Du skal ofte fejlrette SSL/TLS-relaterede problemer, mens du arbejder som webingeniør, webmaster eller systemadministrator.
Der er masser af online værktøjer til SSL-certifikat, test af SSL/TLS-sårbarheder, men når det kommer til at teste intranetbaseret URL, VIP, IP, så vil de ikke være nyttige.
For at fejlfinde intranetressourcer skal du bruge en selvstændig software/værktøjer, som du kan installere i dit netværk og udføre en nødvendig test.
Der kan være forskellige scenarier, såsom:
- Har problemer under implementering af SSL-certifikat med webserver
- Vil du sikre nyeste/særlige chiffer, bliver protokol brugt
- Efter implementering, ønsker at verificere konfigurationen
- Sikkerhedsrisiko fundet i et penetrationstestresultat
Følgende værktøjer vil være praktiske til at fejlfinde sådanne problemer.
Indholdsfortegnelse
DeepViolet
DeepViolet er et java-baseret SSL/TLS-scanningsværktøj tilgængeligt i binært format, eller du kan kompilere med kildekode.
Hvis du leder efter et alternativ af SSL Labs, der skal bruges på et internt netværk, så ville DeepViolet være et godt valg. Den scanner for følgende.
- Svagt ciffer blotlagt
- Svag signeringsalgoritme
- Status for tilbagekaldelse af certificering
- Certifikatets udløbsstatus
- Visualiser tillidskæden, en selvsigneret rod
SSL diagnose
Evaluer hurtigt SSL-styrken på dit websted. SSL diagnose ekstrahere SSL-protokol, cipher suites, heartbleed, BEAST.
Ikke kun HTTPS, men du kan teste SSL-styrke for SMTP, SIP, POP3 og FTPS.
SSLyze
SSLyze er et Python-bibliotek og et kommandolinjeværktøj, som forbinder til SSL-slutpunkt og udfører en scanning for at identificere enhver SSL/TLS-fejlkonfiguration.
Scan gennem SSLyze er hurtig, da en test distribueres gennem flere processer. Hvis du er udvikler eller vil du gerne integrere med din eksisterende applikation, så har du mulighed for at skrive resultatet i XML- eller JSON-format.
SSLyze er også tilgængelig i Kali Linux. Hvis du er ny til Kali, så tjek hvordan du installerer Kali Linux på VMWare Fusion.
OpenSSL
Undervurder ikke OpenSSL, et af de kraftfulde selvstændige værktøjer til rådighed for Windows eller Linux til at udføre forskellige SSL-relaterede opgaver som verifikation, CSR-generering, certificeringskonvertering osv.
SSL Labs-scanning
Elsker du Qualys SSL Labs? Du er ikke alene; Jeg elsker det også.
Hvis du leder efter et kommandolinjeværktøj til SSL Labs til automatiseret eller bulktest, så SSL Labs-scanning ville være nyttigt.
SSL-scanning
SSL-scanning er kompatibel med Windows, Linux og MAC. SSL-scanning hjælper hurtigt med at identificere følgende metrics.
- Fremhæv SSLv2/SSLv3/CBC/3DES/RC4/-cifre
- Rapporter svage (<40bit), null/anonyme cifre
- Bekræft TLS-komprimering, hjerteblødningssårbarhed
- og meget mere…
Hvis du arbejder med krypteringsrelaterede problemer, så ville en SSL-scanning være et nyttigt værktøj til at fremskynde fejlfindingen.
toadmin.dk TLS Scanner API
En anden smart løsning for webmastere kan være toadmin.dk TLS Scanner API.
Dette er en robust metode til at kontrollere TLS-protokollen, CN, SAN og andre certifikatdetaljer på et splitsekund. Og du kan prøve dette risikofrit med et gratis abonnement på op til 3000 anmodninger om måneden.
Grundpræmiumniveauet tilføjer dog en større anmodningsrate og 10K API-kald for kun $5 om måneden.
TestSSL
Som navnet indikerer, TestSSL er et kommandolinjeværktøj, der er kompatibelt med Linux eller OS. Den tester alle de væsentlige målinger og giver status, uanset om den er god eller dårlig.
Eks:
Testing protocols via sockets except SPDY+HTTP2 SSLv2 not offered (OK) SSLv3 not offered (OK) TLS 1 offered TLS 1.1 offered TLS 1.2 offered (OK) SPDY/NPN h2, spdy/3.1, http/1.1 (advertised) HTTP2/ALPN h2, spdy/3.1, http/1.1 (offered) Testing ~standard cipher categories NULL ciphers (no encryption) not offered (OK) Anonymous NULL Ciphers (no authentication) not offered (OK) Export ciphers (w/o ADH+NULL) not offered (OK) LOW: 64 Bit + DES encryption (w/o export) not offered (OK) Weak 128 Bit ciphers (SEED, IDEA, RC[2,4]) not offered (OK) Triple DES Ciphers (Medium) not offered (OK) High encryption (AES+Camellia, no AEAD) offered (OK) Strong encryption (AEAD ciphers) offered (OK) Testing server preferences Has server cipher order? yes (OK) Negotiated protocol TLSv1.2 Negotiated cipher ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256 bit ECDH (P-256) Cipher order TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-OLD ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384 AES256-SHA AES256-SHA256 Testing vulnerabilities Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension CCS (CVE-2014-0224) not vulnerable (OK) Ticketbleed (CVE-2016-9244), experiment. not vulnerable (OK) Secure Renegotiation (CVE-2009-3555) not vulnerable (OK) Secure Client-Initiated Renegotiation not vulnerable (OK) CRIME, TLS (CVE-2012-4929) not vulnerable (OK) BREACH (CVE-2013-3587) potentially NOT ok, uses gzip HTTP compression. - only supplied "/" tested Can be ignored for static pages or if no secrets in the page POODLE, SSL (CVE-2014-3566) not vulnerable (OK) TLS_FALLBACK_SCSV (RFC 7507) Downgrade attack prevention supported (OK) SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK) FREAK (CVE-2015-0204) not vulnerable (OK) DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK) make sure you don't use this certificate elsewhere with SSLv2 enabled services https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 could help you to find out LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA VULNERABLE -- but also supports higher protocols (possible mitigation): TLSv1.1 TLSv1.2 LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Som du kan se, dækker det en lang række sårbarheder, krypteringspræferencer, protokoller osv. TestSSL.sh er også tilgængelig i en docker billede.
Hvis du har brug for at lave en fjernscanning ved hjælp af testssl.sh, kan du prøve toadmin.dk TLS Scanner.
TLS-scanning
Du kan enten bygge TLS-Scan fra kilde eller download binær til Linux/OSX. Den udtrækker certifikatoplysninger fra serveren og udskriver følgende metrics i JSON-format.
- Kontrol af værtsnavnsbekræftelse
- TLS kompressionstjek
- Tjek af opregning af krypterings- og TLS-versioner
- Kontrol af genbrug af sessioner
Det understøtter TLS-, SMTP-, STARTTLS- og MySQL-protokoller. Du kan også integrere det resulterende output i en loganalysator som Splunk, ELK.
Cipher Scan
Et hurtigt værktøj til at analysere, hvad HTTPS-webstedet understøtter alle ciphers. Cipher Scan har også en mulighed for at vise output i JSON-format. Det er indpakning og internt ved hjælp af OpenSSL-kommando.
SSL revision
SSL revision er et open source-værktøj til at verificere certifikatet og understøtte protokollen, chiffer og karakter baseret på SSL Labs.
Jeg håber, at ovenstående open source-værktøjer hjælper dig med at integrere den kontinuerlige scanning med din eksisterende loganalysator og lette fejlfindingen.