Actualización de Nmap - Indicación de seguridad de SSL / TLS ciper

5

Anteriormente, con nmap me resultaba fácil entender las fortalezas de los cifrados señalados por la herramienta (fuerte, débil, etc.)

Sin embargo, esto ahora ha cambiado a una calificación de A-F. ¿Qué significa esto y por qué hicieron ese cambio?

A continuación se muestra un ejemplo de la salida de la herramienta

|  TLSv1.2: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 1024) - D
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 1024) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 1024) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 1024) - A
|       TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 1024) - A
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp384r1) - C
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA (secp384r1) - A
|       TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA - F
|       TLS_ECDH_anon_WITH_AES_128_CBC_SHA - F
|       TLS_ECDH_anon_WITH_AES_256_CBC_SHA - F
|       TLS_ECDH_anon_WITH_RC4_128_SHA - F
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 4096) - C
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 4096) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 4096) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 4096) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 4096) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 4096) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 4096) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 4096) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 4096) - A
|       TLS_RSA_WITH_IDEA_CBC_SHA (rsa 4096) - A
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 4096) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 4096) - A
|       TLS_RSA_WITH_SEED_CBC_SHA (rsa 4096) - A
    
pregunta Lucian Nitescu 16.03.2016 - 14:21
fuente

2 respuestas

5

Según la documentación de nmap para el script SSL-enum-ciphers, la clasificación AF está destinada para ser una indicación de la calidad del cifrado (siendo A la mejor calificación y F la peor).

En cuanto a la razón de su cambio, creo que deberías preguntarle al desarrollador relevante sobre eso (hay una dirección de correo electrónico en esa página de documentación que vinculé) si quieres saberlo.

    
respondido por el Rоry McCune 16.03.2016 - 14:28
fuente
2

Bajo el sistema anterior, teníamos que mantener un conjunto de cifrado de archivos estáticos para las clasificaciones de fortaleza, y la decisión de la asignación no fue muy transparente: solo tenía que confiar en nosotros (los desarrolladores de Nmap) en las fortalezas. Además, no había manera de incorporar información crítica como el tamaño del parámetro DH o la longitud de la clave RSA. Decidimos incorporar un sistema de puntuación dinámico, basado en la puntuación de Qualys SSL Labs . La entrada del registro de cambios para Nmap 6.49BETA1 dice:

  

[NSE] Repita ssl-enum-ciphers para calificar realmente la fuerza del protocolo SSL / TLS, incluyendo el tamaño de la clave del certificado y los parámetros de DH, si corresponde. Esto es similar al escáner SSL Labs de Qualys, y significa que ya no mantenemos una lista de puntuaciones por conjunto de cifrado. [Daniel Miller]

Si tiene una F, entonces su configuración está básicamente dañada y ofrece una seguridad insignificante.

Otros cambios notables:

  • Compatibilidad con registros fragmentados, limitaciones extrañas de tamaño de reconocimiento y números de puerto no típicos.
  • Informar el nombre de la curva elíptica utilizado.
  • Ordenar cifrados por preferencia del servidor, si es relevante.
  • Advertencias para configuraciones erróneas de SSL, como certificados firmados por MD5, parámetros efímeros DH de baja calidad y la vulnerabilidad de POODLE.
respondido por el bonsaiviking 16.03.2016 - 22:59
fuente

Lea otras preguntas en las etiquetas