Estoy notando una interfaz en mi sistema llamada ipsec0 pero no puedo entender qué la está creando.
No tengo instalado ningún software VPN o conexiones VPN configuradas en el sistema. Volver a mi servicio Mac también está deshabilitado.
A continuación se muestra la salida de ifconfig
ipsec0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 50000
El MTU de 50000 también es muy extraño.
En mi Mac, la interfaz ipsec0 tiene una dirección IPv6 que forma parte de /64 :
2607: fb90: 13c0: e82 :: / 64 que es propiedad de T-Mobile como se ve en el whois:
CIDR: 2607:FB90::/32
NetName: TMOV6-1
NetHandle: NET6-2607-FB90-1
Parent: NET6-2600 (NET6-2600-1)
NetType: Direct Allocation
OriginAS: AS21928
Organization: T-Mobile USA, Inc. (TMOBI)
RegDate: 2009-07-14
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET6-2607-FB90-1
Ya que es un túnel ipsec, podemos averiguar qué es la dirección del punto final buscando el tráfico en nuestra interfaz principal de salida (tcpdump en en0 por ejemplo), que es donde descubrimos que 208.54.40.75 es el punto final Dirección, que podemos whois de nuevo y volver:
NetRange: 208.54.0.0 - 208.54.159.255
CIDR: 208.54.128.0/19, 208.54.0.0/17
NetName: TMO2
NetHandle: NET-208-54-0-0-1
Parent: NET208 (NET-208-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: T-Mobile USA, Inc. (TMOBI)
RegDate: 1999-08-10
Updated: 2012-02-24
Ref: http://whois.arin.net/rest/net/NET-208-54-0-0-1
Así que ahora, la parte interesante, ¿qué es lo que abre esta conexión y para qué se utiliza?
Un comando útil para esto se denomina lsof que lista los archivos abiertos. Podemos pasarle un par de banderas y recuperar lo que está escuchando, junto con el proceso que está escuchando.
lsof -a -i -l -P | grep 2607:fb90:13c0:e82
En qué punto vemos algo como lo siguiente:
ntpd 198 0 32u IPv6 0x1c220855d5c2b5a1 0t0 UDP [2607:fb90:13c0:e82::]:123
CommCente 249 1001 26u IPv6 0x1c220855d59e9a91 0t0 UDP [2607:fb90:13c0:e82::]:5060
CommCente 249 1001 27u IPv6 0x1c220855d3b35a61 0t0 TCP [2607:fb90:13c0:e82::]:5060 (LISTEN)
El segundo número que aparece en la lista es el PID (ID de proceso) para el proceso que tiene la conexión abierta, por lo que podemos obtener más detalles sobre qué otras conexiones están abiertas mediante el uso de:
lsof -a -i -l -P -p 249
Esto producirá algo como lo siguiente:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
CommCente 249 1001 15u IPv4 0x1c220855d68c85a1 0t0 UDP 10.64.1.100:500->m4b2836d0.tmodns.net:500
CommCente 249 1001 20u IPv4 0x1c220855d336be89 0t0 UDP 10.64.1.100:4500->m4b2836d0.tmodns.net:4500
CommCente 249 1001 26u IPv6 0x1c220855d59e9a91 0t0 UDP [2607:fb90:13c0:e82::]:5060
CommCente 249 1001 27u IPv6 0x1c220855d3b35a61 0t0 TCP [2607:fb90:13c0:e82::]:5060 (LISTEN)
Podemos ver que esto tiene una conexión abierta en los puertos 500 y 4500. El puerto 500 se usa para el intercambio de claves cuando se utiliza una VPN basada en ipsec, y 4500 para los túneles ipsec para atravesar NAT, vea esta página para obtener más información: enlace
Y luego información sobre el proceso en sí:
ps auxwww | grep 249:
xistence 249 0.0 0.2 2582352 29932 ?? S 2:07PM 0:03.34 /System/Library/Frameworks/CoreTelephony.framework/Support/CommCenter
Entonces, basándonos en esto, podemos hacer un par de suposiciones:
Tan pronto como comienzo una llamada Wifi FaceTime mientras ejecuto tcpdump en la interfaz ipsec0 , veo el estándar SIP protocolo (que es lo que FaceTime usa para hacer llamadas).
tl; dr: ipsec0 se usa para llamadas Wifi.