はじめに:
OpenSSLは、サーバーへのSSL接続を確認するための優れたツールです。ここでの問題は、サーバーで使用される可能性のあるすべてのSSL暗号とプロトコルの完全なスキャンが必要な場合です。そこでSSLyzeが役に立ちます。このツールは、SSLハンドシェイクのターゲットホスト/ポートをスキャンし、機能/サポートするものと機能しないものを報告するPythonスクリプトです。残念ながら、この素敵なツールはUbuntu / Debianディストリビューションに含まれていないため、この投稿が役に立ちます。
重要: 以下のすべてのテストを実行することに加えて、(このリンクに記載されているように)非常に重要なことの1つは、OpenSSLを次のように最新バージョンにアップグレードすることです。
OpenSSL1.0.2ユーザーは1.0.2gにアップグレードする必要があります
OpenSSL1.0.1ユーザーは1.0.1sにアップグレードする必要があります
SSLyze
依存関係とツールのインストール
cd /root/bin
wget https://github.com/nabla-c0d3/sslyze/archive/0.13.4.tar.gz
tar fvxz 0.13.4.tar.gz
apt-get install python-pip python-dev
pip install nassl
SSLyzeの使用
python /root/bin/sslyze-0.13.4/sslyze_cli.py --regular www.itmatrix.eu:443
NMAP
NMAPを使用して弱いSSLバージョンを含む弱点をサーバー全体でスキャンします。
注: この操作の実行には長い時間がかかる場合があります。apt-get install nmap
nmap -sV -sC www.itmatrix.eu
またはより良い (HTTPS、SMTPS、IMAPS、POP3Sをチェックするため)
nmap --script ssl-cert,ssl-enum-ciphers -p 443,465,993,995 www.itmatrix.eu
OpenSSL
OpenSSLを使用したSSL接続の確認echo 'q' | openssl s_client -host www.itmatrix.eu -port 443
注: 上記の場合、Debian / UbuntuディストリビューションのOpenSSLではSSLv2サポートが通常無効になっているため、サーバーがSSLv2をサポートしているかどうかを確認できません。これを克服し、SSLv2サポートを有効にするには(Linuxのテスト用)、次のサイトの指示に従ってください:
http://www.hackwhackandsmack.com/?p=46
注:
DROWN(SSLv2)またはPOODLE(SSLv3)攻撃に対する保護の詳細については、以下を参照してください。
https://drownattack.com
http://www.softwaresecured.com/2016/03 / 01 / how-to-confirm-whether-you-are-vulnerable-to-the-drown-attack /
http://www.mogilowski.net/lang/de-de/2014/10/23 / disabling-sslv3-for-poodle-on-debian /
https://www.owasp.org/index.php/Testing_for_Weak_SSL/TLS_Ciphers,_Insufficient_Transport_Layer_Protection_%28OTG-CRYPST-001%29
https: //zmap.io/sslv3/