È possibile bloccare un IP specifico dal tentativo di connettersi alla condivisione dello schermo?

1

Da qualche tempo ho notato che l'icona dello schermo condiviso lampeggia e si spegne sulla mia barra dei menu ogni due minuti (MacBook Pro, MAC OS X 10.8.4). Pensavo fosse un problema tecnico o un bug. Ho controllato la console e ci sono tentativi di connessione quasi ogni minuto. Il 99% proviene da un indirizzo specifico:

26/07/13 00:41:51,569 screensharingd[49866]: Authentication: FAILED :: User Name: N/A :: Viewer Address: 89.96.146.134 :: Type: VNC DES

Questo è un attacco di forza bruta? Dovrei essere preoccupato? Ho bisogno di Condivisione schermo su, in quanto mi collego a questo Mac abbastanza frequentemente. Ho preso in considerazione l'attivazione del firewall, ma non sarà di aiuto a meno che non blocchi tutte le connessioni in entrata.

C'è un modo per impedire a quell'IP di connettersi. Il mac è dietro un router estremo dell'aeroporto con porte VNC puntate su questo mac da NAT. Un modo per filtrare quelle connessioni a quel livello?

    
posta Reven 26.07.2013 - 10:13
fonte

2 risposte

1

Se in realtà è solo quell'indirizzo e nessuno (o pochi) altri e davvero non conosci un Davide Farci di Verona (quell'indirizzo IP fa parte di una piccola sottorete assegnata a lui, abbastanza piccolo per essere un personale rete o un ufficio molto piccolo e ci torneremo presto), quindi è possibile saltare attraverso i circuiti di installazione di un vero firewall (ad es. IPTables), sia su quel sistema o sul proprio router (quest'ultimo è meglio che può quindi prendersi cura di altre minacce). Se questo è troppo disturbo o vuoi davvero farlo su quella workstation, allora suggerisco Little Snitch , che può filtrare sia le connessioni in entrata che quelle in uscita, creare report su di esse e, naturalmente, bloccarle (Double Click non ha gestito alcun traffico verso o da questo sistema da quando l'ho installato per la prima volta). Un sacco di persone lo usano per fermare i fastidiosi programmi a cui piace "telefonare a casa" e riferire su di loro.

In ogni caso, è molto configurabile, molto efficace e molto intuitivo. Consigliato per gli utenti di tutti i livelli di abilità.

Ora, torna a Davide Farci. Potrebbe essere che sta lanciando un attacco al tuo sistema. Questo è certamente possibile. Tuttavia, è più probabile, senza conoscere alcun particolare della tua situazione, che sia solo un ordinario gentiluomo di Verona il cui sistema è stato compromesso. In entrambi i casi, dovresti raccogliere i registri e inoltrarli al dipartimento di sicurezza e / o supporto del suo provider di rete a monte (inviarli a [email protected]) e loro istruiranno i loro clienti (sia facendogli risolvere il problema sia avviandolo fuori dalla rete, a seconda di quale sia il più appropriato e probabilmente il primo).

A proposito, tutte queste informazioni provengono da un whois che controlla l'indirizzo IP nella tua domanda. Tralasciando la maggior parte delle cose relative a RIPE (RIPE è l'equivalente europeo di ARIN in America e APNIC in Asia e Oceania), c'è ancora questa informazione:


% Information related to '89.96.146.128 - 89.96.146.135'

% Abuse contact for '89.96.146.128 - 89.96.146.135' is '[email protected]'

inetnum: 89.96.146.128 - 89.96.146.135
netname: FASTWEB-EGLOBALSERVICE_SPA
descr: EGLOBALSERVICE SPA public subnet
country: IT
admin-c: DF3120-RIPE
tech-c: IRSN1-RIPE
status: ASSIGNED PA
mnt-by: FASTWEB-MNT
remarks: In case of improper use originating from our network,
remarks: please mail customer or [email protected]
source: RIPE # Filtered

person: DAVIDE FARCI
address: CORSO MILANO, 55
address: VERONA
address: IT
phone: +39 0458104705
fax-no: +39 045577012
nic-hdl: DF3120-RIPE
source: RIPE # Filtered

person: IP Registration Service NIS
address: Via Caracciolo, 51
address: 20155 Milano MI
address: Italy
phone: +39 02 45451
fax-no: +39 02 45451
nic-hdl: IRSN1-RIPE
mnt-by: FASTWEB-MNT
remarks:
remarks: In case of improper use originating
remarks: from our network,
remarks: please mail customer or [email protected]
remarks:
source: RIPE # Filtered

% Information related to '89.96.0.0/16AS12874'

route: 89.96.0.0/16
descr: Fastweb Networks block
origin: AS12874
mnt-by: FASTWEB-MNT
source: RIPE # Filtered
remarks:
remarks: In case of improper use originating from our network,
remarks: please mail customer or [email protected]
remarks:

% This query was served by the RIPE Database Query Service version 1.75 (DB-4)

Poiché non esiste un indirizzo email per Davide Farci, l'indirizzo [email protected] è quello da contattare. Cerca di resistere alla tentazione a cui ho ceduto, e non fare riferimenti ovvi a Shakespeare nel tuo rapporto. ;)

    
risposta data 19.10.2014 - 07:17
fonte
0

La lista nera degli IP non è un mezzo di difesa molto efficace. Gli IP sono così abbondanti, molte persone sono su IP dinamici, quindi se si trovano nella lista nera, hanno solo bisogno di riavviare i loro modem e di essere assegnati a un modulo IP diverso dal proprio ISP. Ti consiglio di provare a cambiare il tuo IP personale e utilizzare password complesse.

    
risposta data 25.05.2014 - 05:39
fonte

Leggi altre domande sui tag