ALBのTCPタイムスタンプ設定について

0

システム利用者 - ALB - ECS(EC2) - linux
簡易ですが、上記のような構成になっている環境にて

hping3 -S ALBのDNS名 -c 3 -p 80 --tcp-timestamp

を利用者側から実行した場合、
TCPタイムスタンプを取得できることによるセキュリティ脆弱性が確認されています。

Q1. その他検証可能な内容がございましたらご教授いただきたいです。
Q2. 上記TCPタイムスタンプついてAWS公式からの発信を何かご存知でしょうか?

Q1に関して
対応としてECS/EC2に対して(ホスト、コンテナ内共に)TCPタイムスタンプを無効とする設定
EC2 : net.ipv4.tcp_timestamps を 0 に設定
ECS : --sysctlオプションによる設定
を行いましたが、期待されるタイムスタンプが送られない結果は得られませんでした。
そのため当レスポンスはALBより発せられているものと認識しております。

Q2に関して
自分の調べる限りではパフォーマンスなどの利点から、脆弱性を許容しているケースが見受けられました。
そのためAWS公式として発信されているものがあれば内容理解させていただきたいです。

2点につきまして、ご教示いただけますと幸甚です。

Edited by: yamaguchi13 on Sep 22, 2020 9:58 PM

asked 4 years ago336 views
1 Answer
0

AWS公式として発信されているもの

該当するドキュメントが見つからなければ、技術サポートケースからの問い合わせをおすすめします。

semnil
answered 4 years ago

You are not logged in. Log in to post an answer.

A good answer clearly answers the question and provides constructive feedback and encourages professional growth in the question asker.

Guidelines for Answering Questions