Como desabilitar a resposta do timestamp do servidor windows 2008

Navegue suas respostas
1

Postou esta pergunta no stackoverflow, mas foi instruído a postar aqui:

Eu estava usando o Nexpose do Rapid7 para verificar um dos nossos servidores da Web (Windows Server 2008) e obtive uma vulnerabilidade para a resposta do timestamp.

De acordo com o Rapid7, a resposta do timestamp será desativada: link

Até agora eu tentei várias coisas:

  1. Edite o registro, adicione uma chave "Tcp1323Opts" a HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters e defina-o como 0. link

  2. Use este comando: netsh int tcp definir timestamps globais = desativado

  3. Comando powershell tentado: Set-netTCPsetting -SettingName InternetCustom -Timestamps desativados (obteve o erro: Set-netTCPsetting: O termo 'Set-netTCPsetting' não é reconhecido como o nome de um cmdlet, função, arquivo de script ou Verifique a ortografia do nome ou, se um caminho foi incluído, verifique se o caminho está correto e tente novamente.) Nenhuma das tentativas acima foi bem sucedida, depois de re-scan nós ainda temos o mesmo alerta.

O Rapid7 sugeriu o uso de um firewall capaz de bloqueá-lo, mas queremos saber se existe uma configuração nas janelas para alcançá-lo.

É através de uma porta específica? Se sim, qual é o número da porta? Se não, você poderia sugerir um firewall de terceiros capaz de bloqueá-lo?

Muito obrigado.

    
por Cal 07.06.2014 / 00:01

1 resposta

3

Suponho que você tenha entendido mal a recomendação. Ele não diz "disable TCP timestamp responses", apenas diz "você pode querer desabilitar as respostas do timestamp TCP". A menos que você tenha declarado o tempo de atividade de seus hosts como informação confidencial, você realmente não deve se incomodar. Quanto à impressão digital, há muitas outras fontes fornecendo informações mais detalhadas do que o timestamp TCP.

Mas com relação às suas perguntas: não, a resposta de registro de data e hora não é um serviço disponível por meio de uma porta TCP, é uma opção disponível no próprio TCP e solicitada e respondida através de cabeçalhos TCP de uma conexão existente. Desativar carimbos de data / hora TCP pode quebrar algumas otimizações TCP .

Não é uma boa ideia filtrar apenas os pacotes de solicitação de registro de data e hora, pois isso pode interromper as conexões. A única maneira sã de ajudar isso seria manipular os cabeçalhos TCP para falsificar as respostas apropriadas ou certificar-se de que as extensões RFC 1323 não sejam negociadas na configuração da conexão. Não tenho ideia de quais produtos fazem isso.

Parece que o parâmetro O Tcp1323Opts foi descontinuado e não é mais avaliado . O site do Rapid7 em si está declarando para o Windows Server 2008:

TCP timestamps cannot be reliably disabled on this OS.

    
por 08.06.2014 / 10:10

Tags

rkhunter warnings - whitelisting Como remover o HAProxy reclamar ao reiniciar?