IT Security: SSL Ports, Ciphers, Protocols and Certificates
Liebe JDisc Freunde,
mit dem kommenden Build 5136 haben wir eine neue Funktion in das Security und Dependency Mapping Add-On implementiert. Wie Sie vielleicht wissen, erkennt das Dependency Add-On die Liste der offenen TCP/IP und UDP Ports. Ein Kunde fragte uns, ob wir Informationen über die SSL-Zertifikate und Verschlüsselungsalgorithmen für jeden abhörenden TCP/IP-Port erhalten könnten. Dies wäre eine nützliche Information über die Sicherheit von Anwendungen und ablaufende Zertifikate. Wir haben kürzlich eine ähnliche Funktion für SSH-Verbindungen implementiert, bei der wir die von SSH-Servern angebotenen SSH-Verschlüsselungsalgorithmen und die beim Verbindungsaufbau verwendeten SSH-Algorithmen sammeln.
Um zu prüfen, ob ein Port SSL verwendet und wenn ja, welche Zertifikate und Algorithmen verwendet werden, müssen wir eine Verbindung zu diesem Port öffnen und versuchen, den SSL-Handshake zu starten. Wenn der Handshake erfolgreich ist, erhalten wir auch die Liste der Zertifikate und der verwendeten Algorithmen. Das klang nicht allzu kompliziert. Also begann ich, die Funktion zu implementieren, testete sie auf einem meiner Linux-Server und erhielt schließlich alle Informationen, die ich brauchte. Toll!
Seien Sie sehr vorsichtig, wenn Sie diese Funktion verwenden. Wir öffnen TCP/IP-Ports, um einen SSL-Handshake zu testen. Dies könnte Einbruchserkennungssysteme auslösen. Wenden Sie sich also immer an Ihre Sicherheitsabteilung, bevor Sie diese Funktion aktivieren!
Dann begann ich, mein Netzwerk zu scannen, und irgendwann fing mein Drucker an, Müllseiten zu drucken! Ich war sehr überrascht und überprüfte den Drucker erneut. Gleiches Ergebnis. Er begann zu drucken! Hmm. Ok, dann habe ich noch ein paar Nachforschungen angestellt und herausgefunden, dass Port 9100 der Übeltäter war! Port 9100 wird bei vielen Druckern für einen Dienst namens „Rohdruck“ verwendet. Wenn er nicht ordnungsgemäß gesichert ist (was fast nie der Fall ist), beginnt er zu drucken, wenn Sie Bytes an diesen Anschluss senden. Die SSL-Handshake-Kommunikation verursachte dieses Problem, da der Handshake mit dem Senden eines SSL-ClientHello-Pakets begann. Der Drucker begann dann, die eingehenden Bytes zu drucken. Es gibt auch einen schönen Artikel, der den Anschluss 9100 erklärt. Unter http://hacking-printers.net/wiki/index.php/Port_9100_printing finden Sie weitere Einzelheiten. Schließlich ignorieren wir die Ports 9100-9107, wenn wir nach einem SSL-Port suchen.
Das ist nicht wirklich lustig. Aufgrund möglicher Nebeneffekte, die sich aus schlecht geschriebenen Anwendungen mit wenig oder gar keiner Fehlerbehandlung ergeben, aktivieren wir diese Funktion nicht standardmäßig. Sie können diese Funktion jedoch aktivieren, wenn Sie ziemlich sicher sind, dass die Anwendungen in Ihrem Netzwerk über eine angemessene Fehlerbehandlung verfügen. Verwenden Sie die Erkennungskonfiguration, um diese Funktion zu aktivieren.
Nicht wirklich lustig. Aufgrund möglicher Nebeneffekte, die sich aus schlecht geschriebenen Anwendungen mit wenig oder gar keiner Fehlerbehandlung ergeben, aktivieren wir diese Funktion nicht standardmäßig. Sie können diese Funktion jedoch aktivieren, wenn Sie sich ziemlich sicher sind, dass die Anwendungen in Ihrem Netzwerk über eine angemessene Fehlerbehandlung verfügen. Verwenden Sie die Erkennungskonfiguration, um diese Funktion zu aktivieren.
Wenn Sie diese Funktion aktivieren, wird in einem Warndialog noch einmal erklärt, was passieren wird, und Sie können bestätigen, ob Sie diese Funktion nutzen möchten. Wir haben diese Funktion in unserer Umgebung mit vielen verschiedenen Betriebssystemen und Geräten getestet, und abgesehen von den bekannten Druckeranschlüssen haben wir keine Probleme festgestellt.
Wenn Sie diese Funktion jedoch aktivieren, erhalten Sie weitere nützliche Informationen:
- zusätzlich zu den Zertifikaten, die im lokalen Zertifikatsspeicher eines Computers gespeichert sind
- wenn das Security Add-On zusätzlich zum Dependency Mapping Add-On installiert ist, erhalten Sie den SSL Cipher und das SSL-Protokoll (TLS-Version).
Aktivieren Sie diese Funktion in unserem Discovery Configuration Dialog.
Sobald der Scan abgeschlossen ist, können Sie die Informationen im Dialogfeld Gerätedetails für ein einzelnes Gerät überprüfen. Prüfen Sie die Registerkarte Offene Ports, um die SSL-bezogenen Informationen zu prüfen. Beachten Sie, dass Sie diese Informationen nur erhalten, wenn das Security Add-On zusätzlich zum Dependency Mapping Add-On installiert ist.
Das obige Bild zeigt, dass einige Prozesse noch TLSv1 verwenden, das nicht mehr als sicher gilt.
Es gibt auch Übersichtsberichte im Menü Software > Security> SSL, die die verwendeten SSL-Chiffren und -Protokolle sowie die Anzahl der Geräte auflisten, die diese Algorithmen verwenden. Der Übersichtsbericht SSL-Cipher (Software > Security> SSL) listet alle SSL-Ciphers auf, die von Geräten im Netzwerk verwendet werden, sowie die Anzahl der Geräte, die diesen Cipher tatsächlich verwenden.
Der SSL-Protokoll-Übersichtsbericht (Software > Security > SSL) zeigt alle von den gescannten Geräten verwendeten SSL-Algorithmen an.
Der Screenshot oben zeigt, dass drei Geräte TLSv1 verwenden, das als schwaches Protokoll gilt.
Wir hoffen, dass diese Funktion Ihr Netzwerk ein wenig transparenter und sicherer macht!
Grüße,
Thomas