Při práci webového inženýra, webmastera nebo správce systému často potřebujete ladit problémy související s SSL/TLS.
Existuje spousta online nástrojů pro certifikát SSL, testování zranitelností SSL/TLS, ale pokud jde o testování intranetových URL, VIP, IP, nebudou užitečné.
K odstraňování problémů s intranetovými zdroji potřebujete samostatný software/nástroje, které můžete nainstalovat do své sítě a provést nezbytný test.
Mohou existovat různé scénáře, například:
- Problémy při implementaci certifikátu SSL s webovým serverem
- Chcete se ujistit, že se používá nejnovější/konkrétní šifrovací protokol
- Po implementaci si přejete ověřit konfiguraci
- Bezpečnostní riziko zjištěné ve výsledku penetračního testu
Následující nástroje budou užitečné pro řešení takových problémů.
Table of Contents
DeepViolet
DeepViolet je skenovací nástroj SSL/TLS založený na Javě, který je k dispozici v binární podobě, nebo jej můžete zkompilovat se zdrojovým kódem.
Pokud hledáte alternativu SSL Labs pro použití v interní síti, pak by DeepViolet byla dobrá volba. Vyhledává následující.
- Slabá šifra odhalena
- Slabý podpisový algoritmus
- Stav odvolání certifikace
- Stav vypršení platnosti certifikátu
- Vizualizujte řetězec důvěry, kořenový adresář s vlastním podpisem
Diagnostika SSL
Rychle vyhodnoťte sílu SSL vašeho webu. Diagnostika SSL extrahovat protokol SSL, šifrovací sady, heartbleed, BEAST.
Nejen HTTPS, ale můžete otestovat sílu SSL pro SMTP, SIP, POP3 a FTPS.
SSLyze
SSLyze je knihovna Pythonu a nástroj příkazového řádku, který se připojuje ke koncovému bodu SSL a provádí skenování, aby identifikoval jakoukoli chybnou konfiguraci SSL/TLS.
Skenování přes SSLyze je rychlé, protože test je distribuován prostřednictvím více procesů. Pokud jste vývojář nebo byste se chtěli integrovat se svou stávající aplikací, pak máte možnost napsat výsledek ve formátu XML nebo JSON.
SSLyze je k dispozici také v Kali Linuxu. Pokud jste v Kali noví, podívejte se, jak nainstalovat Kali Linux na VMWare Fusion.
OpenSSL
Nepodceňujte OpenSSL, jeden z výkonných samostatných nástrojů dostupných pro Windows nebo Linux k provádění různých úkolů souvisejících s SSL, jako je ověřování, generování CSR, převod certifikací atd.
SSL Labs Scan
Máte rádi Qualys SSL Labs? Nejsi sám; Taky to mám moc rád.
Pokud hledáte nástroj příkazového řádku pro SSL Labs pro automatizované nebo hromadné testování, pak SSL Labs Scan by bylo užitečné.
SSL skenování
SSL skenování je kompatibilní s Windows, Linux a MAC. SSL Scan rychle pomáhá identifikovat následující metriky.
- Zvýrazněte šifry SSLv2/SSLv3/CBC/3DES/RC4/
- Nahlásit slabé (<40bit), null/anonymní šifry
- Ověřte komprese TLS, zranitelnost heartbleed
- a mnohem víc…
Pokud pracujete na problémech souvisejících se šifrou, pak by skenování SSL bylo užitečným nástrojem pro rychlé sledování řešení problémů.
etechblog.cz TLS Scanner API
Dalším šikovným řešením pro webmastery může být etechblog.cz TLS Scanner API.
Toto je robustní metoda pro kontrolu protokolu TLS, CN, SAN a dalších podrobností certifikátu ve zlomku sekundy. A můžete to vyzkoušet bez rizika s bezplatným předplatným až pro 3000 požadavků měsíčně.
Základní prémiová úroveň však přidává vyšší míru požadavků a volání 10K API za pouhých 5 $ měsíčně.
TestSSL
Jak název napovídá, TestSSL je nástroj příkazového řádku kompatibilní s Linuxem nebo OS. Testuje všechny základní metriky a dává stav, ať už dobrý nebo špatný.
Příklad:
Testing protocols via sockets except SPDY+HTTP2 SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 offered TLS 1.1 offered TLS 1.2 offered (OK) SPDY/NPN h2, spdy/3.1, http/1.1 (advertised) HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered) Testing ~standard cipher categories NULL ciphers (no encryption) not offered (OK) Anonymous NULL Ciphers (no authentication) not offered (OK) Export ciphers (w/o ADH+NULL) not offered (OK) LOW: 64 Bit + DES encryption (w/o export) not offered (OK) Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK) Triple DES Ciphers (Medium) not offered (OK) High encryption (AES+Camellia, no AEAD) offered (OK) Strong encryption (AEAD ciphers) offered (OK) Testing server preferences Has server cipher order? yes (OK) Negotiated protocol TLSv1.2 Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256) Cipher order TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA AES256-SHA256 Testing vulnerabilities Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension CCS (CVE-2014-0224) not vulnerable (OK) Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK) Secure Renegotiation (CVE-2009-3555) not vulnerable (OK) Secure Client-Initiated Renegotiation not vulnerable (OK) CRIME, TLS (CVE-2012-4929) not vulnerable (OK) BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested Can be ignored for static pages or if no secrets in the page POODLE, SSL (CVE-2014-3566) not vulnerable (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK) SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK) FREAK (CVE-2015-0204) not vulnerable (OK) DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK) make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2 LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Jak vidíte, pokrývá velké množství zranitelností, předvoleb šifrování, protokolů atd. TestSSL.sh je k dispozici také v obrázek dockeru.
Pokud potřebujete provést vzdálené skenování pomocí testssl.sh, můžete zkusit etechblog.cz TLS Scanner.
TLS skenování
Buď můžete stavět TLS-Scan ze zdroje nebo si stáhněte binární soubor pro Linux/OSX. Extrahuje informace o certifikátu ze serveru a vytiskne následující metriky ve formátu JSON.
- Kontroly ověření názvu hostitele
- Kontrola komprese TLS
- Kontroly výčtu verzí šifry a TLS
- Kontroly opětovného použití relace
Podporuje protokoly TLS, SMTP, STARTTLS a MySQL. Výsledný výstup můžete také integrovat do analyzátoru protokolů, jako je Splunk, ELK.
Skenování šifry
Rychlý nástroj pro analýzu toho, co web HTTPS podporuje všechny šifry. Skenování šifry má také možnost zobrazit výstup ve formátu JSON. Je to obal a interně pomocí příkazu OpenSSL.
Audit SSL
SSL audit je nástroj s otevřeným zdrojovým kódem pro ověření certifikátu a podporu protokolu, šifer a hodnocení na základě SSL Labs.
Doufám, že výše uvedené nástroje s otevřeným zdrojovým kódem vám pomohou integrovat nepřetržité skenování s vaším stávajícím analyzátorem protokolů a usnadní odstraňování problémů.