TCP Timestamps: Ja/Nein
-
Hallo Leute.
Wir haben intern gerade eine Dikussion über TCP Timestamps auf Servern.
Einige Sicherheitsscanner markieren TCP Timestamps als Sicherheitslücke da man theoretisch über sie die Uptime des Servers auslesen kann.
Einige Leute meinen es erhöht aber die Performance des Servers und die Sicherheislücke ist nur theoretischer natur.Wie seht ihr das?
-
*Kurz austesten*
Hey cool, das funktioniert ja wirklich
.Jedoch die Gegenfrage: Und nun?
-
Hmm, vllt steige ich da wohl nicht durch, aber warum sollte die Bekanntgabe der Uptime eines Servers sicherheitsrelevanter Natur sein
Und wegen der Uptime: Da wird doch wohl kaum die aktuelle Laufzeit des Servers hinterlegt, sondern eher die aktuelle Uhrzeit. Und anhand derer ist es wohl kaum möglich die Betriebsdauer des Servers zu ermitteln...
-
shadow schrieb:
Hmm, vllt steige ich da wohl nicht durch, aber warum sollte die Bekanntgabe der Uptime eines Servers sicherheitsrelevanter Natur sein
Und wegen der Uptime: Da wird doch wohl kaum die aktuelle Laufzeit des Servers hinterlegt, sondern eher die aktuelle Uhrzeit. Und anhand derer ist es wohl kaum möglich die Betriebsdauer des Servers zu ermitteln...
Google doch die Begriffe wenigstens mal, bevor du dazu was schreibst. Deine Frage hättest du dir damit beantworten können und deine Vermutung als Unsinn abtun können.
-
SeppJ schrieb:
Jedoch die Gegenfrage: Und nun?
Google sagt:
These calculated uptimes (and boot times) can help in detecting hidden network-enabled operating systems (see TrueCrypt), linking spoofed IP and MAC addresses together, linking IP addresses with Ad-Hoc wireless APs, etc.
-
Genau auf das bin ich auch gekommen. Aber dazu frage ich immer noch: Na und?
-
Hm naja, alles was einen Timestamp verarbeitet könnte zurückgerechnet werden.. Zufallszahlengeneratoren mit Time Seed vielleicht? (Verschlüsselungen, Online Games, ??) Über sowas muss man sich als Admin Gedanken machen?
Jetzt weiss ich, wieso die immer so schlau tun ^^
-
Tja, bleibt die Frage offen:
aktivieren oder deaktivieren?Wie handhabt ihr es?
Denn wie gesagt, bei uns ist darüber eine Diskussion entstanden und ich möchte euch alle daran beteiligen
-
Als "Unwissender" sage ich einfach mal, man kann es auch übertreiben. Irgendwie kommt es mir so vor, als ob da die Paranoia bei einigen Admins spricht.
Nur die ganz Großen kommen ins Ziel von Crackern. Na gut, außer halt auch die Spiele-Betreiber, da man damit gut Geld machen kann (durch die Spieler selbst).Kein System und kein Programm ist 100% sicher, weil es IMMER ein Schlupfloch gibt, bzw. die Interessierten eins finden können. Es mag zwar eine Sicherheitslücke sein, aber ich denke mal der Leistungs- Nutzungsaufwand ist da nicht gerechtfertigt. Bei seeds z. B. müsste der Angreifer erstmal herausfinden, ob nun ein time-seed durchgeführt wurde oder ein z. B. nach Datum/Uhrzeit definierter. Und da die Timestamps je nach System in der Genauigkeit variieren (ja SeppJ, hab ich gegoogelt
) ist es höchst unwahrscheinlich bzw. ziemlich schwer da eine Schwachstelle zu finden.Mein Resultat: Seit Jahrzehnten läuft das TCP-Protokoll. Wenn dieser Timestamp so gravierend wäre, dann wäre das längst gefixt bzw. als "wichtiger" Vorschlag in der Community eingeworfen worden.
-
Shade Of Mine schrieb:
Tja, bleibt die Frage offen:
aktivieren oder deaktivieren?Wie handhabt ihr es?
Denn wie gesagt, bei uns ist darüber eine Diskussion entstanden und ich möchte euch alle daran beteiligenich handhabe es gar nicht, aber aktiviere es, und addiere eine zufällige zahl beim boot. dann kann die uptime nicht bestimmt werden
-
Shade Of Mine schrieb:
Wie handhabt ihr es?
Denn wie gesagt, bei uns ist darüber eine Diskussion entstanden und ich möchte euch alle daran beteiligenWir handhaben das so, wie es Windows 2003 standardmässig macht
(heisst: keine Ahnung, da haben wir nie was umgestellt)
Vorausgesetzt unsere Firewall filtert die Timestamps nicht raus.Was genau soll denn der Vorteil sein?
Wäre der nur im internen Netz relevant, oder auch bzw. gerade im Internet?
Falls nur intern: vielleicht kann man die Timestamps von der Firewall ja rausnehmen lassen...
Oder vielleicht kann die Firewall die Timestamps "anonymisieren" - k.A. ob das geht.
-
shadow schrieb:
... Bei seeds z. B. müsste der Angreifer erstmal herausfinden, ob nun ein time-seed durchgeführt wurde oder ein z. B. nach Datum/Uhrzeit definierter. Und da die Timestamps je nach System in der Genauigkeit variieren (ja SeppJ, hab ich gegoogelt
) ist es höchst unwahrscheinlich bzw. ziemlich schwer da eine Schwachstelle zu finden...So schwer ist das gar nicht. Die meissten (Nicht-Profis) verwenden sowas wie GetTickCount (Millisekunden seit Systemstart) als Seed für ihre Zufallszahlen-Generatoren und nehmen dann die altbekannte rand() Funktion. Wenn du nun den Zeitpunkt einigermaßen kennst, an dem das Ganze initialisiert wurde und ein Paar Zahlen aus dem Generator gezogen hast, kannst du durch Try&Error den richtigen Seed herausbekommen. Allerdings verwenden professionelle Seiten (Casinos, Games etc) Zufallsgeneratoren von Drittanbietern die meisstens sogar physikalische Quellen haben, oder besonders sicher zertifiziert sind.
-
hustbaer schrieb:
Was genau soll denn der Vorteil sein?
Um ehrlich zu sein, ich weiss es nicht.
Wir haben es aktiviert, bzw. auf standard gelassen.Aber wie gesagt, einige Sicherheitsscanner merken das eben an. Was bei einem Sicherheitsaudit halt ärgerlich ist, weil man ihn dumme Erklärungsnöte kommt.
-
http://www.cisco.com/en/US/products/hw/ps4159/ps2160/products_security_notice09186a008046f502.html ->
http://technet.microsoft.com/en-us/security/bulletin/ms05-019 -> Standard lasse, scheint sich ob ein Relikt zu handeln.
