5.2. Protección de Portmap

El servicio portmap es un demonio de asignación de puertos dinámico para servicios RPC, tales como NIS y NFS. Tiene mecanismos de autenticación débiles y la habilidad de asignar un amplio rango de puertos para los servicios que controla. Por estas razones, es difícil de asegurar.

NotaNota
 

El asegurar portmap solamente afecta a las implementaciones de NFSv2 y NFSv3 , puesto que NFSv4 ya no lo requiere. Si planea implementar un servidor NFSv2 o NFSv3, entonces se requiere portmap y la sección siguiente es relevante.

Si está ejecutando servicios RPC, debería seguir algunas reglas básicas.

5.2.1. Proteja portmap con TCP Wrappers

Es importante utilizar TCP wrappers para limitar qué redes o máquinas tienen acceso al servicio portmap puesto que éste no posee autenticación incorporada.

Además, solamente utilice direcciones IP cuando esté limitando el acceso al servicio. Evite los nombres de hosts, pues estos pueden ser falsificados a través de envenenamiento de DNS y otros métodos.

5.2.2. Proteger portmap con IPTables

Para restringir más aún el acceso al servicio portmap, es una buena idea añadir reglas de IPTables al servidor para así limitar el acceso a redes específicas.

Abajo se muestran dos ejemplos de comandos IPTables que permiten conexiones TCP al servicio portmap (escuchando en el puerto 111) desde la red 192.168.0/24 y desde la máquina local (la cual es necesaria para el servicio sgi_fam, utilizado por Nautilus). Todos los demas paquetes son descartados.

iptables -A INPUT -p tcp -s! 192.168.0.0/24  --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

Para limitar el tráfico UDP de forma similar, utilice el comando siguiente.

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

SugerenciaSugerencia
 

Consulte el Capítulo 7 para más información sobre la implementación de cortafuegos con comandos IPTables.