© Fernando Gregory, 123RF
Wer wie Charly Kühnast SSL-gesicherte Server zu beaufsichtigen hat, kann das heute vorgestellte Tool gut gebrauchen. Es untersucht, ob das komplette Sicherheitspersonal noch auf der Höhe der Zeit ist.
SSL-gesicherte Dienste sind eher der Normalfall als die Ausnahme. Aber wie kann ich schnell und einfach für eine größere Zahl von Servern prüfen, ob die eingesetzten Verschlüsselungsverfahren noch auf der Höhe der Zeit sind? Mit dem Tool SSL Scan! Im einfachsten Fall rufe ich es nur mit der URL der Webseite auf, die ich testen möchte: »sslscan google.de« . In Listing 1 wird erkennbar, dass SSL Scan nur eine lange Reihe von Ciphern ausprobiert und für jeden den Status »Accepted« , »Rejected« oder »Failed« zurückgibt. Doch interessiert mich primär, welche Cipher der Server akzeptiert, und nicht, welche er ablehnt. Mit
sslscan --no-failed www.google.de
kann ich die Ausgabe wesentlich ausdünnen, sie schrumpft damit auf ein Drittel der ursprünglichen Länge. Noch übersichtlicher wird es, wenn ich weiter einschränke. Will ich zum Beispiel wissen, ob der Server überhaupt noch SSLv2 unterstützt, prüfe ich das gezielt mit:
sslscan --no-failed --ssl2 www.google.de
Analog funktionieren auch die Parameter »–ssl3« und »–tls1« . Mit SSL Scan teste ich aber nicht nur Web-, sondern auch Mailserver. Dazu benötige ich den Parameter »–starttls« . Abbildung 1 zeigt die Ausgabe von
sslscan --no-failed --starttls --tlsv1kuehnast.com:25
In der letzten Zeile des Screenshots informiert SSL Scan darüber, welche Cipher der Server bevorzugt.
Listing 1
sslscan google.de
01 Supported Server Cipher(s): 02 [...] 03 Failed SSLv3 256 bits ECDHE-ECDSA-AES256-SHA384 04 Accepted SSLv3 256 bits ECDHE-RSA-AES256-SHA 05 Rejected SSLv3 256 bits ECDHE-ECDSA-AES256-SHA 06 [...]
Abbildung 1: Charly fühlt mit SSL Scan seinem Mailserver auf den Zahn.
Umlenk-Rolle
Die Ausgabe kann ich mit »–xml=Dateiname« auch in eine XML-Datei lenken. Das ist sinnvoll für ein Skript, in dem ich die Verschlüsselungsfähigkeiten der Server zyklisch prüfen und/oder dokumentieren muss oder möchte. Als Kombinationspartner dazu bietet sich »–targets=Dateiname« an. Mit seiner Hilfe schreibe ich in die Datei eine Liste von Hostnamen – zusammen mit den Portnummern, falls es sich um einen anderen Port als 443 handeln sollte. SSL Scan prüft die Maschinen dann selbstständig der Reihe nach durch.
Prima: Wieder etwas für den Werkzeugkasten gefunden! Der Türschloss-Schnellchecker SSL Scan ist schnell, schlank und gut automatisierbar.
Infos
- SSL Scan: http://sourceforge.net/projects/sslscan/
Der Autor
Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein. Zu seinen Aufgaben gehören Sicherheit und Verfügbarkeit der Firewalls und der DMZ.
