Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Ответ
 
Опции темы
Старый 29.05.2017, 12:03   #1
Ixtiander
 
Аватар для Ixtiander
 
Регистрация: 09.12.2011
Адрес: Алма-Ата
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Disable TCP timestamp responses

Сканер уязвимостей обнаружил дырку: The remote host responded with a TCP timestamp

Подскажите, как блокировать передачу этих таймстэмпов в Керио?
Ixtiander вне форума   Ответить с цитированием Вверх
Старый 29.05.2017, 14:14   #2
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,576
Поблагодарили 163 раз(а) в 135 сообщениях
По умолчанию Re: Disable TCP timestamp responses

в случае сферического в вакууме не залоченного линуха - [Для просмотра данной ссылки нужно зарегистрироваться]

улетит ли керио на луну после запрещения штампов - хз, не пробовал
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 02.06.2017, 09:15   #3
Ixtiander
 
Аватар для Ixtiander
 
Регистрация: 09.12.2011
Адрес: Алма-Ата
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Всегда думал, что Kerio Control Software Appliance не для того делалось, чтобы ковыряли внутреннее устройство линукса, на базе которого он построен. Нежели в самом продукте нет средств?
Ixtiander вне форума   Ответить с цитированием Вверх
Старый 02.06.2017, 09:23   #4
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,576
Поблагодарили 163 раз(а) в 135 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Цитата:
Сообщение от Ixtiander Посмотреть сообщение
Нежели в самом продукте нет средств?
возможно в winroute.cfg можно поменять некий параметр под это дело - проверь

Цитата:
Сообщение от Ixtiander Посмотреть сообщение
Kerio Control Software Appliance не для того делалось, чтобы ковыряли внутреннее устройство линукса
а что вам сказала официальная техподдержка по этому поводу?
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 08.06.2017, 08:24   #5
Ixtiander
 
Аватар для Ixtiander
 
Регистрация: 09.12.2011
Адрес: Алма-Ата
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Цитата
Сообщение от exchar Посмотреть сообщение
возможно в winroute.cfg можно поменять некий параметр под это дело - проверь
зачем вы пишете сюда, если вам нечего ответить?
Ixtiander вне форума   Ответить с цитированием Вверх
Старый 08.06.2017, 08:25   #6
Ixtiander
 
Аватар для Ixtiander
 
Регистрация: 09.12.2011
Адрес: Алма-Ата
Сообщений: 8
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Счетчик сообщений накручиваете?
Ixtiander вне форума   Ответить с цитированием Вверх
Старый 08.06.2017, 08:58   #7
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,576
Поблагодарили 163 раз(а) в 135 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Цитата:
Сообщение от Ixtiander Посмотреть сообщение
зачем вы пишете сюда, если вам нечего ответить?
Вам дали конкретный совет: посмотреть определенный конфиг, найти (если получится) профильное значение и изменить его (кстати, правильно менять значения там [Для просмотра данной ссылки нужно зарегистрироваться]).
Направление возможных поисков ответа вам дали. За вас здесь ползать по конфигу никто не будет.

И если я пишу, то определенно считаю, что мне есть что ответить.
Кто-то другой посоветовал более внятное? Выложите, а мы тут глянем.

Если же вам нужно "все и сразу", то платите бабло (если software maintenace протух) в керио/gfi и пытайтесь получить решение от разработчиков.

Цитата:
Сообщение от Ixtiander Посмотреть сообщение
Счетчик сообщений накручиваете?
Да мне глубоко похуй на него, если честно.

Уважаемые модераторы!
Просьба обнулить мне счетчик сообщений и счетчик благодарностей, а то тут уже народ смущается!


Цитата:
Сообщение от Ixtiander Посмотреть сообщение
чтобы ковыряли внутреннее устройство линукса, на базе которого он построен.
Претензии к разработчикам. В этом плане колупайте мозг исключительно им. Мы здесь не на зарплате от Керио/gfi сидим.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
3 пользователя(ей) сказали cпасибо:
Mr.Torture (08.06.2017), naliman (08.06.2017), Oleg66 (08.06.2017)
Старый 08.06.2017, 23:15   #8
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,098
Поблагодарили 105 раз(а) в 80 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Цитата
Сообщение от exchar Посмотреть сообщение
Уважаемые модераторы!
Просьба обнулить мне счетчик сообщений и счетчик благодарностей, а то тут уже народ смущается!
то есть пойти на поводу какого то ихтиандра?
не, нехуй!
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 17.06.2017, 02:45   #9
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,653
Поблагодарили 59 раз(а) в 51 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Цитата:
Сообщение от Ixtiander Посмотреть сообщение
Счетчик сообщений накручиваете?
Ты, уважаемый, посмотрел-бы, на дату регистрации камрада
exchar, да и не говорил-бы глупостей на этот предмет, ага??

Добавлено через 2 часа 51 минуту
Цитата:
Сообщение от Ixtiander Посмотреть сообщение
Сканер уязвимостей обнаружил дырку: The remote host responded with a TCP timestamp
Кстати сказать, вот ну никак не могу понять, какую именно уязвимость допускает таковое наличие временного таймпринта, если с его помощью обычно определяется ширина канала, ну, или аптайм хоста, особенно если учесть то, что под это дело вообще-то и RFC1323 существует?? Или с недавнего времени у нас в Казахстане следование стандартизации в сети стало дурным тоном??
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио

Последний раз редактировалось HOG; 17.06.2017 в 05:37. Причина: Добавлено сообщение
HOG вне форума   Ответить с цитированием Вверх
Старый 19.06.2017, 09:00   #10
Valery12
Одменестрадор
 
Регистрация: 21.11.2006
Адрес: Владимир, Россия
Сообщений: 2,924
Поблагодарили 21 раз(а) в 18 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Цитата:
Сообщение от HOG Посмотреть сообщение
Кстати сказать, вот ну никак не могу понять, какую именно уязвимость допускает таковое наличие временного таймпринта
это один из сотен методов, по которым в комплексе можно вычислить какая ОС стоит на удаленной системе, что бы затем собственно начинать подбирать способы взлома.
Nmap например так стек TCP/IP опрашивает.
Valery12 вне форума   Ответить с цитированием Вверх
Старый 19.06.2017, 14:11   #11
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,653
Поблагодарили 59 раз(а) в 51 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Valery12, Бля, да вообще наличие подключения к сети - это есть самая главная уязвимость и потенциальная угроза для взлома (если уж брать во внимание "The remote host responded with a TCP timestamp"). Так-же как и упавший на голову кирпич, или тупо падение на арбузной/банановой кожуре на улице.
Так что, нехуй хуйню нести, особенно учитывая "потенциальную уязвимость" файрвола, в основной своей массе выпускающего пользователя в инет из под NAT и фильтрующего его-же (пользователя) запросы в нете.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 20.06.2017, 14:38   #12
Valery12
Одменестрадор
 
Регистрация: 21.11.2006
Адрес: Владимир, Россия
Сообщений: 2,924
Поблагодарили 21 раз(а) в 18 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Я и не говорю что это страшная опасность а говорю почему это считается уязвимостью. И заслуживающей внимания она может стать разве что в серьезном банковском секторе, онлайн магазинах или в штабе Трампа .
Другой вопрос что в таких местах и Kerio Control никто не использует.
Valery12 вне форума   Ответить с цитированием Вверх
Старый 20.06.2017, 19:00   #13
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,653
Поблагодарили 59 раз(а) в 51 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Цитата
Сообщение от Valery12 Посмотреть сообщение
в таких местах и Kerio Control никто не использует
Вот! Сам сказал. Тогда к чему все вышеперечисленное??
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Старый 20.06.2017, 20:07   #14
exchar
Охуительный пейсатель
 
Регистрация: 21.04.2008
Сообщений: 2,576
Поблагодарили 163 раз(а) в 135 сообщениях
По умолчанию Re: Disable TCP timestamp responses

Цитата:
Сообщение от HOG Посмотреть сообщение
Тогда к чему все вышеперечисленное??
просто это как с селедкой и рыбой: может и керио применялся бы в нормальном банкинге и т.п., если б там не было таких спорных моментов.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 22.06.2017, 14:24   #15
HOG
Одменестрадор
 
Аватар для HOG
 
Регистрация: 08.03.2006
Адрес: Из лесу, вестимо...
Сообщений: 5,653
Поблагодарили 59 раз(а) в 51 сообщениях
По умолчанию Re: Disable TCP timestamp responses

exchar, Никогда не будет применяться - ибо в серьезных организациях как правило заказывают решения "под ключ" под единый стандарт, и как правило этот стандарт - аппаратный, особенно в части обеспечения безопасности, и части мгновенной замены вышедшего из строя оборудования, включая многократное резервирование как каналов, так и оборудования, дабы в случае выхода из строя любого компонента максимально сократить время простоя системы. Представь себе сервер авторизации банковских карт, например... В мою бытность работы в Diners Club Int. CIS & EMEA LTD. таковой сервер был на самом деле серьезным территориально-распределенным кластером с многократным резервированием, тоже самое касалось и каналов связи, причем так-же резервируемых неоднократно с системой многофакторной авторизации для доступа в систему в принципе, вплоть до клиент-серверных сертификатов.... Все было на cisco systems? причем седьмой серии... Так что, там керио не место, причем явно и неоднозначно. Уровень не тот.
__________________
[Для просмотра данной ссылки нужно зарегистрироваться]

керио
HOG вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 14:10. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях