El Capitan OSx Server IP cím tiltás.

Címkék: #<Tag:0x00007fed8c714748> #<Tag:0x00007fed8c714658> #<Tag:0x00007fed8c714590>

Van otthoni hálózatban egy 2007-es Macbook Pro, azon El Capitan és OSx Server legújabb verziója. Ma nézegettem a system logot, mert hibát kerestem és akkor vettem észre, hogy 1-2 perces időközönként egy bizonyos IP címről megpróbálnak belépni VNC-n keresztül. Plusz szintén VNC-n keresztül 5 percenként egy másik IP-ről.
Hogyan lehet ez ellen védekezni? Nem vagy hálózati szakember, de azért valamit konyítok a dolgokhoz, de pont a tűzfal beállításokat vagy az ilyen védekezéssel kapcsolatos dolgokat nem ismerem. Főleg nem OSx-en.

Olvastam külföldi fórumon, hogy van az applenek (pontosabban OpenBSD dolog) egy pfctl programja, ami pont hasonló dolgokra jó. Ami persze nincs alapból engedélyezve. A manuálját olvasva nem jöttem rá a használatára. Elvileg a System Lib LaunchDaemons mappában megvan a plist fájlja, ami be is volt töltve, starttal megpróbáltam elindítani, de még mindig nem látom az eredményt, Ugyanúgy jönnek be az IP kérések. Hogyan kell esetleg ezt konfigurálni?

Milyen IP cimrol erkezik a keres? Bemasolod a sort, ahol irja a System log?

Oct 25 15:43:11 bakiproduction screensharingd[962]: Authentication: FAILED :: User Name: N/A :: Viewer Address: 185.125.4.196 :: Type: VNC DES
Oct 25 15:43:55 bakiproduction screensharingd[967]: Authentication: FAILED :: User Name: N/A :: Viewer Address: 218.2.0.16 :: Type: VNC DES

Ez a kettő van, az első 1-2 percenként próbálkozik a második 5 percenként.

u.i.: most jut eszembe, ezen a gépen már El Capitan van, nem Yosemite, frissítem a címet.

A routeren be van kapcsolva Port forwarding, ami erre a gepre mutat?

Igen a screensharing tényleg engedélyezve van, de a Time Capsule (ez a fő router) port forwardinggal egy másik port van átirányítva. Tehát nem az alap 5900 van átirányítva ide, hanem egy másik. Az alap 5900 porton nem is tudok bemenni.

A Screen Sharing melyik porton fut (nem tudom el lehet-e allitani a defaultrol…)?
A Time Capsule port forwarding beallitasait elelnorizd, tuti csak az megy oda, amit te szeretnel (Esetleg egy screenshot sokat segit).
Ha a Time Capsule fel van torve, akkor olyan portot forwardolnak, amilyet csak akarnak.
Nem tudom, mukodik-e OSX-en, ha a sockstat -4 parancs kimetet bemasolod, meg segithet.

A szerveren a screen sharing a default 5900 porton megy. Most hogy néztem a Time Capsule network résznél, hogy a 88-as port is át van irányítva. Tehát úgy néz ki, hogy 88, 5901 megy a szerver 88, 5900 portjára TCP és UDP kapcsolaton. Annak idején kiválasztottam, hogy távoli hozzáférést akarok és automatikusan konfigurálta így, valószínű csak az 5901-es portot írtam át.
De a Time Capsule network portforwarding részében nincs olyan, aminek nem kellene benne lennie.
Ahogy nézem a logot, a user ismeretlen. Szóval lehet, hogy tényleg nem is csatlakozni próbálnak, hanem mást.

Vagy ez csak egy sima automatizalt scan, beprobalkoznak mindenfele porton mindenfele protokollal.

Igen, én is ettől tartok. Viszont attól függetlenül le lehet valahogy tiltani ezt az IP címet, hogy ne is próbálkozzon és a logba se kerüljön bele?

Le lehet, de 3 masodperc mulva mashonnan fog jonni a probalkozas.
2 megoldas van, ami egyszerubb:

  • VPN (A gepen letrehozol egy VPN szervert, be VPN-ezel es ugy nyitsz Remote Desktopot, vagy veszel egy okosabb routert/tuzfalat, ami tud VPN-t)
  • SSH (SSH-n at tunnelezed a Remote Desktopot)
    Nem tudom, az Apple sajat megoldasa mennyire ter el a standard VNC-tol, de a standardban csak az autentikacio titkositott, utana az adatfolyam nem, tehat barki belehallgathat abba, amit csinalsz, a kepernyokepbe, a gepelesbe, mindenbe, ugyhogy valamilyen biztonsagosabb megoldas mindenkeppen kell. Az elso megoldas talan egyszerubb, mert igy egy halozatba kerulsz a geppel egy VNC mellett mas szolgaltatasokat, mas gepeket is el tudsz erni.

ps.: Ha egy olcso, de komoly tuzfalat szeretnel, akkor erdemes megfontolni a Netgate SG-1000 appliancet. Ezen egy teljes pfsense fut es ha van meg ra eroforras, IDS (Intrusion Detection System) es IPS (Intrusion Prevention System) feladatokat is el tud latni.

1 kedvelés

Köszi, VPN az van rajta, mármint nincs aktiválva mert a hálózatból csak az az egy gép kell. Szóval oda meg meg van csinálva szintén más portról az SSH. Igazából lehet, hogy le is fogom zárni a Remote Desktopot, mert a Time Capsule-on bármikor újra tudom nyitni távolról. Csak kár hogy ki kell törölni a konfigból és nem csak le lehet tiltani.

Ha SSH mar letezik, akkor azon keresztul tunnelezd a VNC-t.

Ok, ennek még utána kell néznem. Köszi az infót.