Re: ¿Cómo cerrar portmap?
> > Que te pueden hacer? hay una cantidad TERRIBLE de exploits para los
> > diferentes RPCs... Que todos cuelgan de Portmap. Quitas portmap y quitaste
> > todos.
>
> Esto, como verás ahora, no es *totalmente* cierto:
>
> - portmap: mapeador de puertos, te dice qué aplicación RPC está escuchando
> en qué puerto
>
> - programa RPC: el que está escuchando en el puerto
>
> Aunque no es común, podrías tener el programa RCP escuchando sin
> tener el portmapper hacia el exterior entonces:
>
> a) un atacante no podría saber qué aplicación escucha en el puerto 35554
> b) si un atacante encuentra el puerto 35554 entonces puede probar todos los
> ataques posibles contra todos los RPCs posibles (los RPCs se situan
> habitualmente en puertos elevados)
>
> Espero que os valga la matización...
Ug... Muy cierto, perdon por la metida de pata - Ahora que lo leo recuerdo
la gran cantidad de veces que me han repetido lo mismo, y sin embargo, no
se me pega! ;-) Pero bueno, de todos modos, muy poca gente requiere correr
Portmap, y no duele mandarlo a volar.
Mi firewall registra barridos al puerto 111 de todas las computadoras que
en determinado momento esten encendidas de menos con una frecuencia
diaria. Y si, tengo barridos de amplios rangos de puertos a direcciones
especificas, pero mucho menos. Toma mas tiempo encontrar un servicio RPC
sin Portmap que con el, y hay de menos un gusano que explota
automaticamente al rpc.statd de RedHat (que si bien a Debian no le pega,
pero bien que molesta!)
Saludos,
------------------------------------------------------------
Gunnar Wolf - gwolf@campus.iztacala.unam.mx - (+52)5623-1118
Desarrollo y Admon. de Sistemas en Red - FES Iztacala - UNAM
Departamento de Seguridad en Computo - DGSCA - UNAM
------------------------------------------------------------
Quidquid latine dictum sit, altum viditur.
Reply to: