¿Para qué son las numerosas conexiones entrantes que veo en wifi público?

Question

¿Para qué son las numerosas conexiones entrantes que veo en wifi público?

#1 de daniel Azuelos (2 votos)
#2 de Philip Kearns (0 votos)

5

En general, el software de seguridad tengo desactivadas las conexiones entrantes ( Little Snitch ). Pero incluso cuando hago esto, en wifi público, veo numerosas conexiones entrantes para netbios y mDNSResponder permitidas automáticamente.

Por ejemplo, en una reciente estancia en un hotel, me enfrenté a una larga lista tan pronto como inicié sesión en el wifi allí (listado como permitido automáticamente por Little Snitch)

quecreciórápidamenteamiles

¿Para qué son estas conexiones entrantes? ¿Por qué se les permite automáticamente? ¿Son una amenaza de seguridad?

Tenga en cuenta que si bloqueo todas estas conexiones explícitamente con Little Snitch, mi acceso a la red falla, pero la red todavía parece funcionar cuando, alternativamente, bloqueo las conexiones entrantes utilizando el firewall de Apple (OS X 10.9)

yhabilitaelmodooculto

wifi security network firewall

pregunta orome 14.12.2013 - 21:21

2 respuestas

Lea otras preguntas en las etiquetas wifi security network firewall

¿Hay alguna forma de mover una ventana sin el mouse? enrutamiento de iMessage con múltiples dispositivos - Forzando la entrega de SMS

score 2 · Answer 1

netbios

Podrías bloquear las conexiones netbios con Little Snitch . Estas conexiones son intentos de conexión que generalmente se producen cuando Windows comparte la misma red Wi-Fi y prueba qué recursos compartidos e impresoras están disponibles en su computadora. Este protocolo se comporta como un chico que ingresa a un nuevo edificio y prueba todas las perillas de las puertas, cuando la puerta se abre, pregunta: ¿Cómo te llamas? ¿Qué compartes? ¿Usted imprime? Este protocolo es estúpido y peligroso, pero especialmente para Windows. Este protocolo es el vector líder de malware que se transmite dentro de la LAN de las empresas que usan Windows desde hace más de 20 años (hacia la era de los disquetes). Este protocolo es responsable de los mayores daños a la seguridad dentro de las grandes empresas.

netbios es una amenaza de seguridad .

En todo mi Mac, arranco este servicio ( netbiosd ), durante el procedimiento posterior a la instalación (consulte: … para deshabilite WINS en la configuración de red , trabajando en 10.7, 10.8, 10.9).

mDNSResponder

No puedes y no debes bloquear el mDNSResponder porque romperías el funcionamiento normal del DNS en tu Mac. Es decir. no podrá encontrar la dirección IP de www.microsoft.com .

mDNSREsponder no es una amenaza de seguridad (hoy).

Configuración del cortafuegos

Su método para bloquear la conexión a través del firewall MacOS X es el correcto y seguro en cualquier entorno agresivo.

score 0 · Answer 2

No estoy seguro de lo cómodo que estás con la línea de comando, pero aquí va. netstat es un comando que muestra (entre otras cosas) los puertos que están abiertos. Así que primero abro Terminal (en Aplicaciones / Utilidades) y luego netstat para ver una lista de conexiones establecidas (22 en mi caso). Intenta resolver las direcciones locales y extranjeras, así que aquí puedo ver las conexiones del navegador a stackoverflow.com :

vger.local:~(14)+>- /usr/sbin/netstat -a | fgrep stackoverflow
tcp4       0      0  10.1.1.80.57905        stackoverflow.co.http  ESTABLISHED
tcp4       0      0  10.1.1.80.57891        stackoverflow.co.http  ESTABLISHED
tcp4       0      0  10.1.1.80.52015        stackoverflow.co.http  ESTABLISHED
vger.local:~(15)+>-

( fgrep se usa aquí para filtrar la salida solo a aquellas líneas que contienen la cadena que estoy buscando). 10.1.1.80 es la IP de mi escritorio y el número después de que sea el puerto TCP. Así que ahora puedo usar lsof para ver qué programa tiene ese puerto abierto:

vger.local:~(15)+>- /usr/sbin/lsof -i TCP:52015
COMMAND PID    USER   FD   TYPE             DEVICE SIZE/OFF NODE NAME
firefox 631 pkearns   64u  IPv4 0x552e1c664da13fcb      0t0  TCP 10.1.1.80:52015->stackoverflow.com:http (ESTABLISHED)
vger.local:~(16)+>-

Firefox, no hay sorpresas allí. Si tiene los números de los puertos (conexiones) que están abiertos, puede usar lsof para ver qué proceso / programa los mantiene abiertos.