AWS re:Postを使用することにより、以下に同意したことになります 利用規約

ALBのTCPタイムスタンプ設定について

0

システム利用者 - ALB - ECS(EC2) - linux
簡易ですが、上記のような構成になっている環境にて

hping3 -S ALBのDNS名 -c 3 -p 80 --tcp-timestamp

を利用者側から実行した場合、
TCPタイムスタンプを取得できることによるセキュリティ脆弱性が確認されています。

Q1. その他検証可能な内容がございましたらご教授いただきたいです。
Q2. 上記TCPタイムスタンプついてAWS公式からの発信を何かご存知でしょうか?

Q1に関して
対応としてECS/EC2に対して(ホスト、コンテナ内共に)TCPタイムスタンプを無効とする設定
EC2 : net.ipv4.tcp_timestamps を 0 に設定
ECS : --sysctlオプションによる設定
を行いましたが、期待されるタイムスタンプが送られない結果は得られませんでした。
そのため当レスポンスはALBより発せられているものと認識しております。

Q2に関して
自分の調べる限りではパフォーマンスなどの利点から、脆弱性を許容しているケースが見受けられました。
そのためAWS公式として発信されているものがあれば内容理解させていただきたいです。

2点につきまして、ご教示いただけますと幸甚です。

Edited by: yamaguchi13 on Sep 22, 2020 9:58 PM

1回答
0

AWS公式として発信されているもの

該当するドキュメントが見つからなければ、技術サポートケースからの問い合わせをおすすめします。

semnil
回答済み 2年前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン