LINUX.ORG.RU
решено ФорумAdmin

Как узнать, какие cipher поддерживает удалённый сервер?

 ,


0

2

Доброго времени суток.

Сабж. Ну или хотя бы локальный, но не взять из конфига, а именно определить по ответу.

★★★★★

Последнее исправление: router (всего исправлений: 1)
VINO log file
jabber проблемы с соединений
Ответ на: комментарий от blind_oracle

О любом сервисе, защищающем соединения через ssl / tls. В основном https, но интересуют pop3s, ftps и т.п.

Например у меня есть apache, а прошеший аудит выдрал за небезопасные циферы. Покурив маны я их запретил, но мне нужно в этом убедиться. Т.е. не надеяться на то что правильно указал параметры, а попробовать подключиться и убедиться, что уязвимые циферы не используются.

В идеале хотелось бы получить список используемых cipher'ов, чтобы прикрутить скрипт к системе мониторинга.

router ★★★★★
() автор топика
Ответ на: комментарий от router

Все я думаю никак не вытащить. Можно просто последовательно предлагать удалённому серверу шифрануть канал определенным алгоритмом.

Т.е. составить список алгоритмов, считающихся дырявыми и в скрипте пытаться уломать сервер их юзать: 

openssl s_client -host server -port 443 -cipher 3DES

blind_oracle ★★★★★
()
Ответ на: комментарий от anonymous

Спасибо, то что нужно. Nessus/OpenVAS для меня перебор, остановлюсь на проверку через openssl s_client

router ★★★★★
() автор топика
Ответ на: комментарий от bass

Интересно. Будет время - проверю, спасибо

router ★★★★★
() автор топика
Ответ на: комментарий от blind_oracle

Все я думаю никак не вытащить

Ошибаешься, количество массово поддерживаемых алгоритмов у публичных серверов и клиентов конечно и известно. Для случаев локальных конверсий алгоритмов хватает простого запроса с -serverpref, что ему на самом деле нужно.

Т.е. составить список алгоритмов, считающихся дырявыми и в скрипте пытаться

Выше ссылка на утилиту, где уже всё это сделали.

bass ★★★★★
()

Пока использую скрипт для NSE ( nmap scripting engine ): http://nmap.org/nsedoc/scripts/ssl-enum-ciphers.html

Но требуется самый новый nmap ( >= 5.59beta1 ). Т.е. новее, чем последний официальный stable. Я поставил 5.61test в отдельный каталог

Собираю: 

sudo apt-get build-dep nmap
mkdir /dev/shm/nmap && cd /dev/shm/nmap
tar -xjf ~/Загрузки/nmap-*
./configure --prefix=/home/router/local/nmap
make
make install

Экспортирую переменные окружения: 

export LD_LIBRARY_PATH=/home/router/local/nmap/lib/
export PATH=/home/router/local/nmap/bin:$PATH

Проверяю на тестовом домашнем nginx: 

$ wget http://nmap.org/svn/scripts/ssl-enum-ciphers.nse
router@amalthea:Загрузки$ nmap --script ssl-enum-ciphers.nse -p 443 192.168.3.4

Starting Nmap 5.61TEST5 ( http://nmap.org ) at 2012-05-16 18:08 MSK
Nmap scan report for manjak.madrouter.dc (192.168.3.4)
Host is up (0.0012s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   SSLv3
|     Ciphers (6)
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - unknown strength
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
|     Compressors (1)
|       NULL
|_  Least strength = unknown strength

Nmap done: 1 IP address (1 host up) scanned in 0.85 seconds
Вывода так мало, т.к. запретил всё кромер SSLv3

router ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
VINO log file
Admin
jabber проблемы с соединений