Comment se concentrer sur uniquement SSL et TLS

Document created by Leif Kremkow Employee on May 11, 2017
Version 1Show Document
  • View in full screen mode

Selon le retour d'un client il est possible de lancer des scans qui se concentrent uniquement sur les défaillances SSL et TLS en-dehors des fenêtres de maintenance ou plages de scan car ils ont un risque très faible de produire des effets de bords sur les composantes scanné.

 

Cet article vous décrira comment mettre en place de tels scans.

 

Créer une Search List

Dans un premier temps il nous faut créer une Search List statique qui inclus uniquement les défaillances que nous permettrons au moteur de scan de tester.

Allez dans Scans > Search Lists > New > Static List…

 

 

Donnez un nom à la Search List, comme par exemple "SSL and TLS only".

 

Puis allez dans la rubrique "QIDs" et utilisez le bouton "Manual" pour y coller la liste des QIDs suivants:

38599,38605,38628,38601,38604,38612,38167,38168,38172,38169,38171,38173,38170,38174,38477,38142,38143,38607,38139,38606,38141,38140,38603,42366,38592,82040,50010,19000,54008,82062,43007,45001,9,38107,82038,50011,50000,74042,74145,38050,38610,38597,86002,38600,38116,38609,38291,86001,42350,45006,27113,38051

 

 

Sauvegardez cette Search List. Maintenant il convient de créer un Option Profile qui fait appel à cette Search List.

 

Cette liste inclus les signatures pour détections de vulnérabilités suivantes:

  • QID:38599 "SSL/TLS Compression Algorithm Information Leakage Vulnerability"
  • QID:38605 "SSL/TLS Server Factoring RSA Export Keys (FREAK) vulnerability"
  • QID:38628 "SSL/TLS Server supports TLSv1.0"
  • QID:38601 "SSL/TLS use of weak RC4 cipher"
  • QID:38604 "TLS CBC Incorrect Padding Abuse Vulnerability"
  • QID:38612 "TLS Message Authentication Code Checking Vulnerability (MACE)"
  • QID:38167 "SSL Certificate - Expired"
  • QID:38168 "SSL Certificate - Future Start Date"
  • QID:38172 "SSL Certificate - Improper Usage Vulnerability"
  • QID:38169 "SSL Certificate - Self-Signed Certificate"
  • QID:38171 "SSL Certificate - Server Public Key Too Small"
  • QID:38173 "SSL Certificate - Signature Verification Failed Vulnerability"
  • QID:38170 "SSL Certificate - Subject Common Name Does Not Match Server FQDN"
  • QID:38174 "SSL Certificate - Will Expire Soon"
  • QID: 38477 "SSL Insecure Protocol Negotiation Weakness"
  • QID: 38142 "SSL Server Allows Anonymous Authentication Vulnerability"
  • QID: 38143 "SSL Server Allows Cleartext Communication Vulnerability"
  • QID:38607 "SSL Server Diffie-Hellman passive listening attack Vulnerability"
  • QID:38139 "SSL Server Has SSLv2 Enabled Vulnerability"
  • QID:38606 "SSL Server Has SSLv3 Enabled Vulnerability"
  • QID:38141 "SSL Server May Be Forced to Use Weak Encryption Vulnerability"
  • QID:38140 "SSL Server Supports Weak Encryption Vulnerability"
  • QID:38603 "SSLv3 Padding Oracle Attack Information Disclosure Vulnerability (POODLE)"
  • QID:42366 "SSLv3.0/TLSv1.0 Protocol Weak CBC Mode Server Side Vulnerability (BEAST)"
  • QID:38592 "Server Supports SSLv2 Protocol Only"

 

Mais pour pouvoir identifier ces défaillances, le moteur doit d’abord collecter des informations basique depuis la cible:

  • QID:82040 "ICMP Replies Received"
  • QID:50010 "IMAP Banner"
  • QID:19000 "MySQL Banner"
  • QID:54008 "NNTP Service Banner"
  • QID:82062 "NetBIOS Workgroup Name Detected"
  • QID:43007 "Network Adapter MAC Address"
  • QID:45001 "Open RPC Services List"
  • QID:9 "Open RPC Services List"
  • QID:38107 "Operating System Detected on a Redirected Port"
  • QID:82038 "Operating Systems Detected on Redirected TCP Open Ports"
  • QID:50011 "POP2 Banner"
  • QID:50000 "POP3 Banner"
  • QID:74042 "SMTP Banner"
  • QID:74145 "SMTP Service Detected"
  • QID:38050 "SSH Banner"
  • QID:38610 "SSL/TLS Server supports TLS_FALLBACK_SCSV"
  • QID:38597 "SSL/TLS invalid protocol version tolerance"
  • QID:86002 "SSL Certificate - Information"
  • QID:38600 "SSL Certificate will expire within next six months"
  • QID:38116 "SSL Server Information Retrieval"
  • QID:38609 "SSL Server default Diffie-Hellman prime information"
  • QID:38291 "SSL Session Caching Information"
  • QID:86001 "SSL Web Server Version"
  • QID:42350 "TLS Secure Renegotiation Extension Support Information"
  • QID:45006 "Traceroute"
  • QID:27113 "FTP Server Banner"
  • QID:38051 "IRC Banner"

 

Vous l'aurez remarqué: ci-dessus ne figurent pas que des signatures directement lié à SSL/TLS, mais aussi des éléments qui permettent de donner du contexte à la détection comme le type de serveur en écoute ou le nom de la cible.

 

Créer un Option Profile

Lors d'un scans les Option Profiles définissent comment le moteur doit ce comporter. Cet ici que nous allons inclure la Search List précédemment crée pour limiter le moteur de scan à une liste restreinte de signatures.

 

 

Donnez un nom à ce Option Profile, comme par exemple "SSL and TLS only" (tous comme la Search List).

 

Dans la rubrique "Scan" laissez le moteur balayer les port TCP qui vous semble utile (Standard), mais désactivé les ports UDP (car pas de SSL ou TLS sur UDP):

 

 

Puis choisissez la Search List crée expressément pour ce profil:

 

 

Sauvegardez cette Option Profile.

 

Lancez un Scan

Lors du lancement de votre scan, ou la planification d'un lancement programmé, faites attention de bien sélectionner le bon Option Profile dans le paramétrage du scan:

 

Attachments

    Outcomes