system
大橋 俊昭

2017.6.12システム開発 

代表取締役

大橋 俊昭

[SSL] SSL/TLS暗号化設定を見直そう!!(その3)

セキュリティエンジニアのオーハシです。いよいよ「梅雨」ですね、ハッキリしない天気が続きますが、皆さん、体調には十分気を付けましょう!!

今回は「脆弱性チェックツールによる簡易診断」を紹介していきます。注意事項ですが、必ず「自己管理しているサーバ」でチェックしてください!!

まずは、Nmapを入手しましょう!!

Nmap(Network Mapper)とは、セキュリティ監査ツールとして良く使われているツールのひとつです。現時点の最新バージョンは「Nmap 7.40」であり、こちらからダウンロードすることができます。

コメンド入力して、簡易診断スタート!!

簡易診断には、Nmap(Network Mapper)より実行可能であるNSE(Nmap Scripting Engine)という診断スクリプトを使用します。NSE(Nmap Scripting Engine)には、さまざまな診断スクリプトが準備されています。今回は「ssl-enum-ciphers」という診断スクリプトを使用して「SSL/TLS暗号化設定」に対する脆弱性チェックを実行していきます。

nmap -v -p443 --script ssl-enum-ciphers [ホスト名]

気になる診断結果は!?

チェック項目がすべて「A」であり、診断結果としては良好ということになります。良かったですね!!

443/tcp open  https
| ssl-enum-ciphers: 
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors: 
|       NULL
|     cipher preference: server
|_  least strength: A

こんなことも、、、

チェック項目に「C」が含まれています。解読が容易な「RC4」と「3DES」が有効であることが指摘されています。前回までの「SSL/TLS暗号化設定」を実施していれば、こんな結果にはなりません。。。

443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.0:
|     ciphers:
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors:
|       NULL
|     cipher preference: server
|     warnings:
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|       Broken cipher RC4 is deprecated by RFC 7465
|_  least strength: C

皆さんのサーバは大丈夫でしょうか!?あくまでも簡易診断にはなりますが、定期的に実行することが大切です!!是非、弊社にご用命を!!<おわり>

» [SSL] SSL/TLS暗号化設定を見直そう!!(その1)
» [SSL] SSL/TLS暗号化設定を見直そう!!(その2)
» [SSL] SSL/TLS暗号化設定を見直そう!!(その3)

WEBサイト自己診断シート イメージ
システム開発サービスはこちら
ページTOPへ