Wissensdatenbank: Red Hat Enterprise Linux
Verwendung von TCP Timestamps
Gepostet von Andreas Wolske an 08 Juni 2017 08:24

Viele Standardprozeduren bei Sicherheitsaudits bzw. externen Tests von Webapplikationen bemängeln die Verwendung von TCP Timestamps bzw. empfehlen deren Abschaltung. Aus unserer Sicht besteht auf modernen Systemen kein Grund TCP Timestamps zu deaktivieren. Die Verwendung von TCP Timestamps selbst stellt keine ausnutzbare Sicherheitslücke dar. Die tcp_timestamps Variable weist den Kernel an Timestamps nach RFC 1323 zu benutzen. Das wird zur präzisen Ermittlung von RTTs in breitbandigen Verbindungen mit geringer Latenz verwendet, da dieses Verfahren genauer ist, als die Ermittlung der RTTs per Retransmission Timeout Methode.

Das Argument der Auditoren ist hier, das sich die Uptime des Systems ermitteln lässt. Früher konnte man anhand der Uptime und des OS Fingerprints schätzen, welchen Patchlevel das System bzw. der Kernel hat und ggf. gezielter nach ausnutzbaren Sicherheitslücken suchen. Im Zeitalter virtualisierter Infrastrukturen und der Möglichkeit des Kernel-Live-Patching (kpatch/ksplice) lassen sich anhand der Uptime keinerlei verlässliche Rückschlüsse auf den Softwarestand des Systems schließen. Siehe auch http://rhelblog.redhat.com/2014/02/26/kpatch/.

(6 Stimme(n))
Hilfreich
Nicht hilfreich

 

Unsere Produkte und Dienstleistungen:
 
[ PaaS for Cloud Native Apps ] [ PaaS for e-Commerce ] [ PaaS for Webapplications ] [ IaaS & vCloud Director ]
[ Private- & Hybrid- Clouds ] [ veeam Cloud Connect ] [ Site Recovery Manager ] [ vCloud Availability ]
[ Zimbra Collaboration ] [ Filecloud ] [ Nextcloud ]