Auditar seguridad de SSL

Existen dos herramientas muy completas para auditar la seguridad de SSL: SSLScan y SSL Audit.

SSLScan.

Sirve para comprobar el tipo de cifrado SSL que utiliza un servicio. Es una herramienta para Linux que necesita el compilador GNU para C y la libreria OpenSSL.

Modo de empleo:

Comando:

sslscan [opciones] [host: puerto]

Opciones:

--targets=

Sirve para pasarle un archivo que contiene una lista de host para chequear. Los host se pueden suministrar con puertos puertos (es decir host: puerto).

--no-failed

No muestra los tipos de cifrado que no acepta el host.

--ssl2

Comprueba solamente el cifrado SSLv2.

--ssl3

Comprueba solamente el cifrado SSLv3.

--tls1

Comprueba solamente el cifrado TLSv1.

--pk=

Sirve para pasarle un archivo PKCS#12.

--pkpass=

La contraseña para PKCS#12.

--certs=

Pasarle un archivo que contiene PEM/ASN1.

--starttls

Introducir un STARTTLS para servicios smtp.

--HTTP

Prueba una conexión del HTTP.

-- bugs

Buscar bugs en SLL.

--xml=

Mostrar resultados de la salida en archivo de XML.

Más información y descarga de SSLScan:
https://www.titania.co.uk/index.php?option=com_content&view=article&id=56&Itemid=68

SSL Audit.

Es otra herramienta para comprobar el tipo de cifrado SSL. Que incorpora posibilidades de Fingerprint para identificar el motor SLL del servidor, esta última opción es experimental y según el autor reporta falsos positivos.

Identifica:

• IIS7.5 (Schannel).
• IIS7.0 (Schannel).
• IIS 6.0 (Schannel).
• Apache (Openssl).
• Apache (NSS).
• Certicom.
• RSA BSAFE.


Documentación de SSL Audit:
http://www.g-sec.lu/sslaudit/documentation.pdf
Descarga de SSL Audit:
http://www.g-sec.lu/sslaudit/sslaudit.zip

Fuente: http://vtroger.blogspot.com/

Author & Editor

Ingeniero, me gusta la cyberseguridad, la programación y el blockchain.