GNU/Linux >> Linux Esercitazione >  >> Linux

Test delle connessioni SSL con SSLyze, Nmap o OpenSSL

Introduzione:
OpenSSL è un ottimo strumento per controllare le connessioni SSL ai server. La difficoltà qui è quando si desidera una scansione completa di tutti i possibili codici SSL e protocolli utilizzati da un server. È qui che SSLyze torna utile. Questo strumento è uno script Python che eseguirà la scansione dell'host/porta di destinazione per l'handshake SSL e segnalerà cosa funziona/supporta e cosa no. Sfortunatamente questo adorabile strumento non è incluso nelle distribuzioni Ubuntu/Debian, ed è qui che questo post torna utile.

IMPORTANTE: Oltre a eseguire tutti i test di seguito, una cosa molto importante (come indicato in questo collegamento) è aggiornare OpenSSL all'ultima versione come segue:
Gli utenti di OpenSSL 1.0.2 dovrebbero eseguire l'aggiornamento a 1.0.2g
Gli utenti di OpenSSL 1.0.1 devono eseguire l'aggiornamento a 1.0.1s

SSLyze

Installazione delle dipendenze e dello strumento
cd /root/bin
wget https://github.com/nabla-c0d3/sslyze/archive/0.13.4.tar.gz
tar fvxz 0.13.4.tar.gz
apt-get install python-pip python-dev
pip install nassl

Utilizzo di SSLyze
python /root/bin/sslyze-0.13.4/sslyze_cli.py --regular www.itmatrix.eu:443

NMAP

Scansione dell'intero server alla ricerca di punti deboli, comprese le versioni SSL deboli tramite NMAP.
Nota: L'esecuzione di questa operazione può richiedere molto tempo.
apt-get install nmap
nmap -sV -sC www.itmatrix.eu
O meglio (per il controllo di HTTPS,SMTPS,IMAPS,POP3S)
nmap --script ssl-cert,ssl-enum-ciphers -p 443,465,993,995 www.itmatrix.eu

OpenSSL

Verifica della connessione SSL con OpenSSL
echo 'q' | openssl s_client -host www.itmatrix.eu -port 443
Nota: In questo caso sopra, poiché il supporto SSLv2 è normalmente disabilitato per OpenSSL nelle distribuzioni Debian/Ubuntu, non sarai in grado di vedere se il server lo supporta. Per superare questo problema e abilitare il supporto SSLv2 (per il test di Linux), segui le istruzioni in questo sito:
http://www.hackwhackandsmack.com/?p=46

NOTA:
Per ulteriori informazioni sulla protezione contro gli attacchi DROWN(SSLv2) o POODLE(SSLv3), vedere:
https://drownattack.com
http://www.softwaresecured.com/2016/03 /01/come-confermare-se-sei-vulnerabile-all-attacco-di-annegamento/
http://www.mogilowski.net/lang/de-de/2014/10/23 /disabling-sslv3-for-poodle-on-debian/
https://www.owasp.org/index.php/Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_%28OTG-CRYPST-001%29
https://zmap.io/sslv3/


Linux

  1. Enumerazione di una nuova rete con Nmap

  2. Come configurare l'SSL Cloudflare di origine con Nginx

  3. Test dei servizi di rete con Netcat

  4. Come proteggere una connessione SSL con Apache su Ubuntu 18.04

  5. Negare tutte le connessioni in entrata con iptables?

Monitora le connessioni e le query MySQL con mytop

Comandi Nmap con esempi

Autorità di certificazione con OpenSSL

Come configurare Nginx con SSL

Come utilizzare Let's Encrypt con Cloudflare

Test di caricamento del sito Web con Apache JMeter su Ubuntu 20.04