Il servizio portmap è un demone di assegnazione della porta dinamica per servizi RPC come ad esempio NIS e NFS. Possiede deboli meccanismi di autenticazione, e ha l'abilità di assegnare una vasta gamma di porte per i servizi da lui controllati. Per questa ragione è difficile renderlo sicuro.
Se state eseguendo servizi RPC, vi consigliamo di seguire queste regole di base.
È importante l'uso dei wrapper TCP per limitare l'accesso al servizio portmap da parte di reti oppure da parte di host, dato che tale servizio non possiede alcuna forma interna di autenticazione.
Usare solo gli indirizzi IP quando cercate di limitare l'accesso al servizio. Evitare l'uso di hostname, in quanto essi possono essere modificati tramite il DNS poisoning e altri metodi.
Per limitare maggiormente l'accesso al servizio portmap, è buona idea aggiungere le regole IPTables al server, limitando così l'accesso a reti specifiche.
Di seguito vengono riportati due esempi di comandi IPTables,che abilitano i collegamenti TCP al servizio portmap (in ascolto sulla porta 111) dalla rete 192.168.0/24 e dal localhost (il quale è necessario per il servizio sgi_fam usato da Nautilus). Tutti gli altri pacchetti non vengono accettati.
iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP iptables -A INPUT -p tcp -s 127.0.0.1 --dport 111 -j ACCEPT |
Per limitare in modo analogo il traffico UDP, usare il seguente comando.
iptables -A INPUT -p udp -s! 192.168.0.0/24 --dport 111 -j DROP |
![]() | Suggerimento |
---|---|
Per maggiori informazioni sull'implementazione dei firewall con i comandi IPTable, consultate Capitolo 7. |