OS X: ¡Cómo bloquear estos protocolos frívolos!

1

Ejecuté un escaneo de puertos en mi Mac (OS X 10.9.4 si es relevante) y me di cuenta de todos estos protocolos aleatorios con casi ninguna explicación en Internet.

2 de los protocolos más inusuales incluyen ndl-aas y dec_dlm , y recuerdo que mantener un seguimiento de estos puertos abiertos en su computadora es generalmente una buena idea para mantener la seguridad de sus computadoras.

Así que mi pregunta

  • ¿Cuáles son los propósitos de los protocolos ndl-aas y dec_dlm ?
  • ¿Y cómo bloqueo el acceso a estos puertos?
pregunta user4493605 18.09.2015 - 08:02

2 respuestas

5

Puede encontrar más detalles sobre estos servicios en Base de datos de puertos de SpeedGuide o en Registro de puertos de servicio de la AIA :

El OS X no usa AFAIK fuera de la caja, por lo que es probable que haya instalado algunas cosas adicionales por su cuenta (3128 también lo usa, por ejemplo, squid ).

Para verificar los procesos que escuchan activamente en estos puertos, puedes usar lsof -i :3128 y lsof -i :625 .

    
respondido por el nohillside 18.09.2015 - 08:36
2

Aquí hay una lista de todos los puertos utilizados por los productos de Apple: Puertos TCP y UDP utilizados por los productos de software de Apple - Soporte de Apple

Los nombres de servicio (por ejemplo, dec_dlm) no reflejan necesariamente el servicio real que se ejecuta en un puerto. Además, un servicio que se ejecuta en su Mac puede desviarse a otro puerto no estándar.

De acuerdo con la lista de Apple anterior, el puerto 625 está dedicado a:

  

Nombre del servicio o protocolo: Open Directory Proxy (ODProxy) (uso no registrado)
Nombre del servicio: dec_dlm
RFC: -
Utilizado por / Información adicional: Open Directory, aplicación de servidor, administrador de grupos de trabajo   DirectoryServices en OS X Lion y anteriores. Nota: este puerto está registrado para DEC DLM

El puerto 3128 no aparece en la lista de Apple. Según speedguide.net los siguientes servicios utilizan el puerto 3128:

  

Servicio: Detalles:
  Puerto del servidor API activo ndl-aas (asignación oficial)
  Squid-http Proxy Server (no oficial)
  calamar-http calamar-http (no oficial)
  http Tatsoft (no oficial)
  ReverseWWWTunnel Reverse WWW Tunnel Backdoor (troyano)
  RingZero RingZero (trojan)
  Masters Paradise Masters Paradise (puerta trasera) (a menudo también aparece en la lista con el puerto 3129)

Dado que los últimos tres son malware para Windows, se descartan. Tatsoft (http) es un software exclusivo de Windows. El puerto del servidor de la API activa es completamente desconocido (para mí).

Probablemente estés ejecutando un squid-proxy en tu Mac.

Para detectar el proceso de escucha activa en un puerto:

lsof -i :[port-number]

o si no se presenta ningún resultado:

sudo lsof -i :[port-number]

Portscans

Escaneando los hosts con nmap, encontré los siguientes puertos abiertos en Client / Server 10.9 / 10.10 (no hay servicios como ssh o http en ejecución):

Escaneado 127.0.0.1:

10.9.5 Cliente / 10.10.5 Cliente:

  • 631 / tcp open ipp

10.9.5 Servidor:

  • 311 / tcp open asip-webadmin
  • 631 / tcp open ipp
  • 4443 / tcp open pharos
  • 4444 / tcp open krb524
  • 62308 / tcp abierto desconocido

10.10.5 Servidor:

  • 88 / tcp abre kerberos-sec
  • 631 / tcp open ipp
  • 4443 / tcp open pharos
  • 4444 / tcp open krb524
  • 62308 / tcp abierto desconocido

Escaneando [dirección ip]:

10.9.5 Cliente / 10.10.5 Cliente / 10.9.5 Servidor:

  • sin puertos abiertos

10.10.5 Servidor:

  • 88 / tcp abre kerberos-sec

Resultado: los puertos 625/3128 probablemente son utilizados por algún software de terceros. Para deshabilitarlos, verifique los procesos de inducción con lsof y deténgalos o descargue los respectivos demonios o agentes de inicio. Para bloquear el acceso usa un cortafuegos.

    
respondido por el klanomath 19.09.2015 - 01:32

Lea otras preguntas en las etiquetas