mDNSResponder - conexión entrante de "[nombre de mi Macbook] 's-macbook-pro.local"

0

Cuando inicié sesión en mi cuenta de administrador para configurar algunas cosas en mi Macbook (navego usando una cuenta estándar), noté a través de mi aplicación de firewall de terceros, Little Snitch, que mDNSResponder había aceptado una conexión entrante del nombre dado al mismo Macbook en la LAN - [nombre] 's-Macbook-Pro.local.

Me preguntaba:

(1) ¿Qué significa esto realmente?

(2) Mientras no tenga habilitadas las opciones para compartir, ¿mi Macbook correrá el riesgo de cualquier problema de intrusión o relacionado con malware si tuviera que aceptar esta conexión incluso una vez? P.ej. alguien que intente violar mi contraseña de administrador para el inicio de sesión remoto, etc.

Ejecutando OS X 10.11.1, firewall integrado configurado para bloquear todas las conexiones entrantes, Little Snitch 3.6.1. Estoy en una red wifi doméstica. Hay otros 2 Macbooks, 3 iPhones y 1 computadora portátil que ejecutan Windows en la misma red.

    
pregunta oats58459 27.11.2015 - 09:05

1 respuesta

1

El mDNSResponder es responsable de manejar (más allá de otros aspectos) la distribución y resolución automática de los nombres de host de las computadoras sin usar un servidor DNS dedicado. En el mundo OS X esto se llama el servicio Bonjour. Los nombres locales de todos los dispositivos habilitados para Bonjour (o zeroconf), incluido su host, se envían a una dirección de multidifusión especial: 224.0.0.251.

Para detectar esos dispositivos, los firewalls deben abrir el puerto correspondiente y aceptar la conexión entrante.

Dado que su host probablemente es el único receptor y remitente en su red local, no existe un riesgo especial para aceptar esas conexiones entrantes.

En las redes más grandes, no SOHO o no domésticas, existen problemas de seguridad:

Problemas de seguridad (wikipedia) :

  

Debido a que mDNS opera con un modelo de confianza diferente al de unicast DNS: al confiar en toda la red en lugar de en un servidor DNS designado, es vulnerable a ataques de suplantación de identidad por parte de cualquier sistema dentro del rango de IP de multidifusión. Al igual que SNMP y muchos otros protocolos de administración de red, los atacantes también pueden utilizarlo para obtener rápidamente un conocimiento detallado de la red y sus máquinas. Debido a esto, las aplicaciones aún deben autenticar y cifrar el tráfico a los hosts remotos (por ejemplo, a través de RSA, SSH, etc.) después de descubrirlos y resolverlos a través de DNS-SD / mDNS.

    
respondido por el klanomath 27.11.2015 - 10:02

Lea otras preguntas en las etiquetas