it-swarm.com.de

Welchen Nutzen bringt TCP timestamp?

Ich habe eine Sicherheitsüberprüfung durchgeführt, die mich dazu veranlasst, TCP= Zeitstempel zu deaktivieren. Ich verstehe die Gründe für die Empfehlung: Der Zeitstempel kann zur Berechnung der Server-Betriebszeit verwendet werden, was für einen Angreifer hilfreich sein kann (gute Erklärung) unter der Überschrift "TCP Timestamps" unter http://www.silby.com/eurobsdcon05/eurobsdcon_silbersack.pdf ).

Ich bin jedoch der Ansicht, dass TCP Zeitstempel die Leistung verbessern sollen TCP). Natürlich ist in der Kosten-Nutzen-Analyse die Leistungsverschlechterung möglicherweise auch groß Es fällt mir schwer zu verstehen, wie hoch oder wie hoch die Leistungskosten sind, die zu erwarten sind.

43
Paul Degnan

Die Antwort wird am prägnantesten ausgedrückt in RFC 1323 - Round-Trip Measurement ... Die Einführung in den RFC bietet auch einige relevante historische Zusammenhänge ...

   Introduction

   The introduction of fiber optics is resulting in ever-higher
   transmission speeds, and the fastest paths are moving out of the
   domain for which TCP was originally engineered.  This memo defines a
   set of modest extensions to TCP to extend the domain of its
   application to match this increasing network capability.  It is based
   upon and obsoletes RFC-1072 [Jacobson88b] and RFC-1185 [Jacobson90b].


  (3)  Round-Trip Measurement

       TCP implements reliable data delivery by retransmitting
       segments that are not acknowledged within some retransmission
       timeout (RTO) interval.  Accurate dynamic determination of an
       appropriate RTO is essential to TCP performance.  RTO is
       determined by estimating the mean and variance of the
       measured round-trip time (RTT), i.e., the time interval
       between sending a segment and receiving an acknowledgment for
       it [Jacobson88a].

       Section 4 introduces a new TCP option, "Timestamps", and then
       defines a mechanism using this option that allows nearly
       every segment, including retransmissions, to be timed at
       negligible computational cost.  We use the mnemonic RTTM
       (Round Trip Time Measurement) for this mechanism, to
       distinguish it from other uses of the Timestamps option.

Welche Leistungseinbußen durch das Deaktivieren von Zeitstempeln entstehen, hängt von Ihrem Serverbetriebssystem und der Vorgehensweise ab (siehe z. B. diese PSC-Dokument zur Leistungsoptimierung ). In einigen Betriebssystemen müssen Sie entweder alle RFC1323-Optionen gleichzeitig aktivieren oder deaktivieren. In anderen können Sie RFC 1323-Optionen selektiv aktivieren.

Wenn Ihre Datenübertragung auf irgendeine Weise von Ihrem virtuellen Server gedrosselt wird (vielleicht haben Sie nur den günstigen vhost-Plan gekauft), können Sie möglicherweise ohnehin keine höhere Leistung nutzen ... Vielleicht lohnt es sich, sie auszuschalten, um es zu versuchen. Wenn dies der Fall ist, sollten Sie Ihre Leistung vor und nach dem Auftritt möglichst an verschiedenen Orten vergleichen.

24
Mike Pennington

Daniel und allen anderen, die Klarheit wünschen:

http://www.forensicswiki.org/wiki/TCP_timestamps

"TCP-Zeitstempel werden zum Schutz vor umbrochenen Sequenznummern verwendet. Die Systemverfügbarkeit (und die Startzeit) können durch Analyse von TCP Zeitstempeln (siehe unten) berechnet werden. Diese berechneten Betriebszeiten (und Startzeiten) ) kann helfen, versteckte netzwerkfähige Betriebssysteme zu erkennen (siehe TrueCrypt), gefälschte IP- und MAC-Adressen miteinander zu verknüpfen, IP-Adressen mit drahtlosen Ad-Hoc-APs zu verknüpfen usw. "

Es handelt sich um eine risikoarme Sicherheitsanfälligkeit, die als PCI-Konformität bezeichnet wird.

14
psouza4

Warum möchten die Sicherheitsleute, dass Sie Zeitstempel deaktivieren? Welche mögliche Bedrohung könnte ein Zeitstempel darstellen? Ich wette die NTP Crew wäre damit unzufrieden; ^)

Wenn der Zeitstempel TCP aktiviert ist, können Sie die Betriebszeit eines Zielsystems erraten (nmap v -O. Wenn Sie wissen, wie lange ein System in Betrieb war, können Sie feststellen, ob Sicherheits-Patches neu gestartet werden müssen wurde angewendet oder nicht.

12
R V Marti

Ich würde es nicht tun.

Ohne Zeitstempel funktioniert der Mechanismus TCP Schutz vor umhüllten Sequenznummern (PAWS) nicht. Er verwendet die Zeitstempeloption, um zu bestimmen, dass die plötzliche und zufällige Änderung der Sequenznummer ein Umbruch ist (16-Bit-Sequenznummern) ein verrücktes Paket aus einem anderen Fluss.

Wenn Sie dies nicht haben, werden Ihre TCP Sitzungen von Zeit zu Zeit rülpsen, je nachdem, wie schnell sie den Sequenznummernraum verbrauchen.

Aus RFC 1185:

ARPANET       56kbps       7KBps    3*10**5 (~3.6 days)
DS1          1.5Mbps     190KBps    10**4 (~3 hours)
Ethernet      10Mbps    1.25MBps    1700 (~30 mins)
DS3           45Mbps     5.6MBps    380
FDDI         100Mbps    12.5MBps    170
Gigabit        1Gbps     125MBps    17

Nehmen Sie 45 Mbit/s (auch innerhalb von 802.11n-Geschwindigkeiten), dann würden wir alle ~ 380 Sekunden ein Rülpsen haben. Nicht schrecklich, aber nervig.

Warum möchten die Sicherheitsleute, dass Sie Zeitstempel deaktivieren? Welche mögliche Bedrohung könnte ein Zeitstempel darstellen? Ich wette die NTP Crew wäre damit unzufrieden; ^)

Hmmmm, ich habe etwas über die Verwendung von TCP Zeitstempeln, um die Taktfrequenz des Absenders zu erraten? Vielleicht haben sie Angst davor? Ich weiß nicht; ^)

Zeitstempel sind für die RTT-Schätzung weniger wichtig als Sie denken. Ich mag sie zufällig, weil sie nützlich sind, um die RTT am Empfänger oder einer Middlebox zu bestimmen. Allerdings benötigt laut der Kanone von TCP nur der Absender solch verbotenes Wissen; ^)

Der Absender benötigt keine Zeitstempel, um die RTT zu berechnen. t1 = Zeitstempel, als ich das Paket gesendet habe, t2 = Zeitstempel, als ich die ACK erhalten habe. RTT = t2 - t1. Machen Sie ein wenig Abhilfe und Sie können loslegen!

... Daniel

10
Daniel

Ich habe heute eine ähnliche Frage zu diesem Thema gestellt bekommen. Meine Einstellung ist wie folgt:

Ein nicht gepatchtes System ist die Sicherheitsanfälligkeit, nicht ob Angreifer es leicht finden können. Die Lösung besteht daher darin, Ihre Systeme regelmäßig zu patchen. Das Deaktivieren von TCP Zeitstempeln trägt nicht dazu bei, Ihre Systeme weniger anfällig zu machen - es handelt sich lediglich um Sicherheit durch Unbekanntheit, was überhaupt keine Sicherheit ist.

Wenn Sie die Frage auf den Kopf stellen, sollten Sie überlegen, eine Lösung zu entwickeln, die TCP Zeitstempel) verwendet, um Hosts in Ihrem Netzwerk zu identifizieren, die die längste Betriebszeit haben. Dies sind in der Regel Ihre anfälligsten Systeme Patchen, um sicherzustellen, dass Ihr Netzwerk geschützt bleibt.

Vergessen Sie nicht, dass Informationen wie die Verfügbarkeit auch für Ihre Systemadministratoren nützlich sein können. :)

8
Oliver Jones