Herramientas para test de penetración en SSL.
|
Existen dos herramientas de código abierto, ideales para realizar test de penetración en SSL, se trata de: SSLSmart y SSLDigger.
SSLSmart ofrece una amplia gama de características para mejorar la eficiencia de las pruebas y reducir los falsos positivos. Durante el saludo inicial SSL, el servidor web y el navegador negocian el conjunto de cifrado que se utilizará para el canal de comunicación. Si tanto el navegador y el servidor soportan un juego de cifrado común, se establece un canal de comunicación para la transferencia de datos. Si no, el resultado final es uno de los dos escenarios siguientes:
- El servidor Web finaliza la conexión durante el apretón de manos inicial y no se transfieren datos.
- Servidor Web completa los datos mínimos del apretón de manos, transfiere en forma de una página de error y termina la conexión. Cualquier futuro intento con estos conjuntos de cifrado no compatibles, se encuentran con el mismo resultado.
Dado que se establece una conexión SSL completa y los datos se transfieren en el segundo escenario anterior, la mayoría de las herramientas de prueba de SSL (incluyendo escáneres comerciales) pueden concluir falsamente, que el conjunto de cifrado es compatible. Por tanto, es importante, que los que testean las vulnerabilidades puedan ver la respuesta del servidor real para cada conjunto de cifrado.
SSLSmart ofrece dos tipos diferentes de análisis para investigar y eliminar los falsos positivos debido a este comportamiento:
Content Scan (por defecto):
Respuesta del servidor exacta que se puede ver en HTML y Textforms para cada suite de cifrado seleccionada para la URL a probar.
Connect Scan:
Se centra sólo en el éxito o el fracaso de conexión de socket SSL con varios conjuntos de cifrado. Este comportamiento no ofrece ninguna ventaja sobre las herramientas de prueba SSL existentes y por lo tanto, es propenso a tener problemas similares con los falsos positivos. Sin embargo, esta exploración es más rápida y consume menos recursos de red y CPU.
Más información y descarga de SSLSmart:
http://www.mcafee.com/us/downloads/free-tools/sslsmart.aspx
SSLDigger es una herramienta para evaluar la seguridad de los servidores SSL mediante pruebas de los cifrados soportados.
Características:
- Soporte completo usando el control del navegador Microsoft Internet Explorer.
- Apoyo para el funcionamiento de la herramienta en el modo por lotes, para operar en varios sitios al mismo tiempo. Una función muy útil para probar un gran número de sitios web . La entrada para que la herramienta procese, se proporciona, en este caso a través de un archivo de texto. El contenido de este archivo es simplemente los sitios web separados en líneas.
- La herramienta es compatible con la presentación de informes en tres formatos diferentes. Un formato XML, que es compatible para proporcionar acceso a los datos brutos recogidos . El formato CSV, que permite al usuario abrir el informe en un programa de hoja de cálculo. El formato más gráfico es el código HTML, un informe que proporciona enlaces a las URLs que se han probado.
Más información y descarga de SSLDigger:
http://www.mcafee.com/us/downloads/free-tools/ssldigger.aspx
Hardening SSL/TLS.
http://vtroger.blogspot.com.es/2011/10/hardening-ssltls.html
Seguridad en el protocolo SSL:
http://vtroger.blogspot.com/2011/02/seguridad-en-el-protocolo-ssl.html
Auditar seguridad de SSL:
http://vtroger.blogspot.com/2010/03/auditar-seguridad-de-ssl.html