SSLMap, comprueba la seguridad de tu SSL

sslHace ya tiempo que se está revisando que tipos de SSL se soporta a  nivel de servidor para que ataques del tipo re negociación no nos tire el servidor abajo.

Para el servidor es muy costoso, en términos de consumo de recursos una negociación SSL, por tanto los servidores evitan el tener que volver a generar las claves y de esta forma utilizar estos recursos para otras funciones. Por eso herramientas como las de la gente de THC son tan peligrosas en un entorno de producción.

Cuando realizas un escaneo con herramientas como sslscan que suel estar en los repositorios no sabes hasta que punto soportar un tipo de cifrado es recomendable tenerlo o no.

La herramienta SSLMap nos ayudará a clasificar los distintos tipos de cifrado que se soportan por nivel de riesgo.

Lanzamos la herramienta para ver los resultados.

darkmac:ssl marc$ python sslmap-0.2.0.py --host informatica64.com

_
| |  version 0.2.0
___ ___| |_ __ ___   __ _ _ __
/ __/ __| | '_ ` _ \ / _` | '_ \
\__ \__ \ | | | | | | (_| | |_) |
|___/___/_|_| |_| |_|\__,_| .__/
| |
[email protected] |_|

[*] Scanning informatica64.com:443 for 229 known cipher suites.
[+] TLS_RSA_EXPORT1024_WITH_RC4_56_SHA (0x000064)
[+] TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA (0x000062)
[+] TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x00000A)
[+] TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 (0x000006)
[+] TLS_RSA_WITH_RC4_128_MD5 (0x000004)
[+] TLS_RSA_WITH_RC4_128_SHA (0x000005)
[+] TLS_RSA_EXPORT_WITH_RC4_40_MD5 (0x000003)
[+] TLS_RSA_WITH_DES_CBC_SHA (0x000009)
[+] SSL2_DES_64_CBC_WITH_MD5 (0x060040)
[+] SSL2_RC2_CBC_128_CBC_WITH_MD5 (0x040080)
[+] SSL2_RC4_128_WITH_MD5 (0x010080)
[+] SSL2_RC2_CBC_128_CBC_WITH_MD5 (0x030080)
[+] SSL2_DES_192_EDE3_CBC_WITH_MD5 (0x0700C0)
[+] SSL2_RC4_128_EXPORT40_WITH_MD5 (0x020080)

==================== Scan Results ====================
The following cipher suites were rated as HIGH:
TLS_RSA_WITH_3DES_EDE_CBC_SHA

The following cipher suites were rated as MEDIUM:
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA

The following cipher suites were rated as EXPORT:
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
TLS_RSA_EXPORT_WITH_RC4_40_MD5
SSL2_RC4_128_EXPORT40_WITH_MD5

The following cipher suites were rated as LOW:
TLS_RSA_WITH_DES_CBC_SHA
SSL2_DES_64_CBC_WITH_MD5
SSL2_RC2_CBC_128_CBC_WITH_MD5
SSL2_RC4_128_WITH_MD5
SSL2_RC2_CBC_128_CBC_WITH_MD5
SSL2_DES_192_EDE3_CBC_WITH_MD5

Como veis la herramienta ha sido capaz de clasificar los tipos de cifrado soportados por los que se deberían de quitar para soportarlos.

Si queremos probar todos los cifrados en plan fuerza bruta podemos indicar la opción –fuzz.

Si nos preocupa el tema del SSL, podemos visitar una web de referencia https://www.ssllabs.com/

Podemos incluir SSLMap en nuestras auditorías de la parte perimetral


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo
  • Leosarav

    Interesante, voy a probarlo en mi red. Gracias por el aporte!

  • QueBo

    A mi me preocupa el tema, no puedo dormir por las noches de pensarlo.

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES