Как отключить временные метки TCP на маршрутизаторе Mikrotik?
Я использую OpenVAS в качестве сканера уязвимостей, и я завершил сканирование локальной сети, которое также использует маршрутизатор MikroTik в качестве шлюза по умолчанию.
Маршрутизатор демонстрирует слабость, более известную как уязвимость "отметка времени TCP".
В свете вышесказанного, как отключить метку времени TCP на маршрутизаторе MikroTik?
2 ответа
AFAIK, вы не можете отключить это на MikroTik.
Я бы посчитал, что это уязвимость с низким уровнем риска, поскольку с ее помощью можно определить только время безотказной работы устройства.
Если я не ошибаюсь, при использовании надлежащего брандмауэра на стороне WAN вашей сети это не должно быть проблемой в любом случае. Если маршрутизатор не отвечает на какие-либо TCP-пакеты от неизвестных хостов, он не сможет получить метки времени.
Если вам действительно нужно отключить это, вам следует открыть тикет по адресу support@mikrotik.com, чтобы запросить это в качестве опции для MikroTik RouterOS. Они единственные, кто может реализовать это, поскольку RouterOS является программным обеспечением с закрытым исходным кодом (хотя и основанным на ядре Linux).
На самом деле я не использовал ни маршрутизатор mikrotik, но, насколько я знаю, ОС основана на Linux. Поэтому я думаю, вы можете отключить временные метки TCP так же, как вы делаете это на сервере Linux:
Войдите через ssh на маршрутизатор mikrotik и добавьте следующую строку в файл /etc/sysctl.conf
#Disable TCP timestamps
net.ipv4.tcp_timestamps = 0
#Enable TCP Timestamps
net.ipv4.tcp_timestamps = 1
Затем запустите sysctl -p, чтобы включить настройки.
Или когда система работает...
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 1 > /proc/sys/net/ipv4/tcp_timestamps