10 bezplatných nástrojov na riešenie problémov s SSL / TLS pre správcov webu

Často to musíte urobiť ladiť problémy súvisiace s SSL / TLS pri práci ako webový inžinier, správca webu alebo správca systému.


Existuje veľa online nástroje v prípade certifikátov SSL: Testovanie zraniteľností SSL / TLS, ale pokiaľ ide o testovanie intranetovej adresy URL, VIP, IP, nepomôžu im..

Na riešenie problémov s intranetovými zdrojmi potrebujete samostatný softvér / nástroje, ktoré môžete nainštalovať do svojej siete a vykonať potrebný test..

Môžu existovať rôzne scenáre, napríklad:

  • Problémy s implementáciou certifikátu SSL s webovým serverom
  • Chcete zabezpečiť, aby sa používala najnovšia / konkrétna šifra, protokol
  • Po implementácii si prajete overiť konfiguráciu
  • Bezpečnostné riziko nájdené vo výsledku penetračného testu

Nasledujúce nástroje budú užitočné pri riešení týchto problémov.

DeepViolet

DeepViolet je nástroj na skenovanie SSL / TLS založený na jave, ktorý je k dispozícii v binárnom formáte, alebo môžete kompilovať so zdrojovým kódom.

Ak hľadáte alternatívu SSL Labs na použitie vo vnútornej sieti, DeepViolet by bol dobrý výber. Vyhľadáva nasledujúce položky.

  • Slabá šifra odhalená
  • Slabý podpisovací algoritmus
  • Stav zrušenia certifikátu
  • Stav skončenia platnosti certifikátu
  • Predstavte si reťaz dôveryhodnosti, root s vlastným podpisom

SSL Diagnos

Rýchlo vyhodnoťte silu SSL svojich webových stránok. SSL Diagnos extrahovať protokol SSL, šifrovacie súpravy, rozladené, BEAST.

Nielen HTTPS, ale môžete vyskúšať aj silu SSL pre SMTP, SIP, POP3 a FTPS.

SSLyze

SSLyze je nástroj Python knižnice a príkazového riadku, ktorý sa pripája k koncovému bodu SSL a vykonáva skenovanie na identifikáciu akejkoľvek chybnej konfigurácie SSL / TLS.

Skenovanie cez SSLyze je rýchle, pretože test je distribuovaný prostredníctvom viacerých procesov. Ak ste vývojár alebo by ste sa chceli integrovať s existujúcou aplikáciou, máte možnosť napísať výsledok vo formáte XML alebo JSON..

SSLyze je k dispozícii aj v systéme Kali Linux.

OpenSSL

Nepodceňujte OpenSSL, jeden z výkonných samostatných nástrojov dostupných pre Windows alebo Linux na vykonávanie rôznych úloh súvisiacich s SSL, ako je overovanie, generovanie CSR, konverzia certifikácie atď..

Skenovanie laboratórií SSL

Máte radi laboratóriá SSL Qualys? Nie si sám; tiež to mám rád.

Ak hľadáte nástroj príkazového riadka pre laboratóriá SSL na automatizované alebo hromadné testovanie, potom Skenovanie laboratórií SSL by bolo užitočné.

Skenovanie SSL

Skenovanie SSL je kompatibilný s Windows, Linux a MAC. Protokol SSL rýchlo pomáha pri identifikácii nasledujúcich metrík.

  • Zvýraznite SSLv2 / SSLv3 / CBC / 3DES / RC4 / šifry
  • Nahlásiť slabé (<40 bitov), ​​nulové / anonymné šifry
  • Overte kompresiu TLS, zraniteľnú chybu
  • a oveľa viac…

Ak pracujete na problémoch súvisiacich s šifrou, potom by skenovanie SSL bolo užitočným nástrojom na rýchle vyhľadanie problému.

TestSSL

Ako už názov napovedá, TestSSL je nástroj príkazového riadku kompatibilný s operačným systémom Linux alebo OS. Testuje všetky základné metriky a dáva stav, či už dobrý alebo zlý.

ex:

Testovanie protokolov pomocou soketov leč SPDY + HTTP2

SSLv2 nie je ponúkaný (OK)
SSLv3 nie je ponúkaný (OK)
Ponuka TLS 1
Ponuka TLS 1.1
Ponuka TLS 1.2 (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (inzerované)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (ponúkané)

Testovanie ~ štandardných kategórií šifry

NULL šifry (bez šifrovania) sa neponúkajú (OK)
Anonymné NULL šifry (bez autentifikácie) sa neponúkajú (OK)
Export šifrov (bez ADH + NULL) sa neponúka (OK)
NÍZKA: 64 bitové + DES šifrovanie (bez exportu) nie je ponúkané (OK)
Slabé 128 bitové šifry (SEED, IDEA, RC [2,4]) nie sú ponúkané (OK)
Šifry DES Triple (Medium) nie sú ponúkané (OK)
Je ponúkané vysoké šifrovanie (AES + Camellia, bez AEAD) (OK)
Je ponúkané silné šifrovanie (šifry AEAD) (OK)

Testovanie preferencií servera

Objednávka šifry servera? Áno OK)
Vyjednávaný protokol TLSv1.2
Vyjednaná šifra ECDHE-ECDSA-CHACHA20-POLY1305-OLD, 256-bitová ECDH (P-256)
Objednávka šifry
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-STARÉ ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-OLD
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Testovanie zraniteľností

Heartbleed (CVE-2014-0160) nie je zraniteľné (OK), žiadne predĺženie srdcového rytmu
CCS (CVE-2014-0224) nie je zraniteľné (OK)
Ticketbleed (CVE-2016-9244), experiment. nie zraniteľné (OK)
Bezpečné opätovné vyjednávanie (CVE-2009-3555) nie je zraniteľné (OK)
Bezpečné opätovné vyjednávanie iniciované klientom nie je zraniteľné (OK)
CRIME, TLS (CVE-2012-4929) nie je zraniteľné (OK)
BREACH (CVE-2013-3587) je potenciálne v poriadku, používa kompresiu gzip HTTP. – iba dodávané "/" testovaný
Môže sa ignorovať pre statické stránky alebo ak na stránke nie sú žiadne tajomstvá
POODLE, SSL (CVE-2014-3566) nie je zraniteľné (OK)
TLS_FALLBACK_SCSV (RFC 7507) Podporovaná prevencia pred downgrade útokom (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) nie je zraniteľný (OK)
FREAK (CVE-2015-0204) nie je zraniteľné (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) nie sú na tomto hostiteľovi a porte zraniteľní (OK)
uistite sa, že tento certifikát nepoužívate inde so službami s povoleným protokolom SSLv2
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 vám môže pomôcť zistiť
LOGJAM (CVE-2015-4000), experimentálne nie zraniteľné (OK): neboli zistené šifry DH EXPORT, nebol zistený žiadny kľúč DH
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
VULNERABLE – ale podporuje aj vyššie protokoly (možné zmiernenie): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, používa šifry s kódovaním blokových reťazcov (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808) nezistili sa žiadne šifry RC4 (OK)

Ako vidíte, pokrýva veľké množstvo zraniteľností, preferencií šifrovania, protokolov atď. TestSSL.sh je k dispozícii aj v obrázok v doku.

Ak potrebujete vykonať vzdialenú kontrolu pomocou testssl.sh, môžete to skúsiť Skener TLS Geekflare.

Skenovanie TLS

Môžete buď stavať TLS-Scan zo zdrojového alebo stiahnutého binárneho súboru pre Linux / OSX. Extrahuje informácie o certifikáte zo servera a tlačí nasledujúce metriky vo formáte JSON.

  • Kontroly overenia názvu hostiteľa
  • Kontroly kompresie TLS
  • Kontroly výčtu šifrovacích a TLS verzií
  • Kontroly opätovného použitia relácie

Podporuje protokoly TLS, SMTP, STARTTLS a MySQL. Výsledný výstup môžete integrovať aj do analyzátora protokolov, ako je napríklad Splunk, ELK.

Šifrovacie skenovanie

Rýchly nástroj na analýzu toho, čo web HTTPS podporuje všetky šifry. Šifrovacie skenovanie má tiež možnosť zobraziť výstup vo formáte JSON. Je to obal a interne sa používa príkaz OpenSSL.

Audit SSL

Audit SSL je nástroj s otvoreným zdrojom, ktorý overuje certifikát a podporuje protokol, šifry a známky založené na SSL Labs.

Dúfam, že vyššie uvedené nástroje s otvoreným zdrojom vám pomôžu integrovať nepretržité skenovanie s vaším existujúcim analyzátorom protokolov a uľahčia riešenie problémov.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map