Em breve realizaremos alguns testes de penetração e tentaremos limpar algumas coisas. Um deles são os carimbos de data/hora TCP no Windows. Uma simples varredura NMAP me mostra uma estimativa do carimbo de data/hora TCP que é bastante precisa. Executamos firewalls Sonicwall e o suporte técnico me informou que não é possível remover carimbos de data/hora no nível do firewall. Olhando para o ambiente Windows, parece que os seguintes comandos devem funcionar:
To set using netsh:
netsh int tcp set global timestamps=disabled
To set using PowerShell cmdlets:
Set-NetTCPSetting -SettingName InternetCustom -Timestamps Disabled
Após a aplicação e reinicialização do servidor, o NMAP ainda parece mostrar carimbos de data/hora.
Alguém já teve sorte com isso? Ou sou a única pessoa que está tentando fazer isso :) Não parece ser recomendado, então como você lida com isso?
Obrigado.
Responder1
Os carimbos de data e hora TCP são usados para melhorar o desempenho e também para proteger contra pacotes atrasados que atrapalham seu fluxo de dados. Se você desabilitar os carimbos de data/hora TCP, deverá esperar um desempenho pior e conexões menos confiáveis. Este é o caso independentemente do método usado para desabilitar os carimbos de data/hora TCP.
Quaisquer modificações feitas nos pacotes por um middlebox podem causar problemas adicionais, porque os endpoints TCP não são obrigados a levar em conta tais modificações.
Os carimbos de data/hora TCP devem crescer monotonicamente ao longo do tempo. Portanto, eles são necessariamente previsíveis. Não vi nenhuma documentação de que essa previsibilidade seja um problema.
É tecnicamente possível variar um deslocamento inicial e uma taxa de crescimento de modo que os carimbos de data e hora que você envia para um endereço IP não possam ser usados para prever os carimbos de data e hora que você enviaria para outro endereço IP.
Portanto, minha recomendação é clara.
- Não mexa com carimbos de data/hora no firewall.
- Solicite informações adicionais ao pentester, documentando por que carimbos de data/hora previsíveis seriam um problema, bem como a configuração recomendada do endpoint.
- Aplique as definições de configuração ao endpoint conforme necessário.