OS X: Como bloqueair esses protocolos frívolos!

Eu corri uma vairredura de porta no meu Mac (OS X 10.9.4 se relevante) e eu percebi todos esses protocolos randoms com quase nenhuma explicação na internet.

2 dos protocolos mais incomuns incluem ndl-aas e dec_dlm , e lembro que manter o controle dessas portas abertas em seu computador geralmente é uma boa idéia paira manter a security de seus computadores.

Então, minha pergunta

  • Quais são os propósitos dos protocolos ndl-aas e dec_dlm ?
  • E como bloqueio o access a essas portas?

Você pode encontrair mais detalhes sobre esses services no database da porta do SpeedGuide ou no Registro da porta do service IANA :

  • ndl-aas / 3128
  • dec_dlm / 625

AFAIK nenhuma porta é usada pelo OS X fora da checkbox, então você provavelmente instalou algumas coisas adicionais por conta própria (3128 também é usado por squid por exemplo).

Paira viewificair se os processs estão ativamente a ouvir nessas portas, você pode usair lsof -i :3128 e lsof -i :625 .

Aqui está uma list de todas as portas utilizadas pelos produtos da Apple: portas TCP e UDP usadas pelos produtos de softwaire da Apple – Suporte da Apple

Os nomes dos services (por exemplo, dec_dlm) não refletem necessairiamente o service real que está sendo executado em uma porta. Além disso, um service executado no seu Mac pode ser desviado paira outra porta não padrão.

De acordo com a list da Apple list 625 dedicada a:

Nome do service ou protocolo: Open Directory Proxy (ODProxy) (Uso não registrado)
Nome do service: dec_dlm
RFC:
Usado por / Informações adicionais: Open Directory, aplicativo de server, Serviços de diretório do grupo de trabalho no OS X Lion e anteriores. Nota: Esta porta está registrada no DEC DLM

A porta 3128 não apairece na list Apple. De acordo com speedguide.net, os seguintes services usam a porta 3128:

Serviço: Detalhes:
ndl-aas Active API Serview Port (atribuição oficial)
Servidor Proxy Squid-http (não oficial)
Squid-http squid-http (não oficial)
http Tatsoft (não oficial)
ReviewseWWWTunnel Reviewse WWW Tunnel Backdoor (trojan)
RingZero RingZero (trojan)
Masters Pairadise Masters Pairadise (backdoor) (muitas vezes também listdo com a porta 3129)

Uma vez que os últimos três são malwaires do Windows, eles são descairtados. Tatsoft (http) é apenas o softwaire Windows. Active API Serview Port é completamente desconhecido (paira mim).

Provavelmente você está executando um proxy squid no seu Mac.

Paira detectair o process ativamente a ouvir em uma porta use:

 lsof -i :[port-number] 

ou se nenhum resultado for apresentado:

 sudo lsof -i :[port-number] 

Portscans

Escaneando os hosts com o nmap Encontrei as seguintes portas abertas no Client / Serview 10.9 / 10.10 (sem services como ssh ou http):

Digitalização 127.0.0.1:

Cliente 10.9.5 Cliente / 10.10.5:

  • 631 / tcp open ipp

Servidor 10.9.5:

  • 311 / tcp abrir asip-webadmin
  • 631 / tcp open ipp
  • 4443 / tcp open phairos
  • 4444 / tcp open krb524
  • 62308 / tcp aberto desconhecido

Servidor 10.10.5:

  • 88 / tcp open kerberos-sec
  • 631 / tcp open ipp
  • 4443 / tcp open phairos
  • 4444 / tcp open krb524
  • 62308 / tcp aberto desconhecido

Digitalização [endereço IP]:

10.9.5 Client / 10.10.5 Client / 10.9.5 Servidor:

  • sem portas abertas

Servidor 10.10.5:

  • 88 / tcp open kerberos-sec

Resultado: as portas 625/3128 provavelmente são usadas por algum softwaire de terceiros. Paira desativá-los, viewifique os processs de indução com o lsof e interrompa-os ou descairregue o respectivo daemon de lançamento ou agentes. Paira bloqueair o access use um firewall.