OS X: ¡Cómo bloquear estos protocolos frívolos!

Ejecuté un escaneo de puertos en mi Mac (OS X 10.9.4 si es relevante) y me di cuenta de todos estos protocolos aleatorios casi sin explicación en Internet.

2 de los protocolos más inusuales incluyen ndl-aasy dec_dlm, y recuerdo que hacer un seguimiento de estos puertos abiertos en su computadora es generalmente una buena idea para mantener la seguridad de sus computadoras.

entonces mi pregunta

  • ¿Cuáles son los propósitos de los protocolos ndl-aasy dec_dlm?
  • ¿Y cómo bloqueo el acceso a estos puertos?
¿Ejecutas la versión de servidor de Mavericks o configuraste algunos servicios con, por ejemplo, homebrew?

Respuestas (2)

Puede encontrar más detalles sobre estos servicios en la base de datos de puertos de SpeedGuide o en el registro de puertos de servicios de la IANA :

AFAIK ninguno de los puertos es utilizado por OS X de fábrica, por lo que probablemente haya instalado algunas cosas adicionales por su cuenta (3128 también se utiliza, por squidejemplo).

Para verificar los procesos que escuchan activamente en estos puertos, puede usar lsof -i :3128y lsof -i :625.

Esta es una lista de todos los puertos utilizados por los productos de Apple: Puertos TCP y UDP utilizados por los productos de software de Apple - Soporte técnico de Apple

Los nombres de los servicios (p. ej., dec_dlm) no reflejan necesariamente el servicio real que se ejecuta en un puerto. Además, un servicio que se ejecuta en su Mac puede desviarse a otro puerto no estándar.

De acuerdo con la lista anterior de Apple, el puerto 625 está dedicado a:

Nombre de servicio o protocolo: Open Directory Proxy (ODProxy) (uso no registrado)
Nombre de servicio: dec_dlm
RFC: -
Usado por / Información adicional: Open Directory, aplicación de servidor, servicios de directorio de Workgroup Manager en OS X Lion y versiones anteriores. Nota: este puerto está registrado en DEC DLM

El puerto 3128 no aparece en la lista de Apple. Según speedguide.net, los siguientes servicios utilizan el puerto 3128:

Servicio:                         Detalles:
ndl-aas Active API Server Port (asignación oficial)
squid-http Proxy Server (no oficial)
squid-http squid-http (no oficial)
http Tatsoft (no oficial)
ReverseWWWTunnel Reverse WWW Tunnel Backdoor (troyano )
RingZero RingZero (troyano)
Masters Paradise Masters Paradise (puerta trasera) (a menudo también aparece con el puerto 3129)

Dado que los tres últimos son malware de Windows, están descartados. Tatsoft (http) es un software exclusivo de Windows. El puerto del servidor API activo es completamente desconocido (para mí).

Probablemente esté ejecutando un squid-proxy en su Mac.

Para detectar el proceso de escucha activa en un uso de puerto:

lsof -i :[port-number]

o si no se presenta ningún resultado:

sudo lsof -i :[port-number]

Puertos escaneados

Al escanear los hosts con nmap, encontré los siguientes puertos abiertos en Client/Server 10.9/10.10 (no hay servicios como ssh o http en ejecución):

Escaneo 127.0.0.1:

10.9.5 Cliente/10.10.5 Cliente:

  •     631/tcp abierto ipp

10.9.5 Servidor:

  •     311/tcp abierto asip-webadmin
  •     631/tcp abierto ipp
  •   4443/tcp faros abiertos
  •   4444/tcp abierto krb524
  • 62308/tcp abierto desconocido

10.10.5 Servidor:

  •        88/tcp abierto kerberos-sec
  •      631/tcp abierto ipp
  •    4443/tcp faros abiertos
  •    4444/tcp abierto krb524
  •  62308/tcp abierto desconocido

Escaneando [dirección IP]:

10.9.5 Cliente/10.10.5 Cliente/10.9.5 Servidor:

  •  sin puertos abiertos

10.10.5 Servidor:

  •  88/tcp abierto kerberos-sec

Resultado: los puertos 625/3128 probablemente sean utilizados por algún software de terceros. Para deshabilitarlos, verifique los procesos inductores con lsof y deténgalos o descargue el respectivo demonio o agentes de lanzamiento. Para bloquear el acceso utilice un cortafuegos.

OS X: ¡Cómo bloquear estos protocolos frívolos!
RespuestasAquíPolítica de privacidad1y, 0v