10 ILMAINEN SSL / TLS-vianmääritystyökalu Webmasterille

Sinun täytyy usein debug SSL / TLS liittyviä ongelmia työskennellessään verkkoinsinöörinä, verkkovastaavana tai järjestelmänvalvojana.


Niitä on paljon online-työkalut SSL-varmenteille, SSL / TLS-haavoittuvuuksien testaaminen, mutta kun kyse on intranet-pohjaisten URL-osoitteiden, VIP: n ja IP: n testaamisesta, niistä ei ole apua.

Intranet-resurssien vianmääritykseen tarvitaan erillinen ohjelmisto / työkalut, jotka voit asentaa verkkoosi ja suorittaa tarvittavat testit.

Skenaarioita voi olla erilaisia, kuten:

  • Ongelmia SSL-varmenteen toteuttamisessa verkkopalvelimen kanssa
  • Haluat varmistaa uusimman / tietyn salauksen, protokolla on käytössä
  • Käyttöönoton jälkeen halutaan varmistaa kokoonpano
  • Läpäisytestin tuloksesta löytyvä turvallisuusriski

Seuraavat työkalut ovat hyödyllisiä tällaisten ongelmien vianmäärityksessä.

DeepViolet

DeepViolet on Java-pohjainen SSL / TLS-skannaustyökalu, joka on saatavana binaarina, tai voit kääntää lähdekoodilla.

Jos etsit vaihtoehtoa SSL Labsista käytettäväksi sisäisessä verkossa, DeepViolet olisi hyvä valinta. Se etsii seuraavaa.

  • Heikko salaus paljastettu
  • Heikko allekirjoitusalgoritmi
  • Varmenteen peruuttamistila
  • Varmenteen voimassaoloaika
  • Kuvittele luottamusketju, itse allekirjoitettu juuri

SSL-diagnoosit

Arvioi nopeasti verkkosivustosi SSL-vahvuus. SSL-diagnoosit poimi SSL-protokolla, salausohjelmat, sydämenpoisto, BEAST.

Ei vain HTTPS, mutta voit myös testata SSL-vahvuuden SMTP, SIP, POP3 ja FTPS.

SSLyze

SSLyze on Python-kirjasto ja komentorivityökalu, joka muodostaa yhteyden SSL-päätepisteeseen ja suorittaa skannauksen tunnistaaksesi kaikki SSL / TLS: n miss-kokoonpanot.

Skannaus SSLyzen kautta on nopeaa, koska testi levitetään useiden prosessien kautta. Jos olet kehittäjä tai haluat integroida nykyiseen sovellukseesi, sinulla on mahdollisuus kirjoittaa tulos XML- tai JSON-muodossa.

SSLyze on saatavana myös Kali Linuxissa.

OpenSSL

Älä aliarvioi OpenSSL: ää, joka on yksi tehokkaimmista itsenäisistä työkaluista, jotka ovat saatavana Windowsille tai Linuxille suorittamaan erilaisia ​​SSL: ään liittyviä tehtäviä, kuten varmennus, CSR-luonti, varmennusmuunnos jne..

SSL Labs Scan

Rakastatko Qualys SSL Labsia? Et ole yksin; rakastan sitä myös.

Jos etsit komentorivityökalua SSL-laboratorioille automatisoitua tai massatestaausta varten, niin SSL Labs Scan olisi hyödyllistä.

SSL-skannaus

SSL-skannaus on yhteensopiva Windowsin, Linuxin ja MAC: n kanssa. SSL-skannaus auttaa nopeasti tunnistamaan seuraavat muuttujat.

  • Korosta SSLv2 / SSLv3 / CBC / 3DES / RC4 / salaus
  • Raportoi heikko (<40 bittinen), tyhjät / nimettömät salat
  • Varmista TLS-pakkaus, sydämen haavoittuvuus
  • ja paljon enemmän…

Jos työskentelet salaukseen liittyvissä asioissa, SSL-tarkistus olisi hyödyllinen työkalu vianmäärityksen nopeuttamiseen.

TestSSL

Kuten nimi osoittaa, TestSSL on komentorivityökalu, joka on yhteensopiva Linuxin tai käyttöjärjestelmän kanssa. Se testaa kaikki olennaiset mitat ja antaa tilan, olipa se hyvä tai huono.

Esim:

Protokollien testaus pistorasioiden kautta paitsi SPDY + HTTP2

SSLv2: ta ei tarjota (OK)
SSLv3: ta ei tarjota (OK)
TLS 1 tarjottu
TLS 1.1 tarjotaan
TLS 1.2 tarjottu (OK)
SPDY / NPN h2, spdy / 3.1, http / 1.1 (mainostettu)
HTTP2 / ALPN h2, spdy / 3.1, http / 1.1 (tarjottu)

Testataan ~ vakio salauskategoriat

NULL-salauksia (ei salausta) ei tarjota (OK)
Anonyymejä NULL-salauslaitteita (ei todennusta) ei tarjota (OK)
Vie salakirjoituksia (ilman ADH + NULL) ei tarjota (OK)
LOW: 64-bittistä + DES-salausta (ilman vientiä) ei tarjota (OK)
Heikkoja 128 bittisiä salauksia (SEED, IDEA, RC [2,4]) ei tarjota (OK)
Kolminkertaisia ​​DES-salareita (keskikokoisia) ei tarjota (OK)
Korkea salaus (AES + Camellia, ei AEAD) tarjottu (OK)
Tarjottu vahva salaus (AEAD-salaus) (OK)

Testaa palvelinasetuksia

Onko palvelimen salausjärjestys? kyllä ​​Okei)
Neuvoteltu protokolla TLSv1.2
Neuvoteltu salaus ECDHE-ECDSA-CHACHA20-POLY1305-VANHA, 256-bittinen ECDH (P-256)
Salausjärjestys
TLSv1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA
TLSv1.1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA AES256-SHA
TLSv1.2: ECDHE-ECDSA-CHACHA20-POLY1305-VANHA ECDHE-ECDSA-CHACHA20-POLY1305 ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES128-SHA ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA ECDHE-ECDSA-AES256-SHA384 ECDHE-RSA-CHACHA20-POLY1305-VANHA
ECDHE-RSA-CHACHA20-POLY1305 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES128-SHA256 AES128-GCM-SHA256 AES128-SHA AES128-SHA256
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA384 AES256-GCM-SHA384
AES256-SHA AES256-SHA256

Haavoittuvuuksien testaaminen

Sydänsydän (CVE-2014-0160) ei ole haavoittuvainen (OK), ei sykepidennystä
CCS (CVE-2014-0224) ei ole haavoittuvainen (OK)
Lipunmyynti (CVE-2016-9244), kokeilu. ei haavoittuvainen (OK)
Suojattu uudelleenneuvottelu (CVE-2009-3555) ei ole haavoittuvainen (OK)
Suojattu asiakkaan aloittama uudelleenneuvottelu ei ole haavoittuvainen (OK)
RIKOS, TLS (CVE-2012-4929) ei ole haavoittuvainen (OK)
BREACH (CVE-2013-3587) EI mahdollisesti ole ok, käyttää gzip HTTP-pakkausta. – vain toimitettu "/" testattu
Voidaan jättää huomioimatta staattisilla sivuilla tai jos sivulla ei ole salaisuuksia
POODLE, SSL (CVE-2014-3566) ei ole haavoittuvainen (OK)
TLS_FALLBACK_SCSV (RFC 7507) Alennushyökkäysten estämistä tuetaan (OK)
SWEET32 (CVE-2016-2183, CVE-2016-6329) ei ole haavoittuvainen (OK)
FREAK (CVE-2015-0204) ei ole haavoittuvainen (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) ei ole haavoittuvainen tässä isännässä ja portissa (OK)
Varmista, että et käytä tätä varmennetta muualla SSLv2-yhteensopivien palveluiden kanssa
https://censys.io/ipv4?q=EDF8A1A3D0FFCBE0D6EA4C44DB5F4BE1A7C2314D1458ADC925A30AA6235B9820 voisi auttaa sinua selvittämään
LOGJAM (CVE-2015-4000), kokeellinen ei ole haavoittuvainen (OK): ei DH EXPORT -salauksia, ei DH-avainta havaittu
BEAST (CVE-2011-3389) TLS1: ECDHE-RSA-AES128-SHA AES128-SHA ECDHE-RSA-AES256-SHA
AES256-SHA DES-CBC3-SHA
Haavoittuva – mutta tukee myös korkeampia protokollia (mahdollista lieventämistä): TLSv1.1 TLSv1.2
LUCKY13 (CVE-2013-0169) VULNERABLE, käyttää salauslohkoketjuja (CBC)
RC4 (CVE-2013-2566, CVE-2015-2808), RC4-salauksia ei havaittu (OK)

Kuten huomaat, se kattaa suuren määrän haavoittuvuuksia, salausasetuksia, protokollia jne. TestSSL.sh on saatavana myös telakkakuva.

Voit joutua kokeilemaan etäskannausta testssl.sh: n avulla Geekflare TLS-skanneri.

TLS-skannaus

Voit joko rakentaa TLS-Scan lähteestä tai lataa binaari Linux / OSX: lle. Se purkaa varmennetiedot palvelimelta ja tulostaa seuraavat tiedot JSON-muodossa.

  • Isäntänimen tarkistaminen
  • TLS-pakkaustarkistukset
  • Salaus- ja TLS-versioiden luettelointitarkastukset
  • Istunnon uudelleenkäytön tarkistukset

Se tukee TLS-, SMTP-, STARTTLS- ja MySQL-protokollia. Saatat myös integroida tuloksena olevan lokitietoanalysaattorin, kuten Splunk, ELK.

Cipher Scan

Nopea työkalu analysoidaksesi sitä, mitä HTTPS-verkkosivusto tukee kaikkia salauksia. Cipher Scan on myös mahdollisuus näyttää tulosteet JSON-muodossa. Se on kääre ja käyttää sisäisesti OpenSSL-komentoa.

SSL-tarkastus

SSL-tarkastus on avoimen lähdekoodin työkalu varmenteen varmentamiseksi ja protokollan, salausten ja luokan tukemiseksi SSL Labs: n perusteella.

Toivon, että yllä olevat avoimen lähdekoodin työkalut auttavat sinua integroimaan jatkuvan skannauksen olemassa olevaan lokianalysaattoriin ja helpottamaan vianetsintää.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector