2.2.2. Cómo proteger a Portmap
El servicio
portmap
es un demonio de asignación de puerto dinámico para servicios de RPC tales como NIS y NFS. Tiene mecanismos de autenticación débiles y la capacidad de asignar un amplio rango de puertos para los servicios que controla. Por estos motivos es difícil proteger dicho servicio.
Nota
La protección de
portmap
solamente afecta las implementaciones NFSv2 y NFSv3, puesto que NFSv4 ya no lo requiere. Si piensa implementar un servidor NFSv2 o NFSv3, entonces necesitará portmap
y la siguiente sección se aplicará.
Si ejecuta servicios de RPC, siga las siguientes reglas básicas.
2.2.2.1. Proteja a portmap con envolturas TCP
Es importante usar envolturas TCP para las limitar a las redes o hosts que tienen acceso al servicio
portmap
, ya que éste no tiene una forma de autenticación incorporada.
Además, use únicamente direcciones IP para limitar el acceso al servicio. Evite el uso de nombres de hosts, puesto que pueden ser falsificados al envenenar el DNS y otros métodos.