News

Tool Tuesday – TLS/SSL Scanning Tools

Aug 6, 2019

Es gibt unzählige Tools und Varianten, um TLS/SSL-Verbindungen zu testen. Mit diesen drei einfachen Werkzeugen können Sie ganz einfach Ihre eigenen Konfiguration überprüfen. 

Kurz vornweg: TLS (Transport Layer Security) bzw. die Vorgängerversion SSL (Secure Socket Layer) sind Protokolle, die für die verschlüsselte Datenübertragung genutzt werden. Beim Verbindungsaufbau werden zwischen Client und Server verschiedene Parameter ausgehandelt. Welche Parameter zur Aushandlung bereitstehen, wird in der Konfiguration des Servers festgelegt.
Um diese Konfiguration zu prüfen – ob für einen Penetrationstest oder für den firmeninternen Compliance Check – stehen verschiedene Tools zur Verfügung, um die Arbeit zu erleichtern.
Wir haben uns die drei Tools: O-Saft, sslscan und testssl näher angeschaut und diese miteinander verglichen.

O-Saft

O-Saft besticht zunächst mit seinem originellen Namen. Es ist ein Perl basierter Scanner mit jeder Menge Einstellmöglichkeiten. Die Besonderheit ist, dass O-Saft nicht nur die angebotenen Ciphers des Servers bewertet und ausgibt. Der Scanner kann einen TCP-Socket öffnen und SSL/TLS-Handshakes senden. Der große Vorteil an dieser Methode ist, dass ohne zusätzliche oder veraltete Bibliotheken das Vorhandensein von SSLv2 getestet werden kann.
Die Ausgabe erfolgt in Textform auf der Konsole. Diese kann wahlweise auch in eine Datei umgeleitet werden.

Mehr Informationen unter: https://github.com/OWASP/O-Saft

sslscan

sslcan muss installiert oder kompiliert werden, da es ein C-basiertes Programm ist. Das Kompilieren hat den Vorteil, dass man alte openssl Bibliotheken verwenden kann, um Beispielsweise SSLv2 oder SSLv3 zu testen.
Die Ausgabe erscheint sehr übersichtlich und in verschiedenen Farben unterteilt auf der Konsole (gut geeignet für Screenshots). Wahlweise kann die Ausgabe in Form einer XML-Datei erfolgen.

Mehr Informationen unter: https://github.com/rbsec/sslscan

testssl

testssl ist ein Bash-Skript. Daher ist kein Installieren oder Kompilieren nötig. Der Scanner bedient sich der aktuellen openssl Version auf dem System. Somit können nur Protokolle und Ciphers getestet werden, die von dem aktuellen openssl unterstützt werden.
Die Ausgabe ist sehr Umfangreich. Sie gibt nicht nur Aufschluss über die Verwendeten Cipher und Zertifikate sondern auch über mögliche Schwachstellen und Angriffe. Darüber hinaus kann die Ausgabe in verschiedene Formate, wie z.B. eine JSON-Datei oder CSV-Datei, geschrieben werden, um sie weiter zu verarbeiten.

Mehr Informationen unter: https://github.com/drwetter/testssl.sh

Haben Sie Fragen zum Thema Sicherheit von TLS/SSL? Kontaktieren Sie uns gerne! 

Tool Tuesday - TLS/SSL Scanning Tools

Recent posts

Tool Tuesday – nmap

Ein Tool, das auf keinem Pentester-PC fehlen darf, ist nmap. Dieses Kommandozeilenwerkzeug ist das Schweizer Taschenmesser für Penetrationstests auf Netzwerkebene, wird aber auch von Systemadmins gerne genutzt.

mehr lesen

mgm sp @ München

In Herzen von Bayern befindet sich, bereits seit der Zeit von SecureNet, unsere Zentrale. Statten Sie unserem Standort einen Besuch ab!

mehr lesen

Awareness Training @ mgm sp

Eine der wichtigsten Grundlagen für gelebte Sicherheit ist die Herstellung des Bewusstseins für Bedrohungen in der Informationssicherheit. In unserer Awareness-Schulung zur IT-Security führen wir vor, wie Angreifer vorgehen, was sie motiviert und wie einfach es häufig ist, Schaden anzurichten.

mehr lesen

Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
If you continue to visit the site, you agree to the use of cookies.
Privacy Policy / Cookie Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close