OS X: Como bloquear esses protocolos frívolos!

1

Eu corri uma varredura de porta no meu Mac (OS X 10.9.4 se for relevante) e percebi todos esses protocolos aleatórios com quase nenhuma explicação na internet.

2 dos protocolos mais incomuns incluem ndl-aas e dec_dlmE lembro que acompanhar essas portas abertas no seu computador geralmente é uma boa ideia para manter a segurança de seus computadores.

Então minha pergunta

  • Quais são os propósitos dos protocolos ndl-aas e dec_dlm?
  • E como bloquear o acesso a essas portas?
user4493605
fonte
2
Você executa a versão do servidor do Mavericks ou configurou alguns serviços com, por exemplo, o homebrew?
klanomath

Respostas:

2

Aqui está uma lista de todas as portas usadas pelos produtos da Apple: Portas TCP e UDP usadas pelos produtos de software da Apple - Suporte da Apple

Os nomes de serviço (por exemplo, dec_dlm) não refletem necessariamente o serviço real em execução em uma porta. Além disso, um serviço em execução no seu Mac pode ser desviado para outra porta não padrão.

De acordo com a lista da Apple acima, a porta 625 é dedicada a:

Serviço ou Nome do Protocolo: Open Directory Proxy (ODProxy) (uso não registrado)
Nome do Serviço: dec_dlm
RFC: -
Usado por / informações adicionais: Abra o diretório, o aplicativo do servidor, o Gerenciador de grupos de trabalho   DirectoryServices no OS X Lion e anteriores. Nota: Esta porta está registrada no DEC DLM

A porta 3128 não aparece na lista da Apple. De acordo com speedguide.net os seguintes serviços usam a porta 3128:

Serviço: Detalhes:
Porta do servidor de API ativa do ndl-aas (atribuição oficial)
squid-http Proxy Server (não oficial)
squid-http squid-http (não oficial)
http Tatsoft (não oficial)
Backdoor reverso do túnel WWW reversoWWWTunnel (trojan)
RingZero RingZero (trojan)
Masters Paradise Masters Paradise (backdoor) (muitas vezes também listados com o porto 3129)

Como os três últimos são malware do Windows, eles estão descartados. O Tatsoft (http) é um software somente para Windows. Active API Server Port é completamente desconhecido (para mim).

Provavelmente você está executando um proxy de squid no seu Mac.

Para detectar o processo ativamente escutando em uma porta use:

lsof -i :[port-number]

ou se nenhum resultado for apresentado:

sudo lsof -i :[port-number]

Portscans

Analisando os hosts com o nmap Encontrei as seguintes portas abertas no Cliente / Servidor 10.9 / 10.10 (sem serviços como ssh ou http em execução):

Varredura 127.0.0.1:

10.9.5 Cliente / 10.10.5 Cliente:

  • 631 / tcp open ip

10.9.5 Servidor:

  • 311 / tcp aberto asip-webadmin
  • 631 / tcp open ip
  • 4443 / tcp open pharos
  • 4444 / tcp aberto krb524
  • 62308 / tcp open desconhecido

10.10.5 Servidor:

  • 88 / tcp kerberos-sec abertos
  • 631 / tcp open ip
  • 4443 / tcp open pharos
  • 4444 / tcp aberto krb524
  • 62308 / tcp open desconhecido

Digitalização [endereço IP]:

10.9.5 Cliente / 10.10.5 Cliente / 10.9.5 Servidor:

  • sem portas abertas

10.10.5 Servidor:

  • 88 / tcp kerberos-sec abertos

Resultado: as portas 625/3128 são provavelmente usadas por algum software de terceiros. Para desabilitá-los, verifique os processos de indução com lsof e pare-os ou descarregue o respectivo daemon ou agentes de ativação. Para bloquear o acesso, use um firewall.

klanomath
fonte