우리는 곧 몇 가지 침투 테스트를 수행하고 몇 가지 사항을 정리할 예정입니다. 그 중 하나는 Windows의 TCP 타임스탬프입니다. 간단한 NMAP 스캔을 통해 실제로 매우 정확한 TCP 타임스탬프를 추측할 수 있습니다. 우리는 Sonicwall 방화벽을 실행하고 있으며 기술 지원팀에서는 방화벽 수준에서 타임스탬프를 제거할 수 없다고 말합니다. Windows 환경을 살펴보면 다음 명령이 작동하는 것 같습니다.
To set using netsh:
netsh int tcp set global timestamps=disabled
To set using PowerShell cmdlets:
Set-NetTCPSetting -SettingName InternetCustom -Timestamps Disabled
적용하고 서버를 재부팅한 후에도 NMAP에 여전히 타임스탬프가 표시되는 것 같습니다.
누구든지 이것으로 행운을 얻었습니까? 아니면 저만 이 작업을 시도하는 걸까요? 권장하지 않는 것 같은데 어떻게 처리하나요?
감사해요.
답변1
TCP 타임스탬프는 성능을 향상시키고 데이터 흐름을 방해하는 지연 패킷으로부터 보호하는 데 사용됩니다. TCP 타임스탬프를 비활성화하면 성능이 저하되고 연결 안정성이 낮아질 수 있습니다. 이는 TCP 타임스탬프를 비활성화하는 데 사용된 방법에 관계없이 적용됩니다.
미들박스가 패킷을 수정하면 추가적인 문제가 발생할 수 있습니다. TCP 엔드포인트에서는 이러한 수정 사항을 고려할 필요가 없기 때문입니다.
시간이 지남에 따라 단조롭게 증가하려면 TCP 타임스탬프가 필요합니다. 따라서 그것들은 필연적으로 예측 가능하다. 나는 이러한 예측 가능성이 문제가 된다는 문서를 본 적이 없습니다.
하나의 IP 주소로 보내는 타임스탬프를 다른 IP 주소로 보낼 타임스탬프를 예측하는 데 사용할 수 없도록 초기 오프셋과 성장률을 변경하는 것은 기술적으로 가능합니다.
그래서 내 추천은 분명합니다.
- 방화벽의 타임스탬프를 조작하지 마세요.
- 예측 가능한 타임스탬프가 문제가 되는 이유와 엔드포인트의 권장 구성을 문서화한 추가 정보를 침투 테스터에게 요청하세요.
- 필요에 따라 끝점에 구성 설정을 적용합니다.