Wir werden in Kürze einige Penetrationstests durchführen und versuchen, ein paar Dinge zu bereinigen. Eines davon sind TCP-Zeitstempel in Windows. Ein einfacher NMAP-Scan zeigt mir eine Schätzung des TCP-Zeitstempels, die tatsächlich ziemlich genau ist. Wir verwenden Sonicwall-Firewalls und der technische Support teilt mir mit, dass er Zeitstempel auf Firewall-Ebene nicht entfernen kann. Wenn man sich die Windows-Umgebung ansieht, scheinen die folgenden Befehle zu funktionieren:
To set using netsh:
netsh int tcp set global timestamps=disabled
To set using PowerShell cmdlets:
Set-NetTCPSetting -SettingName InternetCustom -Timestamps Disabled
Nach der Anwendung und einem Neustart des Servers scheint NMAP immer noch Zeitstempel anzuzeigen.
Hat jemand damit Glück gehabt? Oder bin ich die einzige Person, die das versucht :) Es scheint nicht empfohlen zu werden, also wie gehen Sie damit um?
Danke.
Antwort1
TCP-Zeitstempel werden verwendet, um die Leistung zu verbessern und zu verhindern, dass verspätete Pakete Ihren Datenfluss durcheinanderbringen. Wenn Sie TCP-Zeitstempel deaktivieren, müssen Sie mit einer schlechteren Leistung und weniger zuverlässigen Verbindungen rechnen. Dies gilt unabhängig von der Methode, mit der TCP-Zeitstempel deaktiviert werden.
Alle von einer Middlebox an Paketen vorgenommenen Änderungen können zusätzliche Probleme verursachen, da TCP-Endpunkte solche Änderungen nicht berücksichtigen müssen.
TCP-Zeitstempel müssen mit der Zeit monoton wachsen. Daher sind sie zwangsläufig vorhersehbar. Ich habe keine Dokumentation gesehen, dass diese Vorhersehbarkeit ein Problem darstellt.
Es ist technisch möglich, einen anfänglichen Offset und eine Wachstumsrate so zu variieren, dass die Zeitstempel, die Sie an eine IP-Adresse senden, nicht zur Vorhersage von Zeitstempeln verwendet werden können, die Sie an eine andere IP-Adresse senden würden.
Meine Empfehlung ist also eindeutig.
- Manipulationen an den Zeitstempeln der Firewall sind zu vermeiden.
- Fordern Sie vom Pentester zusätzliche Informationen an, in denen dokumentiert wird, warum vorhersehbare Zeitstempel ein Problem darstellen würden, sowie die empfohlene Konfiguration des Endpunkts.
- Wenden Sie nach Bedarf Konfigurationseinstellungen auf den Endpunkt an.