Un revisore della sicurezza ha eseguito una scansione delle vulnerabilità della nostra rete e ha rilevato che uno dei nostri server ha restituito una risposta timestamp TCP tale che lo scanner (Nmap) è in grado di indovinare il tempo di attività del server.
Questo costituisce una minaccia reale e dovrei essere preoccupato? A volte, lo scanner può indovinare erroneamente ...
one of our server has returned a icmp time stamp response such that the scanner (nmap) is able to guess the uptime of the server. Does this constitute a real threat and should I be concerned?
È una minaccia informativa. Consente a un utente malintenzionato di raccogliere informazioni che potrebbero essere utili per determinare quali altri attacchi potrebbero funzionare. Ad esempio, se nmap può dirmi che assomiglia ad un sistema operativo Centos e ha un tempo di attività di 60 giorni, allora so che nessun pacchetto di aggiornamento della sicurezza del kernel rilasciato negli ultimi due mesi non è stato installato e attivato. Di conseguenza, potrei essere in grado di determinare quali attacchi contro quel sistema funzioneranno probabilmente.
Per un server interno, dovresti essere solo moderatamente preoccupato. Per un server che si affaccia su Internet, dovresti essere un po 'più preoccupato e limitare l'accesso ICMP a quel server come una questione di best practice. Ma questa non è una preoccupazione importante in entrambi gli scenari.
In ogni caso, se il fornitore del sistema operativo ha una patch o una soluzione alternativa per la configurazione, dovresti applicarla, senza motivo, e potrebbe persino aiutarti.
Per un problema minore come questo, la più grande preoccupazione è di solito placare il tuo auditor. Se questa è la cosa più grande che trovano, stai andando bene!
Leggi altre domande sui tag icmp timestamp vulnerability-scanners