registrazione di suite di crittografia lato client disponibili da Apache tomcat?

1

Quando prevedi di rimuovere una suite di crittografia, c'è un modo per registrare quali suite di crittografia sono disponibili per i client che parlano al mio server web?

L'idea è di sapere in anticipo che prima che venga rimosso qualche codice, se ho bisogno di installarne di nuovi e quali.

fondamentalmente mi piacerebbe essere in grado di campionare alcune delle richieste che arrivano in un web server Apache tomcat e registrare le suite di crittografia supportate dal client che effettua la richiesta.

Se ciò non è possibile, sarebbe possibile sapere quale suite di crittografia viene utilizzata nell'attuale richiesta HTTP?

    
posta epeleg 31.05.2016 - 22:24
fonte

2 risposte

2

Sì, puoi avviare la registrazione di Tomcat per includere tali informazioni utilizzando proprietà del sistema javax.net.debug . Ciò ti consentirà di ottenere questo tipo di output, che include la suite di crittografia proposta dal client:

*** ClientHello, TLSv1
RandomCookie:  GMT: 1073239164 bytes = { 10, 80, 71, 86, 124, 135, 104,
151, 72, 153, 70, 28, 97, 232, 160, 217, 146, 178, 87, 255, 122, 147, 83,
197, 60, 187, 227, 76 }
Session ID:  {}
Cipher Suites: [SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA,
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA,
SSL_RSA_WITH_DES_CBC_SHA, SSL_DHE_RSA_WITH_DES_CBC_SHA,
SSL_DHE_DSS_WITH_DES_CBC_SHA, SSL_RSA_EXPORT_WITH_RC4_40_MD5,
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA, SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA,
SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA]
Compression Methods:  { 0 }
***

L'analisi dei log di Tomcat è una di quelle gioie che si trovano lì con l'odontoiatria, ma ovviamente è possibile farlo e ti fornirà un censimento delle suite di crittografia con cui i tuoi clienti si connettono.

In alternativa, l'esecuzione di tcpdump (o equivalenti) acquisizioni con un filtro che catturerà i messaggi ClientHello ti darà un archivio di dati grezzi da estrarre. Il seguente filtro catturerà solo i messaggi ClientHello:

tcpdump -s 0 -w client_hellos.pcap 'port 443 and tcp[((tcp[12:1] & 0xf0)>>2):1] = 0x16 and tcp[((tcp[12:1] & 0xf0)>>2)+1:2] = 0x0301 and tcp[((tcp[12:1] & 0xf0)>>2)+5:1] = 0x01'
    
risposta data 01.06.2016 - 01:52
fonte
0

Sì, l'elenco di cifrari supportati viene inviato dal client, in modo che il server possa registrare perfettamente quali sono offerti dal client. Potrebbe essere un po 'più difficile (e dipenderà dalla tua particolare implementazione) accedervi, in quanto è tipicamente astratto nel livello SSL.

    
risposta data 31.05.2016 - 23:12
fonte

Leggi altre domande sui tag