ARTICULOS BLOG GURU DE LA INFORMATICA SOBRE SEGURIDAD EN SSL

Auditar seguridad de SSL.

Existen dos herramientas muy completas para auditar la seguridad de SSL: SSLScan y SSL Audit. SSLScan. Sirve para comprobar el tipo de cifrado SSL que utiliza un servicio. Es una herramienta para Linux que necesita el compilador GNU para C y la libreria OpenSSL.

Modo de empleo: Comando: sslscan [opciones] [host: puerto] Opciones: --targets= Sirve para pasarle un archivo que contiene una lista de host para chequear. Los host se pueden suministrar con puertos puertos (es decir host: puerto). --no-failed No muestra los tipos de cifrado que no acepta el host. --ssl2 Comprueba solamente el cifrado SSLv2. --ssl3 Comprueba solamente el cifrado SSLv3. --tls1 Comprueba solamente el cifrado TLSv1. --pk= Sirve para pasarle un archivo PKCS#12. --pkpass= La contrasea para PKCS#12. --certs=

Pasarle un archivo que contiene PEM/ASN1. --starttls Introducir un STARTTLS para servicios smtp. --HTTP Prueba una conexin del HTTP. -- bugs Buscar bugs en SLL. --xml= Mostrar resultados de la salida en archivo de XML. Ms informacin y descarga de SSLScan: https://www.titania.co.uk/index.php?option=com_content&view=article&id=56&Itemid=68 SSL Audit. Es otra herramienta para comprobar el tipo de cifrado SSL. Que incorpora posibilidades de Fingerprint para identificar el motor SLL del servidor, esta ltima opcin es experimental y segn el autor reporta falsos positivos. Identifica:

IIS7.5 (Schannel). IIS7.0 (Schannel). IIS 6.0 (Schannel). Apache (Openssl). Apache (NSS). Certicom. RSA BSAFE. Documentacin de SSL Audit: http://www.g-sec.lu/sslaudit/documentation.pdf Descarga de SSL Audit: http://www.g-sec.lu/sslaudit/sslaudit.zip

Seguridad en el protocolo SSL.

Muchos dispositivos de red, utilizan para cifrar sus conexiones SSL, llaves hard-coded almacenadas en su firmware, de esta forma, dos routers que tengan el mismo firmware utilizaran las mismas llaves para cifrar sus conexiones SSL. Esto significa que si capturamos la llave privada del firmware podemos descifrar todo el trafico encriptado en SSL.

Existe una herramienta llamada LittleBlackBox que contiene una base de datos donde se correlacionan llaves privadas de SLL, con sus respectivos certificados pblicos, que corresponden a determinado hardware. Esta base de datos incluye ms de 2 millones llaves privadas tanto de SSL como de SSH. Con esta herramienta es posible identificar un dispositivo de red por su certificado pblico SSL. Adems, dado un certificado pblico, la herramienta busca en la base de datos para considerar si tiene una llave privada correspondiente; si es as, la llave privada se puede utilizar con: Wireshark o SSLsniff, para descifrar trfico o para realizar ataques de MITM. Con LittleBlackBox podemos auditar la seguridad del cifrado SSL que utilizan nuestros dispositivos de red. Para mejorar la seguridad de cifrado SSL de nuestros dispositivos de red lo mejor es cambiar los certificados SSL que utilizan por defecto (esta medida es posible en muchos dispositivos). Ms informacin y descarga de LittleBlackBox: http://code.google.com/p/littleblackbox/ Ms informacin y descarga de Wireshark: http://www.wireshark.org Ms informacin y descarga de SSLsniff: http://www.thoughtcrime.org/software/sslsniff/ Auditar seguridad de SSL: http://vtroger.blogspot.com/2010/03/auditar-seguridad-de-ssl.html

Hardening SSL/TLS.

Con Harden SSL / TLS una aplicacin que permite mejorar la seguridad de SSL / TLS de las versiones de Windows 2000, 2003, 2008, 2008 R2, XP, Vista y 7. Esta aplicacin permite establecer a nivel local y remota polticas basadas en permitir o denegar ciertos hashes o conjuntos de cifrado, establecer prioridades y modificar parmetros de la cach de sesin TLS.

Harden SSL / TLS permite realizar polticas especficas de ajuste con respecto a los cifrados y los protocolos que estn disponibles para aplicaciones que utilizan el interfaz SCHANNEL de criptografa, ya sean aplicaciones cliente o servidor. Una gran cantidad de aplicaciones de Windows utilizan esta interfaz, por ejemplo: Google Chrome, Safari de Apple Al cambiar la configuracin indirectamente se puede controlar que cifrados pueden utilizar estas aplicaciones. Teniendo en cuenta que una aplicacin puede solicitar un conjunto especfico de sistemas de cifrado, y si se ha desactivado este conjunto ya no puede usarlo. En el modo avanzado de esta aplicacin permite: Habilitar el modo ECC P521; Microsoft elimin el modo ECC P521 despus de Vista y Server 2008, esta opcin permite volver a habilitar y volver a introducir el modo ECC P521 para Windows 7 y Server 2008R2. Habilitar soporte mdulo 1; Cuando un servidor Web utiliza un certificado con un exponente 1 de clave pblica RSA, el exponente de la clave privada tambin se pone a 1. Si estas condiciones estn presentes, la conexin no tiene la seguridad de encriptacin. Al habilitar esta se configura el cliente para permitir una conexin a un servidor Web que utiliza un certificado con un exponente 1 de clave pblica RSA. Modificar el tiempo de la cache TLS / SSL; Una de las razones para cambiar el valor predeterminado de la cach de sesin SSL es obligar al cliente a autenticar con ms frecuencia. El frecuente almacenamiento en cach es til a veces, por ejemplo, si se desea reducir el esfuerzo computacional o si se sabe que el cliente est utilizando una tarjeta inteligente y desea que la pgina web sea accesible slo cuando el usuario inserta la tarjeta inteligente en el lector. Tamao de la cache TLS / SSL; IIS mantiene los objetos en memoria para el seguimiento de cada conexin a la web de entrada. Despus de cinco minutos de tiempo de inactividad, estos objetos son destruidos para reclamar los recursos. Durante este proceso, IIS purga el ID de sesin SSL / TLS de la tabla sesin ID de la cach del sistema operativo. IIS tambin purga toda la informacin de conexin que se negocia entre el cliente y el servidor. Cuando un cliente intenta reanudar una sesin de SSL / TLS mediante el identificador de sesin anterior, el servidor no puede encontrar la informacin de conexin en la memoria cach. Por lo tanto, el cliente debe renegociar la conexin. Adems, el cliente debe obtener un nuevo identificador de sesin. El aumento del tamao de la cach puede reducir la carga de la CPU, pero aumenta el uso de memoria, cada elemento de cach de la sesin normalmente requiere de 2 a 4 Kb de memoria.

Ms informacin de Harden SSL / TLS: http://www.g-sec.lu/sslharden/documentation.pdf Descarga de Harden SSL / TLS: http://www.g-sec.lu/sslharden/HardenSSL.zip Seguridad en el protocolo SSL: http://vtroger.blogspot.com/2011/02/seguridad-en-el-protocolo-ssl.html Auditar seguridad de SSL: http://vtroger.blogspot.com/2010/03/auditar-seguridad-de-ssl.html