Portar

Port 2049: NFS

Nätverksfilsystem. Beror ofta på ytterligare RPC-tjänster och strikt nätverksomfattning.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

Port 2049 används av NFS, nätverksfilsystemet, för att dela filsystem över nätverket. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

En NFS-server lyssnar på 2049 så att klienter kan montera exporter och utföra filoperationer på distans som om de vore lokala. En klient ansluter, förhandlar om NFS-versionen och inställningarna och utför sedan läs-, skrivnings- och metadataoperationer när fjärrproceduren anropar över sessionen.

Beroende på NFS version och miljö kan andra RPC-relaterade tjänster vara inblandade för upptäckt och låsning, vilket kan utöka uppsättningen av nödvändiga flöden bortom en enda port. Ur säkerhetssynpunkt kan NFS exponera stora datavolymer om exporten är alltför tillåtande, och historiskt sett har vissa distributioner förlitat sig på nätverksförtroende mer än stark autentisering, så segmentering och export med minst privilegier har betydelse.

Hur det fungerar i stora drag

  1. Klienten kontaktar NFS-servern 2049 och förhandlar om NFS-versionen och alternativen.
  2. Klienten monterar exporterade sökvägar och utför filoperationer som RPC-anrop.
  3. Åtkomstbeslut beror på exportkonfiguration, klientidentitetsmappning och ibland Kerberos-baserad autentisering.

Konkret exempel

Ett datorkluster monterar en delad datauppsättning från en NFS-server. Om en arbetsstation också kan nå 2049 kan en angripare montera export- och kopieringsdata, så nätverksomfattning är lika viktigt som behörigheter.

Varför det är viktigt

NFS är kraftfull och riskabel om den exponeras brett. Det kan läcka filer, möjliggöra obehöriga skrivningar och bli en pivotpunkt. I moln- och datacenternätverk är NFS ofta begränsad till specifika undernät och stöds av starka identitetskontroller och exportpolicyer.

Säkerhetsperspektiv

  • Begränsa NFS till privata nätverk och endast de klienter som behöver det.
  • Använd starka exportpolicyer och överväg Kerberos-baserade säkerhetslägen där sådana finns.
  • Övervaka monteringar och åtkomstmönster och lagerexponerade exporter.

Vanliga fallgropar

  • Exponera NFS-exporter för breda nätverk eller för opålitliga klienter.
  • Förutsatt att användaridentitet upprätthålls när exporter konfigureras med svag mappning.
  • Att glömma att NFS prestanda och tillförlitlighet beror på nätverkslatens och korrekt låsbeteende.