security apache – ¿Cómo puedo explicarle al cliente que las sumas de comprobación rfc2385 TCP MD5 no se pueden activar para servidores web linux?

Pregunta:

He tenido una conversación de larga duración con un cliente en la que realizan un análisis de seguridad Rapid7 que luego advierte sobre las sumas de comprobación TCP MD5 que faltan en el puerto 80. Esto es lo que creo que sé:

  • RFC 2385 fue diseñado para proteger BGP y, por extensión, protocolos de tipo BGP (es decir, conexiones TCP de larga duración).
  • BGP utiliza conexiones TCP de larga duración, HTTP no.
  • El cifrado / IPSec ha reemplazado a RFC 2385 para proteger BGP.
  • El ataque TCP RST es contra conexiones TCP de larga duración porque el ataque se basa en la probabilidad.
  • El impacto contra el restablecimiento de una conexión HTTP mantenida es que la siguiente solicitud la reiniciaría.
  • La mayoría de las conexiones transfieren datos en milisegundos, la ventana de ataque es demasiado pequeña para que HTTP sea un objetivo eficaz. El ataque depende del tamaño de la ventana y el ancho de banda del atacante contra el servidor y parece tardar unos segundos incluso en buenas condiciones según la página 25 de Deslizamiento en la ventana: ataques de restablecimiento de TCP )
  • Una vista web generalmente se compone de múltiples conexiones para cada cliente conectado, lo que hace que este tipo de denegación de servicio sea poco atractivo en comparación con las alternativas.
  • Linux (específicamente RHEL o Debian) tiene soporte para rfc2385 pero no se puede habilitar globalmente .
  • Ni NGINX ni Apache tienen opciones de configuración para abrir sockets con tcp-md5-checksums habilitados.
  • Incluso si rfc2385 estuviera activo para HTTP, no resolvería un problema, pero aumentaría la carga en el servidor. Lo cual es solo un punto secundario menor.

Intenté explicar que rfc2385 no es relevante para los servidores web, pero dicen que es un problema con TCP que, si bien es cierto, simplifica que es un ataque contra una naturaleza específica de la conexión TCP.

He recurrido a explicar que ni Apache ni nginx pueden habilitar lo que están pidiendo. Siguen enviándome documentos de la base de conocimientos que mencionan Windows, Cisco, NetBSD, BGP, pero nunca nada relacionado con apache ni nginx.

Más allá de los documentos vinculados, les envié LWN explicándolo:

Sería difícil utilizar esta técnica para cerrar un servidor web; Para empezar, las conexiones HTTP tienden a ser de corta duración.

Hay un parche disponible en Windows que corrige la advertencia que están enviando como sugerencia, pero claramente no logra nada para Linux.

¿Estoy diciendo tonterías? ¿Cuál sería su sugerencia de conseguir que el cliente que tiene que preocuparse por el cumplimiento de seguridad se ponga en la misma página que yo?

Respuesta:

El uso de MD5 para verificar la coherencia es una clara violación de CWE-327: Uso de un algoritmo criptográfico roto o arriesgado . Cualquier protección proporcionada por RFC-2387 queda anulada por el uso de un algoritmo desactualizado e inseguro.

Rapid7 hace que Internet sea menos seguro con esta recomendación. Esta "vulnerabilidad" de BS es un ruido más inútil que ahoga los hallazgos reales. La recomendación ciega de Rapid7 de RFC-2385 hace que la solicitud HTTP sea más difícil de procesar, lo que hace que el servidor web sea más propenso a los ataques DDoS.

Me quejaría con Rapid7 y los animaría a reconsiderar seriamente esta recomendación de seguridad de culto a la carga . El hecho de que sea fácil de probar no significa que sea relevante. Pídale a Rapid7 que le diga a su cliente que esto no es un problema.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım