En breve realizaremos algunas pruebas de penetración y buscaremos limpiar algunas cosas. Uno de ellos son las marcas de tiempo TCP en Windows. Un escaneo NMAP simple me muestra una suposición de la marca de tiempo TCP que en realidad es bastante precisa. Ejecutamos firewalls Sonicwall y el soporte técnico me dice que no puede eliminar marcas de tiempo en el nivel del firewall. Mirando el entorno de Windows, parece que los siguientes comandos deberían funcionar:
To set using netsh:
netsh int tcp set global timestamps=disabled
To set using PowerShell cmdlets:
Set-NetTCPSetting -SettingName InternetCustom -Timestamps Disabled
Después de aplicar y reiniciar el servidor, NMAP todavía parece mostrar marcas de tiempo.
¿Alguien ha tenido suerte con esto? ¿O soy la única persona que intenta esto :) No parece recomendable, entonces, ¿cómo se maneja esto?
Gracias.
Respuesta1
Las marcas de tiempo TCP se utilizan para mejorar el rendimiento y proteger contra paquetes tardíos que arruinen su flujo de datos. Si desactiva las marcas de tiempo de TCP, debería esperar un peor rendimiento y conexiones menos confiables. Este es el caso independientemente del método utilizado para deshabilitar las marcas de tiempo TCP.
Cualquier modificación realizada a los paquetes por un middlebox puede causar problemas adicionales, porque los puntos finales TCP no están obligados a tener en cuenta dichas modificaciones.
Se requiere que las marcas de tiempo de TCP crezcan de manera monótona con el tiempo. Por tanto, son necesariamente predecibles. No he visto ninguna documentación de que esta previsibilidad sea un problema.
Es técnicamente posible variar una compensación inicial y una tasa de crecimiento de modo que las marcas de tiempo que envía a una dirección IP no se puedan usar para predecir marcas de tiempo que enviaría a otra dirección IP.
Entonces mi recomendación es clara.
- No te metas con las marcas de tiempo en el firewall.
- Solicite información adicional al pentester que documente por qué las marcas de tiempo predecibles serían un problema, así como la configuración recomendada del punto final.
- Aplique los ajustes de configuración al punto final según sea necesario.