web-dev-qa-db-ja.com

nmap「ssl-enum-ciphers」で暗号スイートを制御する方法

Nmapが提供するサーバーが提供するTLSバージョンと暗号スイートを列挙するためのスクリプトがあります。こちらをご覧ください リンク

サーバーをテストしたいバージョンと暗号スイートを指定できる方法はありますか?または、少なくとも、サーバーをテストするスクリプトのバージョンと暗号スイートを知っていますか?

サーバーの答えは実際にはクライアントの提案に依存するため、これは重要です。したがって、サーバーが暗号をサポートしていない場合は、クライアントの提供リストに含まれていることを確認します。

4
None

ssl-enum-ciphers luaスクリプト内でテストされた暗号スイートは、TLS暗号スイートレジストリと呼ばれるものから取得されます。詳細 こちら

このタイプの列挙に対する推奨コマンドの実行の出力を見ると、nmap -sV --script ssl-enum-ciphers -p 443 <Host>接続の初期化中にテストされた暗号スイート(前述の レジストリ )がTLSv1からプルされていることがわかります。 0、TLSv1.1、TLSv.1.2、まだTLSv1.3。

Registry から提供されるように、次のことに注意してください。

TLSv1.3は以前のバージョンのTLSと同じ暗号スイート空間を使用しますが、TLSv1.3暗号スイートは異なる方法で定義され、対称暗号のみを指定するため、TLSv1.2には使用できません。同様に、TLSv1.2以下の暗号スイートの値は、TLSv1.3では使用できません。

したがって、特定の暗号スイートのみをテストする場合は、NSEを使用するのではなく、手動プロセスを試すことができます。 これ は、他の方法を試すために相談するのに良いリソースかもしれません。それ以外の場合は、 レジストリ を参照すると、TLSのそれぞれのバージョン内で利用可能なすべての暗号スイートを確認でき、サーバーの暗号スイートと手動で比較できます。

これがあなたが達成しようとしているものに役立つことを願っています。


追加のソース:- http://seclists.org/nmap-dev/2012/q3/156

4
waymobetta