TL;DR:
Un cliente oculto/desconocido ha descargado 300 GB de datos de mi caché de contenidos de MacOS (de origen, no de caché). El tráfico no provenía de mis dispositivos según mis pruebas. Esto se detuvo después de que desactivé SSH y SMB, cambié la contraseña y activé el firewall (lo hice todo a la vez). ¿Qué ha pasado? ¿Por qué y cómo estaba sirviendo tantos datos?
Detalles completos:
He configurado un Mac mini de finales de 2014 sin cabeza en mi red local para el almacenamiento en caché de contenidos de Apple. Se ejecuta MacOS Mojave, está conectado a la red mediante Ethernet, está recién formateado y actualizado en el momento de escribir esto.
La configuración fue súper sencilla: marcar una casilla en el uso compartido, desactivar el sueño en el ahorro de energía, esperar a que los clientes se conecten.
También había habilitado SSH, VNC y SMB, cambiado los usuarios a "sólo administradores" en cada uno de ellos, instalado la aplicación Server y algunas otras utilidades (docker, AirServer, DriveDx, aplicaciones de servidor de la Mac App Store).
Tengo unos 5 clientes (Macs, iPhone, iPad, Apple TV) que suelen conectarse a él. Ninguno de ellos suele consumir muchos datos: los primeros 7 días que lo tuve funcionando, transfirieron un total de 37GB de datos. Tengo un AirPort TC (WPA2 Personal con DHCP, no NAT) que, cada vez que lo comprobaba, sólo mostraba estos 5 dispositivos en la red Wi-Fi, y el Mac mini es el único en Ethernet. El router del ISP tiene NAT pero la conexión inalámbrica está desactivada. La aplicación MacOS Server muestra "reachable, no services".
Pero al octavo día, más o menos cuando decidí hacer una autocomprobación completa del disco SMART en el HDD, el servidor de caché de contenidos empezó a servir 12GB por hora, cada hora, sin parar, desde el origen (no la caché). Parecía extraño. Apagué el Wi-Fi en todos mis dispositivos para dormirlo y ver si se detenía: no lo hizo.
Por lo que sé, el propio Mac mini no utiliza su propia caché de contenidos para descargarlos (lo que me pareció extraño), así que lo descarté como fuente de todas las descargas.
A la tercera mañana de servir constantemente 12GB/hora (desde origen) y un total de 336GB servidos, me preocupé mucho y deshabilité SMB, SSH excepto VNC (si no, no puedo acceder), cambié la contraseña de administrador (antes no era ni fácil ni corta), habilité el firewall (por defecto está desactivado en una instalación fresca) y desde entonces, el caché de contenido ha estado sirviendo 0 bytes durante las últimas horas. La caché sigue funcionando para mis 5 dispositivos.
Apple dice que el servidor de caché no hace redes que no sean locales por defecto. La velocidad de subida de mi proveedor de servicios de Internet es más o menos constante a 20mbps (2,5MB/s), así que creo que no es completamente imposible que estos datos hayan salido de mi red local porque se estaban sirviendo a aproximadamente 25~28mbps.
¿Qué podría haber causado esto? ¿Podría haber una razón desconocida o un cliente nefasto en el trabajo aquí? ¿Podría haberse robado algún dato?
Nunca he utilizado la caché de contenidos, pero los documentos de Apple dicen que los datos están encriptados. El registro es enorme y no parece ayudarme porque, si entiendo bien, no registra las IPs por defecto. No recibí ninguna advertencia para ninguna de mis cuentas de Apple, tengo 2 factores de autenticación para casi todo.
También tengo registros de pi-hole, pero todo el uso de la red se fusiona en una única IP virtual.
Gracias de antemano y perdón por una pregunta tan larga.
