Mi firewall me avisó de un intento de conexión a través de racoon, el demonio de administración de claves IKE para configurar un túnel IPSec. Estaba claro que cuando busqué la dirección IP 122.228.10.51 esto era sospechoso. Por supuesto, no voy a aceptar la conexión, pero lo que me intriga es por qué 122.228.10.51 intentó establecer una conexión entrante con el mapache.
Me preguntaba si podría haber algo en mi lado que pudiera estar sucio, así que empecé a hurgar un poco.
-
Las páginas del manual para racoon (8) se mencionan en Files
/private/etc/racoon/racoon.conf default configuration file. /private/etc/racoon/psk.txt default pre-shared key file.
-
Eché un vistazo en
/private/etc/racoon/psk.txt
primero.# IPv4/v6 addresses # 10.160.94.3 asecretkeygoeshere # 172.16.1.133 asecretkeygoeshere # 3ffe:501:410:ffff:200:86ff:fe05:80fa asecretkeygoeshere # 3ffe:501:410:ffff:210:4bff:fea2:8baa asecretkeygoeshere # USER_FQDN # macuser@localhost somethingsecret # FQDN # kame hoge
Y aunque no reconozco las dos últimas líneas, todas estas líneas están comentadas, por lo que no debería afectar a nada. El último (kame) parece ser un resto del proyecto KAME .
Por favor corríjame, si me equivoco, y hágame saber si sabe algo sobre esto. Tengo la sensación de que todos son legítimos.
-
Luego eché un vistazo en
/private/etc/racoon/racoon.conf
. Las últimas líneas dicen:# Allow third parties the ability to specify remote and sainfo entries # by including all files matching /var/run/racoon/*.conf # This line should be added at the end of the racoon.conf file # so that settings such as timer values will be appropriately applied. include "/var/run/racoon/*.conf" ;
Eso me intrigó. Dos archivos
.conf
están en/var/run/racoon/
-rw------- 1 root daemon 846 26 Sep 15:11 /var/run/racoon/anonymous.conf -rw------- 1 root daemon 1106 27 Sep 15:11 /var/run/racoon/fd00:c2bf:92ac:5561:a594:6f1f:1446:dd5
Ambos fueron modificados recientemente.
-
El último es un dirección local de IPv6 . El primero,
anonymous.conf
parecía interesante.# BackToMyMac remote anonymous { exchange_mode aggressive; doi ipsec_doi; situation identity_only; verify_identifier off; generate_policy on; shared_secret keychain_by_id "btmmdns:9298494.members.btmm.icloud.com."; nonce_size 16; lifetime time 15 min; initial_contact on; support_proxy on; nat_traversal force; proposal_check claim; proposal { encryption_algorithm aes; hash_algorithm sha256; authentication_method pre_shared_key; dh_group 2; lifetime time 15 min; } proposal { encryption_algorithm aes; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 2; lifetime time 15 min; } } sainfo anonymous { pfs_group 2; lifetime time 10 min; encryption_algorithm aes; authentication_algorithm hmac_sha256,hmac_sha1; compression_algorithm deflate; }
Bien, entonces es una configuración de Volver a mi Mac , pero ¿por qué utiliza el modo agresivo, que según las páginas del manual para mapache (8) no es recomendable? En las páginas del manual se menciona en Consideraciones de seguridad
No se recomienda el uso del modo agresivo IKE fase 1, como se describe en enlace
Según esa página es porque
El protocolo de intercambio de claves de Internet (IKE) revela información de nombre de usuario cuando se utiliza el modo agresivo para la autenticación secreta compartida.
Tal vez estoy demasiado paranoico al respecto, pero ¿podría ser que la conexión entrante al mapache desde 122.228.10.51 estaba usando el anonymous.conf
?