Testen von SSL-Servern

Im Blog des Darknet habe ich von dem Tool SSLyze gelesen. Mit diesem ist es möglich, SSL/TLS-Server zu testen und Konfigurationsproblemen auf die Spur zu kommen.
Das Tool ist in Python geschrieben und damit recht plattformunabhängig. MacOS ist zwar nicht offiziell supported, es funktioniert bei mir aber ohne Probleme unter Lion 10.7.

Der Aufruf ist recht simpel:

Karstens-MacBook-Air:sslyze karsten$ python ./sslyze.py --regular www.example.com

Die Ausgaben beziehen sich dann auf die verschiedenen Checks, die das Script ausführen kann. Diese sind auf der Wiki-Seite des Projekts beschrieben.

Bei meinem ersten Scan ist mir dann auch gleich ein Fehler auf einem meiner eigenen Server aufgefallen:

  * SSLV3 Cipher Suites :
      Cipher Suite:                             SSL Handshake:           HTTP GET: 
      AES256-SHA  256bits                          Preferred               200 OK  
      RC4-SHA  128bits                             Accepted                200 OK  
      RC4-MD5  128bits                             Accepted                200 OK  
      DES-CBC3-SHA  168bits                        Accepted                200 OK  
      DES-CBC-SHA  56bits                          Accepted                200 OK  
      AES128-SHA  128bits                          Accepted                200 OK  

Ich habe vergessen, unsichere Verschlüsselungen in der Webserver-Konfig auszuschalten. Bei einem Lighttpd unter Debian ist das folgende Einstellung unter /etc/lighttpd/conf-enabled/10-ssl.conf:

        ssl.cipher-list = "AES256-SHA RC4-SHA AES128-SHA"

Beim nächsten Aufruf sieht das dann schon besser aus:

  * SSLV3 Cipher Suites :
      Cipher Suite:                             SSL Handshake:           HTTP GET: 
      AES256-SHA  256bits                          Preferred               200 OK  
      RC4-SHA  128bits                             Accepted                200 OK  
      AES128-SHA  128bits                          Accepted                200 OK  
Testen von SSL-Servern

Die IETF empfiehlt: Bogon-Filter entfernen

Früher gab es mal Empfehlungen, auf seinen Internet-Routern alle IP-Netze rauszufiltern, die offiziell nicht vergeben waren. Zusammen mit dem Ausfiltern nicht erlaubter Adressen hat man damit einen gewissen IP-Spoofing-Schutz erreicht. Diese Empfehlung ist heute, wo die letzten IP-Netze schon länger an die Registries verteilt wurden, natürlich nicht mehr brauchbar.
Passend dazu ist letzten Monat der RFC 6441 “Time to Remove Filters for Previously Unallocated IPv4 /8s” erschienen.
Jetzt kann man die Admins, die diese Bogon-Filter einsetzen bzw. eingesetzt haben wohl in zwei Gruppen einteilen:

  1. Admins, die diese Funktion bewusst genutzt haben.
  2. Die haben diese Listen entweder selbst auf ihren Routern eingerichtet oder aber eine Bogon-Liste von z.B. Team Cymru

    Aber es gibt halt auch die

  3. Admins, die diese Funktion nicht bewusst nutzen.
  4. Das sind z.B. die, die auf älteren IOS-Versionen mit Auto-Secure gearbeitet und dabei mehr oder weniger automatisch einen Bogon-Filter in das System bekommen haben.

    Und für diese gilt dann wohl hauptsächlich die Empfehlung:
    Werft den alten Filter weg und ersetzt ihn gegen etwas Neues, z.B. mit den Netzen, die ich unter RFC 3330 ist obsolet” beschrieben habe.

Passend dazu ist auch die Cisco Field-Notice von 2005: AutoSecure Bogon Filter Potentially Causes Blackholing of Internet Traffic

Die IETF empfiehlt: Bogon-Filter entfernen