Forum Debian Users Gang

morfik · 2014-05-05 06:09:51

Tak sobie weryfikuje po kolei te ustawienia kernela co tam któregoś dnia Jacekalex wkleił i doszedłem do tcp_timestamps . Szukałem jakiegoś konkretnego info za co tak naprawdę ten parametr odpowiada i znalazłem tego oto linka: http://nfsec.pl/security/2306 a w nim min. poniższą informacje:

Niestety – dzięki opcji timestamp jesteśmy też w stanie bardzo prosto obliczyć uptime, czyli jak długo maszyna pracuje w sieci bez restartowania, a tym samym dowiedzieć się np. czy zostały na nią nałożone aktualizacje bezpieczeństwa wymagające restartu całego systemu.
...
Patrząc na tą sytuację od strony komputera klienckiego – dzięki znacznikom czasu różne programy i urządzenia w Internecie mogą odczytywać, obliczać i tworzyć indywidualne profile (służące do śledzenia aktywności) tzw. przesunięć czasowych impulsów zegarowych (ang. clock skew) naszego komputera – w ten sposób nasza maszyna jest oznaczona „sprzętowo – programowym” ciasteczkiem już na poziomie warstwy transportowej (a nie aplikacji).

Ta opcja jest włączona w debianie domyślnie i z info w podanym linku wynika, że tymi numerami sekwencyjnymi można się dopiero przejmować przy 1Gbit necie.

Co sądzicie o włączeniu/wyłączeniu tego ficzera?

uzytkownikubunt · 2014-05-05 07:08:18

724

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:51:11)

Jacekalex · 2014-05-05 08:41:28

Działanie stosu TCP jest ustandaryzowane przez dokumenty RFC, także nie bardzo rozumiem, co tu jest do łatania w Grsec.
Z resztą Grsec nie służy ukrywaniu systemu w sieci, tylko maksymalnemu zabezpieczeniu hosta w kontekście ataku sieciowego.

To są dwie różne kategorie działań.

Parametry sieciowe kernela konfiguruje się przez sysctl, i Grsec nie tworzy osobnego podsystemu sieciowego, żeby coś tu znacząco zmieniał.

W ogóle się zastanawiam, czy czasem nie masz mrówek w kompie :D
W każdym razie to nie jest żaden błąd, a jak ktoś che obliczać uptime maszyny na podstawie tcp.timestaps, żeby sprawdzić, kiedy pobierała aktualizacje bezpieczeństwa, to ja mu życzę przyjemnej zabawy.
Cały "straszny problem" jest trochę z dooopy wzięty.
W każdym razie, jak to będzie straszliwa dziura, to załatają ją Developerzy kernela.

W praktyce nie ma się czym martwić za bardzo.

Ostatnio edytowany przez Jacekalex (2014-05-05 08:51:24)

uzytkownikubunt · 2014-05-05 08:52:45

725

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:51:12)

Jacekalex · 2014-05-05 09:14:55

W zasadzie tak, jednak w praktyce atakujący musi być między systemem, a routerem brzegowym dostawcy? nawet nie, raczej bliżej kompa, żeby coś "wstrzyknąć".

W dodatku można tcp.timestamps wyłączyć, i póki nie ma się do czynienia z prędkościami rzędu 1Gbit, to nie powinno być problemu?
Prędkości rzędu 1Git i większe, to już nie są miejsca, gdzie używa się jakichś podatnych systemów, takie zazwyczaj działają routery i switche, a w internecie najczęściej już BGP, który ma sam tyle słabych punktów, że timestamps nic tu nie zmienia.

Także afera z podatnością jest jak zwykle mocno przesadzona, a piłeczka w dziedzinie dozbrojenia mechanizmu jest u Developerów kernela.
Nawet jest ku temu niezła okazja, bo przepisują cały podsystem sieciowy,
w ramach zmiany iptables|arptables|ebtables => nftables.

Także piszcie na LKML jak to takie dla Was takie ważne, albo "na Berdyczów" w przeciwnym wypadku.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-05-05 09:19:55)

morfik · 2014-05-05 09:19:54

W każdym razie to nie jest żaden błąd, a jak ktoś che obliczać uptime maszyny na podstawie tcp.timestaps, żeby sprawdzić, kiedy pobierała aktualizacje bezpieczeństwa, to ja mu życzę przyjemnej zabawy.

A to jakiś problem? W tym linku nawet dali linijkę do nmapa, sprawdziłem i wypluł ładnie uptime. xD

Z resztą Grsec nie służy ukrywaniu systemu w sieci, tylko maksymalnemu zabezpieczeniu hosta w kontekście ataku sieciowego.

A jak zaatakować coś czego nie widać? xD Po co się maluje tanki na kolor trawy? xD

Jacekalex — mi gdzieś tam w linkach mignęło, że jeden z devów kernela chciał to fixnąć ale za mało wazeliny było i nie dało oporu pokonać. xD

Jacekalex · 2014-05-05 09:25:25

Grsec zazwyczaj zabezpiecza hosty, które widać, bo udostępniają różne usługi w necie.
Dlatego kwestia "ukrywania hosta" to nie jest target Grsec.

Grsec, to z resztą jest dodatkowa warstwa pancerza na Linuxa, ale nie decyduje o kolorze "farby" którą ten pancerz jest pomalowany.

Jak komuś zawadza timestamps, to sobie go może wyłączyć, albo wywalić Linuxa, i postawić OpenBSD.
Technicznie nie ma z tym problemu, prawda?

Myślę, że o ile przydałoby się dozbrojenie mechanizmu, jednak to nie jest jakaś niezwykle ważna i nie cierpiąca zwłoki sprawa.

Ostatnio edytowany przez Jacekalex (2014-05-05 09:51:18)

morfik · 2014-05-05 09:35:56

Technicznie nie ma z tym problemu, prawda?

Nie ma, ja sobie to wyłączyłem póki co i zobaczę czy się coś będzie psuć, póki co działa.

jednak to nie jest jakaś niezwykle ważna i nie cierpiąca zwłoki sprawa.

Cierpiąca zwłoki może i nie jest ale ten art ma chyba 4 lata już, xD

Jacekalex · 2014-05-05 10:04:30

morfik napisał(-a):
Technicznie nie ma z tym problemu, prawda?
Nie ma, ja sobie to wyłączyłem póki co i zobaczę czy się coś będzie psuć, póki co działa.
jednak to nie jest jakaś niezwykle ważna i nie cierpiąca zwłoki sprawa.
Cierpiąca zwłoki może i nie jest ale ten art ma chyba 4 lata już, xD

Należy też pamiętać, że od co najmniej 4 lat zaczyna brakować adresów IP, miało to rozwiązać IPv6, który działa mocno inaczej, ma wbudowanego Ipseca, także zakładam, że tam to będzie zupełnie inaczej wyglądało.
Oczywiście będzie, jak się zacznie katastrofa, bo póki jakoś to działa, to się czeka na cud.
Co najmniej połowa routerów brzegowych musiałaby być wymieniona z powodu Ipv6, dlatego zbyt prędko go nie zobaczymy, bo to są miliardowe koszty.

Co nie zmienia faktu, że żeby skutecznie ukryć hosta w sieci w Polsce, to trzeba go tak spreparować, żeby wyglądał w sieci jak Windows.
Wtedy, zgodnie z zasadą, że w oceanie nie znajdziesz konkretnej kropli wody, host jest w miarę ukryty.
Raczej BSD wtedy łatwiej rozpoznać, z powodu jego losowego znacznika początkowego tcp.timestamps. ;)

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-05-09 13:51:31)

uzytkownikubunt · 2014-05-09 13:47:31

738

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:51:29)

Jacekalex · 2014-05-09 13:52:57

Ciekawe, czy kiedy Brad go dorzuci do łatki Grsec.

Ostatnio edytowany przez Jacekalex (2014-05-09 13:55:43)

morfik · 2014-05-09 15:45:56

Ja tylko jeszcze dodam, że aktywacja tego timestamp powoduje dodanie 12bajtów do nagłówka każdego pakietu i przy wolnych sieciach wyłączenie tego ficzera może trochę poprawić przepustowość łącza. Tak wyglądają staty pakietów przy standardowym przeglądaniu sieci:

Choć w sumie te pakiety 1280-1500 to zaczęły nabijać ostro po włączeniu filmu na yt co jest zrozumiałe ale przy przeglądaniu stronek, liczba tam osylowała na poziomie 25% i niżej. Jak widać pakietów 40-79 jest w cholerę i dodanie tam 12 bajtów to dopiero ssie. xD Nie wiem czy gdzieś jeszcze jest limitowany net ale jeśli ktoś używa to -12bajtów da niezłego kopa. xD

uzytkownikubunt · 2014-05-10 18:27:21

739

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:51:30)

morfik · 2015-06-28 17:22:09

Chyba jednak fixneli ten problem już:

Kod:

Uptime guess: 197.261 days (since Sat Dec 13 09:51:44 2014)

# date
Sun Jun 28 17:21:06 CEST 2015
# uptime
 17:21:09 up 15 min,  9 users,  load average: 0.82, 0.41, 0.32

xD

uzytkownikubunt · 2015-06-28 20:29:49

2022

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:19:39)

Forum Debian Users Gang

Ogłoszenie

#1 2014-05-05 06:09:51

morfik - Cenzor wirtualnego świata

Szpiegowanie na podstawie tcp_timestamps

#2 2014-05-05 07:08:18

uzytkownikubunt - Zbanowany

Re: Szpiegowanie na podstawie tcp_timestamps

#3 2014-05-05 08:41:28

Jacekalex - Podobno człowiek...;)

Re: Szpiegowanie na podstawie tcp_timestamps

#4 2014-05-05 08:52:45

uzytkownikubunt - Zbanowany

Re: Szpiegowanie na podstawie tcp_timestamps

#5 2014-05-05 09:14:55

Jacekalex - Podobno człowiek...;)

Re: Szpiegowanie na podstawie tcp_timestamps

#6 2014-05-05 09:19:54

morfik - Cenzor wirtualnego świata

Re: Szpiegowanie na podstawie tcp_timestamps

#7 2014-05-05 09:25:25

Jacekalex - Podobno człowiek...;)

Re: Szpiegowanie na podstawie tcp_timestamps

#8 2014-05-05 09:35:56

morfik - Cenzor wirtualnego świata

Re: Szpiegowanie na podstawie tcp_timestamps

#9 2014-05-05 10:04:30

Jacekalex - Podobno człowiek...;)

Re: Szpiegowanie na podstawie tcp_timestamps

morfik napisał(-a):

#10 2014-05-09 13:47:31

uzytkownikubunt - Zbanowany

Re: Szpiegowanie na podstawie tcp_timestamps

#11 2014-05-09 13:52:57

Jacekalex - Podobno człowiek...;)

Re: Szpiegowanie na podstawie tcp_timestamps

#12 2014-05-09 15:45:56

morfik - Cenzor wirtualnego świata

Re: Szpiegowanie na podstawie tcp_timestamps

#13 2014-05-10 18:27:21

uzytkownikubunt - Zbanowany

Re: Szpiegowanie na podstawie tcp_timestamps

#14 2015-06-28 17:22:09

morfik - Cenzor wirtualnego świata

Re: Szpiegowanie na podstawie tcp_timestamps

Kod:

#15 2015-06-28 20:29:49

uzytkownikubunt - Zbanowany

Re: Szpiegowanie na podstawie tcp_timestamps

Stopka forum