Вопрос или проблема
Я использую OpenVAS в качестве сканера уязвимостей, и я завершил сканирование локальной сети, в котором также участвует роутер MikroTik в качестве шлюза по умолчанию.
Роутер показывает уязвимость, более известную как уязвимость “TCP timestamp”.
С учетом вышеизложенного, как отключить TCP timestamp на роутере MikroTik?
Насколько я знаю, вы не можете отключить это на MikroTik.
Я бы оценил это как уязвимость низкого риска, так как с её помощью можно лишь сделать вывод о времени работы устройства.
Если я не ошибаюсь, используя правильный фаервол на стороне WAN вашей сети, это не должно быть проблемой. Если роутер не отвечает на TCP пакеты от неизвестных хостов, тогда они не смогут получить никакие отметки времени.
Если вам действительно нужно отключить это, вам следует открыть тикет на [email protected], чтобы запросить это как опцию для MikroTik RouterOS. Они единственные, кто может реализовать это, так как RouterOS является закрытым программным обеспечением (хотя и основано на ядре Linux).
На самом деле я не использовал и не имею роутера MikroTik, но, насколько я знаю, ОС основана на Linux. Поэтому, я думаю, вы можете отключить TCP Timestamps так же, как это делается на сервере Linux:
Войдите через ssh на роутер MikroTik и добавьте следующую строку в файл /etc/sysctl.conf
#Отключить TCP timestamps
net.ipv4.tcp_timestamps = 0
#Включить TCP Timestamps
net.ipv4.tcp_timestamps = 1
Затем выполните sysctl -p, чтобы включить настройки.
Или, когда система работает…
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 1 > /proc/sys/net/ipv4/tcp_timestamps
Ответ или решение
Чтобы отключить временные метки TCP на роутере MikroTik, важно следовать конкретным шагам, поскольку данный функционал напрямую влияет на безопасность вашей сети. Несмотря на то, что обсуждение ограничений MikroTik RouterOS указывает на сложность в отключении этой функции, вы можете принять несколько мер для повышения защиты вашего устройства.
Шаги по отключению TCP временных меток на роутере MikroTik
1. Понимание проблемы
TCP временные метки используются для оптимизации управления соединениями, однако они могут представлять собой риск безопасности, так как позволяют злоумышленникам получать информацию о времени работы устройства. Сканеры уязвимостей, такие как OpenVAS, отмечают эту функцию как потенциальную уязвимость. Однако, существует мнение, что это не является критическим риском, и его можно минимизировать с помощью соответствующих мер безопасности.
2. Использование брандмауэра
Прежде всего, рекомендуется настроить брандмауэр для блокировки входящих соединений от незнакомых хостов. Это помогут снизить риск утечки информации о временных метках. Убедитесь, что ваш роутер не отвечает на TCP пакеты от недоверенных источников.
3. Отключение TCP временных меток (TCP Timestamps)
На данный момент MikroTik RouterOS не предоставляет прямой возможности отключить временные метки TCP через стандартный интерфейс. Однако вы можете предложить эту функцию разработчикам MikroTik, открыв запрос на их официальном сайте поддержки.
Хотя MikroTik основан на ядре Linux, стандартные команды Linux для модификации настроек TCP временных меток не применимы. MikroTik RouterOS использует собственную репозиторную систему настроек, что ограничивает доступ к некоторым параметрам ядра.
4. Обновление и поддержка
Если вам критически важно отключить временные метки, необходимо следить за обновлениями RouterOS. Обновления могут ввести новые параметры или изменения в текущие функции, которые могут включать возможность отключения временных меток TCP в будущем.
Рекомендации
-
Регулярный мониторинг уязвимостей: Используйте инструменты, такие как OpenVAS, для периодического сканирования вашей сети.
-
Обновление RouterOS: Убедитесь, что ваша версия MikroTik RouterOS актуальна. Это позволит вам использовать последние исправления безопасности и новые функции.
-
Техническая поддержка: Обратитесь в службу поддержки MikroTik для получения рекомендаций по конкретным вопросам или функциональности вашей системы.
Заключение
Отключение временных меток TCP на роутерах MikroTik не реализовано напрямую, но с помощью настройki брандмауэра и мониторинга уязвимостей вы можете минимизировать риски, связанные с этой функцией. Постоянно следите за обновлениями от MikroTik и не стесняйтесь обращаться к техподдержке с предложениями по улучшению системы.