취약한 암호화 및 오래된 프로토콜 탐지

tag-icon tag-icon networking ssl network-monitoring tls
취약한 암호화 및 오래된 프로토콜 탐지

저는 취약한 암호화나 오래된 프로토콜을 사용하는 애플리케이션을 중앙에서 탐지하는 데 도움이 되는 소프트웨어를 찾고 있습니다. 모호하게 들렸다면 죄송합니다. 어쩌면 예가 도움이 될 것입니다.

https를 통해 일부 웹사이트에 연결하는 브라우저를 살펴보겠습니다. 그러나 어떤 이유로 인해 협상된 암호는 약합니다. 일부 임계값보다 낮습니다. 일부 56비트 암호를 가정해 보겠습니다. 또는 프로토콜이 SSL 2.0이거나 TLS 1.0 "이하"입니다. 네트워크 트래픽을 모니터링할 수 있는 소프트웨어가 있습니까?서버나 라우터에서그런 일이 발생하면 경고를 표시하거나 다른 조치를 취합니까? 완벽할 필요는 없으며 경험적일 수 있습니다. 모든 정보가 도움이 됩니다.

기술적으로 중간자 공격을 수행하는 모든 클라이언트에 소프트웨어를 설치하고 싶지 않습니다.

편집: 하나의 특정 서버를 조사하는 도구가 아니라 서버/라우터에서 실행되고 "아직 다른 클라이언트"가 인터넷의 "일부 서버"에 안전하지 않은 연결을 설정할 때 일종의 경고를 발생시키는 도구를 찾고 있습니다. 그리고 네, 그럴 가능성은 거의 없다는 걸 압니다. 하지만 희망은 가장 마지막에 죽는 것입니다.

답변1

서버와 클라이언트 간의 SSL 핸드셰이크가 완료된 후에는 트래픽을 스누핑할 수 없다고 생각합니다. 약한 암호를 제공하는지 확인하려면 서버를 스캔해야 할 수도 있습니다. 어쩌면 "sslscan"일까요?

http://sourceforge.net/projects/sslscan/

https://www.titania-security.com/labs/sslscan

이를 위해 사용할 수 있는 Ubuntu 패키지가 있다는 것을 알고 있습니다.

그러면 서버에서 제공하는 암호화 제품군이 표시됩니다.

SSLscan으로 GMail을 스캔하면 다음과 같은 결과가 나타납니다.

$ sslscan --no-failed mail.google.com:443
                   _
           ___ ___| |___  ___ __ _ _ __
          / __/ __| / __|/ __/ _` | '_ \
          \__ \__ \ \__ \ (_| (_| | | | |
          |___/___/_|___/\___\__,_|_| |_|

                  Version 1.8.2
             http://www.titania.co.uk
        Copyright Ian Ventura-Whiting 2009

Testing SSL server mail.google.com on port 443

  Supported Server Cipher(s):
    Accepted  SSLv3  256 bits  AES256-SHA
    Accepted  SSLv3  128 bits  AES128-SHA
    Accepted  SSLv3  168 bits  DES-CBC3-SHA
    Accepted  SSLv3  128 bits  RC4-SHA
    Accepted  SSLv3  128 bits  RC4-MD5
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLSv1  168 bits  DES-CBC3-SHA
    Accepted  TLSv1  128 bits  RC4-SHA
    Accepted  TLSv1  128 bits  RC4-MD5

  Prefered Server Cipher(s):
    SSLv3  128 bits  RC4-SHA
    TLSv1  128 bits  RC4-SHA

  SSL Certificate:
    Version: 2
    Serial Number: 4294967295
    Signature Algorithm: sha1WithRSAEncryption
    Issuer: /C=ZA/O=Thawte Consulting (Pty) Ltd./CN=Thawte SGC CA
    Not valid before: Oct 26 00:00:00 2011 GMT
    Not valid after: Sep 30 23:59:59 2013 GMT
    Subject: /C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
    Public Key Algorithm: rsaEncryption
    RSA Public Key: (1024 bit)
      Modulus (1024 bit):
          00:af:39:15:98:68:e4:92:fe:4f:4f:f1:bb:ff:0d:
          2e:b0:fe:25:aa:bd:68:04:67:27:ea:6c:43:4c:a7:
          6d:cb:c8:8f:7e:81:ee:87:26:25:10:12:54:33:9e:
          aa:3d:9b:8f:8e:92:b3:4b:01:e3:f9:4a:29:c3:0f:
          fd:ac:b7:d3:4c:97:29:3f:69:55:cf:70:83:04:af:
          2e:04:6e:74:d6:0f:17:09:fe:9e:20:24:24:e3:c7:
          68:9c:ac:11:bd:92:e4:b2:1b:09:f2:02:32:bb:55:
          1b:2d:16:5f:30:12:23:e2:4c:4a:8d:c2:da:3f:e1:
          b8:bf:f7:3a:b1:86:be:f0:c5
      Exponent: 65537 (0x10001)
    X509v3 Extensions:
      X509v3 Basic Constraints: critical
        CA:FALSE
      X509v3 CRL Distribution Points: 
        URI:http://crl.thawte.com/ThawteSGCCA.crl

      X509v3 Extended Key Usage: 
        TLS Web Server Authentication, TLS Web Client Authentication, Netscape Server Gated Crypto
      Authority Information Access: 
        OCSP - URI:http://ocsp.thawte.com
        CA Issuers - URI:http://www.thawte.com/repository/Thawte_SGC_CA.crt

  Verify Certificate:
    unable to get local issuer certificate

편집하다:

아, 이 페이지를 보세요:http://prefetch.net/articles/debuggingssl.html

따라서 해당 도구를 사용하여 핸드셰이크와 합의된 암호가 무엇인지 확인할 수 있습니다.

답변2

당신은 사용할 수 있습니다SSL 열거형 암호스크립트의nmap암호 적절성을 추정합니다.

예:

$ nmap --script ssl-enum-ciphers.nse mail.google.com

Starting Nmap 5.61TEST2 ( http://nmap.org ) at 2011-11-22 14:09 CET
Nmap scan report for mail.google.com (173.194.34.245)
Host is up (0.0050s latency).
Other addresses for mail.google.com (not scanned): 173.194.34.246 173.194.34.247
rDNS record for 173.194.34.245: mad01s09-in-f21.1e100.net
Not shown: 998 filtered ports
PORT    STATE SERVICE
80/tcp  open  http
443/tcp open  https
| ssl-enum-ciphers:
|   SSLv3
|     Ciphers (9)
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_RC4_128_MD5 - unknown strength
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     Compressors (1)
|       NULL
|   TLSv1.0
|     Ciphers (9)
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_RC4_128_MD5 - unknown strength
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     Compressors (1)
|       NULL
|_  Least strength = unknown strength

Nmap done: 1 IP address (1 host up) scanned in 16.38 seconds

관련 정보