Kann ich verhindern, dass eine bestimmte IP versucht, eine Verbindung zur Bildschirmfreigabe herzustellen?

1

Ich habe seit einiger Zeit bemerkt, dass das Symbol für den freigegebenen Bildschirm in meiner Menüleiste alle paar Minuten flackert (MacBook Pro, MAC OS X 10.8.4). Ich dachte, es wäre eine Panne oder ein Fehler. Ich habe die Konsole überprüft und es gibt fast jede Minute Verbindungsversuche. 99% stammen von einer bestimmten Adresse:

26/07/13 00:41:51,569 screensharingd[49866]: Authentication: FAILED :: User Name: N/A :: Viewer Address: 89.96.146.134 :: Type: VNC DES

Ist das ein Brute-Force-Angriff? Soll ich besorgt sein? Ich benötige die Bildschirmfreigabe, da ich häufig eine Verbindung zu diesem Mac herstelle. Ich habe überlegt, die Firewall zu aktivieren, aber es hilft nichts, wenn ich nicht alle eingehenden Verbindungen blockiere.

Gibt es eine Möglichkeit zu verhindern, dass diese IP überhaupt eine Verbindung herstellt? Der Mac befindet sich hinter einem Flughafen-Extreme-Router, dessen VNC-Ports von NAT auf diesen Mac hingewiesen wurden. Gibt es eine Möglichkeit, diese Verbindungen auf dieser Ebene zu filtern?

Reven
quelle
Sie könnten IceFloor wahrscheinlich verwenden, um die Mac-Firewall so zu konfigurieren, dass Verbindungen von dieser einen IP-Adresse blockiert werden.
Jozef Legény
Möglicherweise ist es besser, den Zugriff auf die VNC-Ports für alle IP-Adressen zu verweigern, mit Ausnahme der Stellen, an denen Sie Remotezugriff wünschen.
Bert

Antworten:

1

Wenn es wirklich nur diese eine Adresse ist und keine (oder nur wenige) andere und Sie wirklich keinen Davide Farci aus Verona kennen (diese IP-Adresse ist Teil eines kleinen Subnetzes, das ihm zugewiesen wurde, klein genug, um ein persönliches Netzwerk zu sein oder sehr In einem kleinen Büro und wir werden uns in Kürze darum kümmern. Dann können Sie durch die einzelnen Schritte springen, um eine echte Firewall (z. B. IPTables) entweder auf diesem System oder auf Ihrem Router einzurichten (letzteres ist besser, da es sich dann darum kümmern kann) andere Bedrohungen). Wenn das zu viel Mühe ist oder Sie es wirklich auf dieser Workstation tun möchten, dann schlage ich Little Snitch vor, mit dem sowohl eingehende als auch ausgehende Verbindungen gefiltert, protokolliert und natürlich blockiert werden können (Double Click hat seit der Erstinstallation keinen Datenverkehr von oder zu diesem System verwaltet). Viele Leute benutzen es, um ärgerliche Programme zu stoppen, die gerne "nach Hause telefonieren" und über sie berichten.

Wie auch immer, es ist sehr konfigurierbar, sehr effektiv und sehr intuitiv. Empfohlen für Benutzer aller Schwierigkeitsgrade.

Nun zurück zu Davide Farci. Es kann sein, dass er einen Angriff auf Ihr System startet. Das ist durchaus möglich. Es ist jedoch wahrscheinlicher, dass er ohne Kenntnis Ihrer Situation nur ein gewöhnlicher Herr von Verona ist, dessen eigenes System kompromittiert wurde. In jedem Fall sollten Sie diese Protokolle sammeln und an die Sicherheits- und / oder Supportabteilung seines vorgelagerten Netzwerkanbieters weiterleiten (senden Sie sie an [email protected]), damit dieser seinen Kunden aufklärt (indem er sie reparieren oder booten lässt) ihn aus dem Netz, je nachdem, was am besten geeignet ist und wahrscheinlich das erstere).

Übrigens stammen alle diese Informationen von einem whois-Check der IP-Adresse in Ihrer Frage. Wenn man die meisten RIPE-bezogenen Dinge weglässt (RIPE ist das europäische Äquivalent von ARIN in Amerika und APNIC in Asien und Ozeanien), gibt es immer noch folgende Informationen:


% Informationen zu '89 .96.146.128 - 89.96.146.135 '

% Missbrauchskontakt für '89 .96.146.128 - 89.96.146.135' ist '[email protected]'

inetnum: 89.96.146.128 - 89.96.146.135
netname: FASTWEB-EGLOBALSERVICE_SPA
descr: EGLOBALSERVICE SPA Öffentliches Subnetz
Land: IT-
Admin-C: DF3120-RIPE-
Tech-C: IRSN1-RIPE-
Status: Zugewiesener Partner
: FASTWEB-MNT
Bemerkungen: Bei nicht bestimmungsgemäßer Verwendung aus unserem Netzwerk,
Bemerkungen: Bitte senden Sie eine E-Mail an den Kunden oder [email protected]
Quelle: RIPE # Gefilterte

Person: DAVIDE FARCI
Adresse: CORSO MILANO, 55
Adresse: VERONA
Adresse: IT-
Telefon: +39 0458104705
Fax-Nr .: +39 045577012
NIC-HDL: DF3120-RIPE
Quelle: RIPE # Gefilterte

Person: IP-Registrierungsdienst NIS-
Adresse: Via Caracciolo, 51
Adresse: 20155 Milano MI
Adresse: Italien
Telefon: + 39 02 45451
Fax-Nr: +39 02 45451
nic-hdl: IRSN1-RIPE
mnt-by: FASTWEB-mNT
bemerkt:
Bemerkungen: Bei unsachgemäßer Verwendung Ursprung
Bemerkungen: aus unserem Netzwerk,
Bemerkungen: bitte Kunden oder Missbrauch @ fastweb Mail .it
Bemerkungen:
Quelle: RIPE # Gefiltert

Informationen% bezogen auf '89 .96.0.0 / 16AS12874'

Route: 89.96.0.0/16
Beschr: Fastweb Networks Block
Herkunft: AS12874
mnt-by: FASTWEB-MNT
Quelle: RIPE # Gefiltert
Bemerkungen:
Bemerkungen: Bei unsachgemäßer Verwendung Ursprung unseres Netzwerk,
Anmerkungen: Bitte senden Sie eine E-Mail an customer oder [email protected]
Anmerkungen:

% Diese Abfrage wurde vom RIPE-Datenbankabfragedienst Version 1.75 (DB-4) bereitgestellt.

Da es für Davide Farci keine E-Mail-Adresse gibt, muss die Adresse [email protected] kontaktiert werden. Versuchen Sie, der Versuchung zu widerstehen, der ich erlegen bin, und verweisen Sie in Ihrem Bericht nicht auf Shakespeare. ;)

Ben
quelle
0

IP-Blacklisting ist kein sehr wirksames Mittel zur Verteidigung. IPs sind so häufig vorhanden, dass die meisten Benutzer dynamische IPs verwenden. Wenn sie sich auf einer schwarzen Liste befinden, müssen sie nur ihre Modems neu starten und eine andere IP von ihrem ISP zuweisen. Ich empfehle Ihnen, Ihre eigene IP-Adresse zu ändern und sichere Passwörter zu verwenden.

Alexander
quelle