Скоро мы проведем несколько тестов на проникновение и попытаемся почистить несколько вещей. Одна из них — временные метки TCP в Windows. Простое сканирование NMAP показывает мне предположение о временной метке TCP, которая на самом деле довольно точна. Мы используем брандмауэры Sonicwall, и техническая поддержка сообщает мне, что он не может удалить временные метки на уровне брандмауэра. Глядя на среду Windows, кажется, что следующие команды должны работать:
To set using netsh:
netsh int tcp set global timestamps=disabled
To set using PowerShell cmdlets:
Set-NetTCPSetting -SettingName InternetCustom -Timestamps Disabled
После применения и перезагрузки сервера NMAP, похоже, все еще показывает временные метки.
У кого-нибудь с этим был успех? Или я единственный, кто пытается это сделать :) Кажется, это не рекомендуется, так что как вы с этим справляетесь?
Спасибо.
решение1
Временные метки TCP используются для повышения производительности, а также защиты от поздних пакетов, которые могут нарушить поток данных. Если вы отключите временные метки TCP, то следует ожидать ухудшения производительности и менее надежных соединений. Это происходит независимо от метода отключения временных меток TCP.
Любые изменения, вносимые в пакеты промежуточным узлом, могут вызвать дополнительные проблемы, поскольку конечные точки TCP не обязаны учитывать такие изменения.
Временные метки TCP должны монотонно расти со временем. Таким образом, они обязательно предсказуемы. Я не видел никакой документации, которая бы указывала на то, что эта предсказуемость является проблемой.
Технически возможно изменять начальное смещение и скорость роста таким образом, чтобы временные метки, которые вы отправляете на один IP-адрес, нельзя было использовать для прогнозирования временных меток, которые вы отправите на другой IP-адрес.
Поэтому моя рекомендация ясна.
- Не вмешивайтесь в работу временных меток на брандмауэре.
- Запросите у пентестера дополнительную информацию, описывающую, почему предсказуемые временные метки могут представлять проблему, а также рекомендуемую конфигурацию конечной точки.
- При необходимости примените параметры конфигурации к конечной точке.