Vulnerabilità tcp_sack

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Scrivi risposta
Avatar utente
miticothor
Prode Principiante
Messaggi: 118
Iscrizione: mercoledì 29 luglio 2009, 8:15

Vulnerabilità tcp_sack

Messaggio da miticothor »

Buongiorno.
Ho letto qui:

https://www.lffl.org/2019/06/linux-vuln ... panic.html

ma la guida afferma che tale vulnerabilità NON tocchi gli "utenti domestici"...che significa?
Ho voluto provare (sempre di pacchetti in ingresso si tratta).
Uso Ubuntu MATE LTS 16.04.6
Kernel 4.19.56
Ho due fissi connessi via cavo al modem fibra FTTC TIM.
In entrambi in PC ho installato GUWF ed ho impostato su ON e il profilo "Pubblico". Insomma ho ufw abilitato...

Ora seguendo la guida di cui sopra in un PC ho impostatato a "0" il valore del file tcp_sack e al riavvio tale valore è stato mantenuto. Il firewall ufw è sempre abilitato.

Nell'altro PC ho rifatto la stessa procedura ma al riavvio il valore impostato a "0" del file tcp_sack ritorna come di default a "1". !!!!!!!
N.B. Attenzione!!!
Per mantenere il valore a "0" ho dovuto disabilitare ufw.
Infatti in tal modo al riavvio il valore resta "0".
Dopo tento di riattivare ufw con GUFW e...al riavvio, con ufw attivo, il valore di tcp_sack viene ripristinato a "1".
Perché in un PC funziona la guida e mantiene "0" con ufw abilitato e nell'altro succede questo casotto?
Conviene demordere e non tenere conto di niente?
Insomma:
1. E' bene disabilitare ufw per impostare a "0" il valore del file tcp_sack?
GRAZIE!
Avatar utente
miticothor
Prode Principiante
Messaggi: 118
Iscrizione: mercoledì 29 luglio 2009, 8:15

Re: Vulnerabilità tcp_sack

Messaggio da miticothor »

Ho dimenticato una cosa da chiedere:
Mi ricordo che su vecchie versioni di ubuntu ufw era disattivo per default.
Ora per default è attivo.
Ora, a parte che il ruoter TIM Fibra che sto pagando a rate... (e quello che si dice sulla "qualità" del prodotto...) ha il suo Firewall, mi chiedevo se non basti solo quello. Che bisogno c'è di ufw se chi sta dietro a un modem è come se stesse dietro un "proxy" (TIM appunto e il suo modem configurato dal tecnico ovviamente con firewalla abilitato).
Parlo da ignorante ovviamente: se usiamo i gestori e i loro modem preconfigurati non è come star dietro a una sorta di proxy (TIm, Vodafone, ecc. E' il proxy) o no?
Grazie se mi potete chiarire anche questo punto.
Buon lavoro.
Avatar utente
Stealth
Tenace Tecnocrate
Tenace Tecnocrate
Messaggi: 17342
Iscrizione: martedì 31 gennaio 2006, 22:55
Desktop: Gnome
Distribuzione: Ubuntu 22.04 LTS

Re: Vulnerabilità tcp_sack

Messaggio da Stealth »

Hai un tubo che perde e arriva un idraulico che te lo ripara gratis, non perde più. Perchè ti affanni a mettere bacinelle se non serve? Nello specifico: la falla è già stata corretta da settimane quindi, a patto di aggiornare regolarmente il sistema, non c'è nulla che non vada. E in più, che servizi esponi alla rete? Perchè se il tuo "Ubuntu MATE LTS 16.04.6" è un desktop come sembra, anche in presenza della falla (che ripeto non c'è più) non avresti nulla di cui preoccuparti
ciao
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Vulnerabilità tcp_sack

Messaggio da Filoteo »

Mi pare di capire che i pacchetti SACK servono per migliorare le prestazioni in caso di perdita di pacchetti, rimandando solo quelli mancanti e non tutti quelli successivi a quello perso. Tali pacchetti però vengono solo dopo aver stabilito una connessione TCP. Se il tuo computer è collegato a internet tramite un router (dell'operatore o uno personale), tipicamente non è raggiungibile da internet in quanto è "nascosto" dallo stesso router tramite una traduzione degli indirizzi IP da privati a pubblici (se ti interessa cerca NAT, quello che chiami proxy, senza offesa ovviamente). Per questa ragione, ufw o meno la mitigazione non serve sul tuo computer domestico.
Eccezioni: hai effettuato il port forwarding/port mapping/aperto porte sul modem oppure il modem ha qualche servizio aperto sulla rete esterna, tipo interfaccia web del modem stesso. Se non sai cosa significa il primo allora non lo hai fatto sicuramente.

EDIT: Giusto Stealth, l'articolo è di giugno :D tutto questo paragrafo per una falla vecchia.
Avatar utente
miticothor
Prode Principiante
Messaggi: 118
Iscrizione: mercoledì 29 luglio 2009, 8:15

Re: Vulnerabilità tcp_sack

Messaggio da miticothor »

WOW! Siete stati chiarissimi! Vi ringrazio.
Non mi offendo mai: intuivo ma il nome NAT non mi veniva!
Dunque: la news è vecchia mi pare di capire e non ho letto con attenzione che le varie distro (Ubuntu compresa) avevano già pronte le patch! Perfetto.
Se considerate la mia ossessione (mi alzo per andare al lavoro ma PRIMA apro il terminale e chiamo gli aggiornamenti con
sudo apt update
sudo apt full-upgrade
dovrei stare a posto se non fosse che Io non ricordo cosa e in quale forma la patch si presentava...
Mi spiego: quando aggiorno e leggo firefox capisco che sto aggiornando FF...ma come si chiama l'aggiornamento che ha risolto la questione (così, per capire...)? Se ne avessi conosciuto il nome - ma ripeto: sono un ignorante - avrei capito che il PC era aggiornato.
Si: ho due PC desktop attaccati al modem che condividono SOLO la connessione.
Chiedo però se il gestore aggiornamenti capisce che io NON ho la falla o manda comunque "a pioggia" gli aggiornamenti, desktop o server che io abbia...Sono confuso.
Per quanto attiene alla porte:
ho lasciato che Trasmission aprisse la sua (che propone di defualt, mi pare 51413, ma se faccio verifica porta la porta risulta chiusa...ma io scarico lo stesso...
Concordo di non avere fatto nulla consapevolmente per il forwarding ma nn sono in grado di sapere se qualche programma installato ne apre una a mia insaputa per fungere (es. uso Tixati per i torrent anche...).
In ogni caso vi ringrazio e vi chiedo solo di rispondermi in concreto:
devo riportare tutto come prima e tenere ufw attivo?
Voglio dire: un PC ha modificato il file tcp_sack col valore "0" e ufw abilitato: devo annullare tutto e riportare a "1" tale valore?
Grazie infinite.
Avatar utente
miticothor
Prode Principiante
Messaggi: 118
Iscrizione: mercoledì 29 luglio 2009, 8:15

Re: Vulnerabilità tcp_sack

Messaggio da miticothor »

"oppure il modem ha qualche servizio aperto sulla rete esterna, tipo interfaccia web del modem stesso"

Aiuto! Scusa ma che significa? Io posso entrare nel ruoter tramite browser con password modificata rispetto a quella di default: ho modificato i DNS con gli OpenDNS: alludi a questo quando parli di modem con interfaccia web?
Ho combinato casini cambiando i DNS?
Aiutoooo!
Ciao.
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Vulnerabilità tcp_sack

Messaggio da Filoteo »

Transmission funziona perché anche se tu non hai aperto la porta puoi comunque scaricare da altri peer che invece la hanno aperta.
Tranquillo non c'è nessun problema nel cambiare i DNS, quello che volevo dire è che il tuo modem presenta una interfaccia web per effettuare le configurazioni, ok? Tale vulnerabilità sarebbe potenzialmente sfruttabile se l'interfaccia web fosse visibile anche a chi non è connesso alla tua rete, cioè via internet. Di default non lo è praticamente mai e comunque se usi il modem dell'operatore è probabile che neanche ci sia tale opzione. In tal caso nessuno può inviare pacchetti SACK.
Io rimetterei tcp_sack a 1 e non me ne preoccuperei più.
Avatar utente
miticothor
Prode Principiante
Messaggi: 118
Iscrizione: mercoledì 29 luglio 2009, 8:15

Re: Vulnerabilità tcp_sack

Messaggio da miticothor »

Vi prego non accusatemi di intasare il forum (mi è successo tante volte...ma non l'ho mai fatto apposta).
Voi siete stati chiarissimi ma sono io che sto attraversando un periodaccio e sono molto ansioso.
Allora non prendetela come una polemica ma come un domanda da insicuro laddove l'insicurezza è dettata dalal mia voglia di capire ...l' "incapibile".

Riformulerò la domanda in altro modo: perché un buon insegnante "sa adattare" il linguaggio aulico al livello del suo alunno se vuole che lui capisca.

Dunque, in soldoni ho due domande:
1. ufw é:
a. necessario
b. inutile

2. editare il file tcp_sack in modo da cambiare il valore da "1" a "0" è:
a. utile comunque
b. inutile
c. dannoso

A prescindere da patch, aggiornamenti, pc desktop o server....
Grazie.
Avatar utente
Filoteo
Entusiasta Emergente
Entusiasta Emergente
Messaggi: 1318
Iscrizione: venerdì 28 agosto 2015, 9:38
Desktop: Gnome
Distribuzione: Arch Linux

Re: Vulnerabilità tcp_sack

Messaggio da Filoteo »

Ufw in un computer domestico è utile in un'ottica di "difesa a strati", nella quale aggiungi un ulteriore firewall al tuo computer nel caso quello del modem non si riveli in efficace, tuttavia anche se il firewall del modem non si rivelasse efficace, ciò sarebbe rilevante solo se il tuo computer operasse quanto meno da server (per esempio se fosse adibito alla condivisione di file). In tal caso vorresti un firewall sul computer per monitorare e regolare le connessioni. Visto che ora ce l'hai installato, puoi anche tenerlo, tanto male non fa né consuma risorse ma aggiunge poca sicurezza per i motivi spiegati sopra.

tcp_sack è inutile se tieni il sistema aggiornato come suggerito da @stealth.
Avatar utente
miticothor
Prode Principiante
Messaggi: 118
Iscrizione: mercoledì 29 luglio 2009, 8:15

Re: Vulnerabilità tcp_sack

Messaggio da miticothor »

Grazie di cuore. Appena ho tempo rimetto tutto come di default. Vi ringrazio veramente tantissimo.
e mi scuso sempre per la logorrea.
Per favore: potreste mettere risolto? Sono molto stanco e giù di tono.
Grazie.
Con stima.
Thor non più mitico.
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 9 ospiti