Un auditor de seguridad ha realizado un análisis de vulnerabilidad de nuestra red y encontró que uno de nuestro servidor ha devuelto una respuesta de marca de tiempo de TCP tal que el escáner (Nmap) puede adivinar el tiempo de actividad del servidor.
¿Esto constituye una amenaza real y debería preocuparme? A veces, el escáner puede adivinar erróneamente ...
uno de nuestro servidor ha devuelto una respuesta de marca de tiempo icmp tal que el escáner (nmap) puede adivinar el tiempo de actividad del servidor. ¿Constituye esto una amenaza real y debería preocuparme?
Es una amenaza informativa. Permite a un atacante recopilar información que puede ser útil para determinar qué otros ataques podrían funcionar. Por ejemplo, si nmap puede decirme que parece un sistema operativo Centos y tiene un tiempo de actividad de 60 días, entonces sé que no se han instalado los paquetes de actualización de seguridad del kernel lanzados en los últimos dos meses y activado. Como resultado, es posible que pueda determinar qué ataques contra ese sistema probablemente funcionarán.
Para un servidor interno, solo debe preocuparse un poco. Para un servidor con acceso a Internet, debería estar un poco más preocupado y debería limitar el acceso de ICMP a ese servidor como una cuestión de mejores prácticas. Pero esto no es una preocupación importante en ninguno de los escenarios.
En cualquier caso, si el proveedor del sistema operativo tiene un parche o una solución de configuración, debe aplicarlo, no hay razón para no hacerlo, e incluso podría ayudar.
Para un problema menor como este, la mayor preocupación suele ser aplacar a su auditor. Si esto es lo más grande que encuentran, ¡lo estás haciendo bien!
Lea otras preguntas en las etiquetas icmp timestamp vulnerability-scanners