseguire portmapper. Il server RPC più comune dovrebbe essere NFS, Sun's Network File System, ma anche NIS e NIS + utilizzano tale sistema RPC. Il codice Portmapper aveva subito alcuni buffer overflow, ma in generale era piuttosto robusto. Non vorrei eseguire portmapper senza eseguire un server solo in base a un principio generale: perché sprecare i cicli della CPU su di esso e dare ai deficienti un obiettivo per provare gli exploit vecchi di 25 anni?
Portmapper può consentire a un utente malintenzionato di determinare rapidamente se si esegue un servizio vulnerabile. Tuttavia, il blocco di portmapper non è realmente sufficiente poiché è sufficiente chiamare la procedura 0 sulle porte aperte per trovare i servizi.
Se non hai bisogno di un accesso esterno ai tuoi servizi onc rpc, non permetterlo.
Leggi altre domande sui tag operating-systems network attacks ports