OS X: Como bloquear esses protocolos frívolos!

Eu corri uma varredura de porta no meu Mac (OS X 10.9.4 se for relevante) e percebi todos esses protocolos aleatórios com quase nenhuma explicação na internet.

2 dos protocolos mais incomuns incluem ndl-aas e dec_dlmE lembro que acompanhar essas portas abertas no seu computador geralmente é uma boa ideia para manter a segurança de seus computadores.

Então minha pergunta

• Quais são os propósitos dos protocolos ndl-aas e dec_dlm?
• E como bloquear o acesso a essas portas?

Você pode encontrar mais detalhes sobre esses serviços em Base de dados de portas do SpeedGuide ou o Registro de porta de serviços da IANA :

• ndl-aas / 3128
• dec_dlm / 625

AFAIK nenhuma porta é usada pelo OS X fora da caixa, então você provavelmente instalou algumas coisas adicionais por você mesmo (o 3128 também é usado por squid por exemplo).

Para verificar se há processos ativamente ouvindo nessas portas, você pode usar lsof -i :3128 e lsof -i :625.

Aqui está uma lista de todas as portas usadas pelos produtos da Apple: Portas TCP e UDP usadas pelos produtos de software da Apple - Suporte da Apple

Os nomes de serviço (por exemplo, dec_dlm) não refletem necessariamente o serviço real em execução em uma porta. Além disso, um serviço em execução no seu Mac pode ser desviado para outra porta não padrão.

De acordo com a lista da Apple acima, a porta 625 é dedicada a:

Serviço ou Nome do Protocolo: Open Directory Proxy (ODProxy) (uso não registrado)
Nome do Serviço: dec_dlm
RFC: -
Usado por / informações adicionais: Abra o diretório, o aplicativo do servidor, o Gerenciador de grupos de trabalho   DirectoryServices no OS X Lion e anteriores. Nota: Esta porta está registrada no DEC DLM

A porta 3128 não aparece na lista da Apple. De acordo com speedguide.net os seguintes serviços usam a porta 3128:

Serviço: Detalhes:
Porta do servidor de API ativa do ndl-aas (atribuição oficial)
squid-http Proxy Server (não oficial)
squid-http squid-http (não oficial)
http Tatsoft (não oficial)
Backdoor reverso do túnel WWW reversoWWWTunnel (trojan)
RingZero RingZero (trojan)
Masters Paradise Masters Paradise (backdoor) (muitas vezes também listados com o porto 3129)

Como os três últimos são malware do Windows, eles estão descartados. O Tatsoft (http) é um software somente para Windows. Active API Server Port é completamente desconhecido (para mim).

Provavelmente você está executando um proxy de squid no seu Mac.

Para detectar o processo ativamente escutando em uma porta use:

lsof -i :[port-number]

ou se nenhum resultado for apresentado:

sudo lsof -i :[port-number]

Portscans

Analisando os hosts com o nmap Encontrei as seguintes portas abertas no Cliente / Servidor 10.9 / 10.10 (sem serviços como ssh ou http em execução):

Varredura 127.0.0.1:

10.9.5 Cliente / 10.10.5 Cliente:

• 631 / tcp open ip

10.9.5 Servidor:

• 311 / tcp aberto asip-webadmin
• 631 / tcp open ip
• 4443 / tcp open pharos
• 4444 / tcp aberto krb524
• 62308 / tcp open desconhecido

10.10.5 Servidor:

• 88 / tcp kerberos-sec abertos
• 631 / tcp open ip
• 4443 / tcp open pharos
• 4444 / tcp aberto krb524
• 62308 / tcp open desconhecido

Digitalização [endereço IP]:

10.9.5 Cliente / 10.10.5 Cliente / 10.9.5 Servidor:

• sem portas abertas

10.10.5 Servidor:

• 88 / tcp kerberos-sec abertos

Resultado: as portas 625/3128 são provavelmente usadas por algum software de terceiros. Para desabilitá-los, verifique os processos de indução com lsof e pare-os ou descarregue o respectivo daemon ou agentes de ativação. Para bloquear o acesso, use um firewall.