Port 88 ist offen

Taqi

Neues Mitglied
Thread Starter
Mitglied seit
10.09.2007
Beiträge
15
Hallo liebe Netzwerker,

bei meinem Mac OS X 10.5.5 ist der Port 88 Kerberos von aussen erreichbar. Ist das normal und notwendig? Falls nein würde ich das gerne abstellen.

Vielen Dank für die Hilfe :)
 

pfannkuchen2001

Aktives Mitglied
Mitglied seit
17.02.2006
Beiträge
2.502
Hallo,

das stelle ich auch grad fest:
Ich habe mal mein lokales Netzwek mit Nessus gescannt und da bekomme ich das an den Kopf geworfen:

Synopsis: It may be possible to execute code on the remote host.


Description

Nessus killed the remote service by sending it specially crafted data. The remote service seems to be vulnerable to a format string attack. An attacker might use this flaw to make it crash or even execute arbitrary code on this host.

Solution

Upgrade the software or contact the vendor regarding this vulnerability.

Das ganze auf einem Mac OSX 10.7 mit allen updates etc!

Warum ist das so?

Gruß

Pfannkuchen
 

pfannkuchen2001

Aktives Mitglied
Mitglied seit
17.02.2006
Beiträge
2.502
Hmm,

aber wenn nessus es einfach schafft, den Dienst von aussen zu killen, mache ich mir schon gedanken!

Wieso geht sowas?!
 

pmau

Aktives Mitglied
Mitglied seit
13.02.2008
Beiträge
6.058
Weil der Code wohl noch aus BSD Zeiten stammt und Apple nur noch bunte Sachen einbaut ohne fundamentale Technologien zu verbessern.
Was man übrigens daran sieht wie unglaublich schlecht HFS+ ist.
 

pfannkuchen2001

Aktives Mitglied
Mitglied seit
17.02.2006
Beiträge
2.502
Naja, die Frage ist wohl eher gewesen: was kann ich tun, damit dieser Port einfach nicht mehr offen ist!


Gruß

Pfannkuchen
 

David X

Aktives Mitglied
Mitglied seit
12.08.2011
Beiträge
1.632
Weil der Code wohl noch aus BSD Zeiten stammt und Apple nur noch bunte Sachen einbaut ohne fundamentale Technologien zu verbessern.
Gerade ist Apple bei Lion von MIT-Kerberos (MIT-Kerberos for Macintosh 6.0 war übrigens von 2007, nix Berkeley und nix alt) zu Heimdal gewechselt und dann so ein Posting …

In OS X Lion wurde z.B. …

… erstmals in der Geschichte von OS X mit CoreStorage ein LVM integriert,
… erstmals eine System-Partition-Verschlüsselung (FileVault2) eingeführt,
… die Default-Packet-Inspection-Firewall von IPFW auf PF geändert,
… und Kerberos von MIT auf Heimdal umgestellt.

Ich bin nun wirklich kein Fanboy, der es nicht mag, wenn man Apple kritisiert, aber manche Kritik ist in meinen Augen doch etwas merkwürdig.
 

David X

Aktives Mitglied
Mitglied seit
12.08.2011
Beiträge
1.632
Naja, die Frage ist wohl eher gewesen: was kann ich tun, damit dieser Port einfach nicht mehr offen ist!
Dateifreigabe beenden und danach Neustart oder im Terminal killall kdc eingeben. Alternativ Port 88 TCP/UDP mit PF oder IPFW blocken (was aber etwas kontraproduktiv ist, wenn man die Dateifreigabe nutzen will ;) ).
Um, ohne gleich Nessus anzuwerfen, offene Ports zu identifizieren, reicht auch sudo lsof -i -P | grep -i "listen" im Terminal (sudo lsof -i -P für alle aktiven und passiven Ports).
 

David X

Aktives Mitglied
Mitglied seit
12.08.2011
Beiträge
1.632
Ich habe mal mein lokales Netzwek mit Nessus gescannt und …
Ich habe jetzt mal (erfolglos) mit Nessus 5.0.1 und dem neusten HomeFeed versucht, Deine Meldung zu reproduzieren (Unsafe-Scan gegen einen 2006er iMac mit 10.7.4 und aktivierten Datei- und Drucker-Freigaben). Welche Version von Nessus und welchen Feed hast Du denn verwendet? Welche PlugIn ID hat denn die Meldung ausgegeben?
 

maba_de

Aktives Mitglied
Mitglied seit
15.12.2003
Beiträge
16.475
Nessus SYN Scanner.
Interessant: Risk Factor: None
 

pfannkuchen2001

Aktives Mitglied
Mitglied seit
17.02.2006
Beiträge
2.502
So,
nachdem ich nun mal meine Firewall angeschmissen habe ist auch nessus ruhig geworden.

So richtig gefällt mir das noch nicht, aber ok, es fällt nix mehr auf.

Gruß
und danke,

Pfannkuchen
 

xentric

Aktives Mitglied
Mitglied seit
11.05.2007
Beiträge
4.155
Ich bin nun wirklich kein Fanboy, der es nicht mag, wenn man Apple kritisiert, aber manche Kritik ist in meinen Augen doch etwas merkwürdig.
Aber im Kern ist sie richtig, und das wiederlegt auch Deine "Argumentation" nicht:
… erstmals in der Geschichte von OS X mit CoreStorage ein LVM integriert,
… erstmals eine System-Partition-Verschlüsselung (FileVault2) eingeführt,
Schön und gut. Erstmals in der OS X Geschichte. Seit wann gibt es LVM für Windows? Seit Windows 2000. Für Linux seit ich denken kann (Wikipedia sagt '98). Bei der FullDiskEncrytion sieht es nicht anders aus.
… die Default-Packet-Inspection-Firewall von IPFW auf PF geändert,
… und Kerberos von MIT auf Heimdal umgestellt.
Die zwei Sachen kann man sehen, wie man will. Die Features sind sicherlich identisch. Ich fand, da ich sowohl OpenBSD (von wem apple pf "geborgt" hat) und FreeBSD (ipfw) benutzt habe, pf schon immer besser, einfacher zu nutzen. Aber die Anforderungen an eine ordentlich Firewall erfüllen bestimmt beide..

Es wurde was verändert, aber einige, zu viele Sachen sind lange überfällig. Und HFS+ gehört sichlich auch dazu.
Was mich vor allem ankotzt, ist wie langsam der Unix Unterbau upgedated wird. Wenn man sich z.B. diesen fiesen OpenSSL Bug[1] anschaut, der schon in jeder linux distribution gepacht ist. Was finde ich hier?

Code:
 xen@ radeon ~ 511
 $ uname -a
Darwin radeon.fritz.box 11.4.0 Darwin Kernel Version 11.4.0: Mon Apr  9 19:33:05 PDT 2012; root:xnu-1699.26.8~1/RELEASE_I386 i386
 xen@ radeon ~ 512
 $ /usr/bin/openssl version
OpenSSL 0.9.8r 8 Feb 2011
 xen@ radeon ~ 513
 $ /opt/local/bin/openssl version
OpenSSL 1.0.1c 10 May 2012
 xen@ radeon ~ 514
 $
Das ist ja lange nicht der einzige fette Bug. Siehe Openssl Security Advisory. Da ist sogar ein DoS bei. Ich will erst gar nicht wissen, was ich für Löcher mit meinem sshd hier auftue..

[1] http://lists.grok.org.uk/pipermail/full-disclosure/2012-April/086585.html
 

David X

Aktives Mitglied
Mitglied seit
12.08.2011
Beiträge
1.632
@ xentric
Weil der Code wohl noch aus BSD Zeiten stammt und Apple nur noch bunte Sachen einbaut ohne fundamentale Technologien zu verbessern.
Was man übrigens daran sieht wie unglaublich schlecht HFS+ ist.
Dies war die Aussage auf die ich mich bezog. Das Drama um ZFS und wer nun daran Schuld ist, dass es keine Apple-eigene Portierung für OS X gab, werden wir wahrscheinlich nie erklärt bekommen, da alle Beteiligten auf Apple- und Sun-Seite darüber schweigen. Ich sehe es wie John Siracusa von Ars Technica, dass CoreStorage wahrscheinlich der erste Schritt zu einem neuen Apple-File-System ist (was wäre ohne ZFS noch alternativ verfügbar?). CoreStorage (und darauf aufbauend FileVault 2) ist für mich eine Verbesserung einer fundamentalen OS-Technologie, genauso wie für mich die Wechsel zu PF und Heimdal zeigen, dass man bei Apple in diesen Bereichen zumindest bereit ist, Änderungen durchzuführen (die ja wohl nur dann einen Sinn aus Apple-Sicht ergeben, wenn sie etwas langfristig verbessern) und deshalb widerspreche ich Dir und pmau in diesem Punkt. ;)

Du hast in meinen Augen aber absolut Recht, dass das Tempo mit dem Entwicklungen vorangetrieben werden (oder nach dem ZFS-Desaster berichtigt werden) schneller sein könnte. Und beim Thema "Zeitnahe Updates bzw. Patches für Sicherheitslücken" kotze ich mit Dir zusammen (ich nutze bei Programmen wie OpenSSL auch MacPorts, das kann's ja aber eigentlich nicht sein). ;)


@pfannkuchen2001

welches Nessus-PlugIn hat denn nun vor Einschalten der Firewall Kerberos zum Crashen gebracht?
 
Oben