Skip to content

ssh_scan – Sicherheits- und Konfigurationsscanner für SSH Einstellungen

Mit SSH Audit hatte ich bereits vor einiger Zeit ein Tool im Programm, welches SSH auf Einstellungen und Konfiguration testet (Artikel).

Mozilla hat mit ssh_scan ein ähnliches Tool im Portfolio. Das Tool bezieht sich auf die eigenen SSH Guidelines und prüft hinterlegte Ciphers, MACs, und Kex Algorithmen.

Laut eigener Aussage zählt zu den Vorteilen des Tools die einfache Installation ohne allzu viele Abhängigkeiten. Das Programm ist portabel, lässt sich mit eigenen Regeln konfigurieren und wirft am Ende einen Report im JSON Format aus.

Zunächst muss ssh_scan aber erst einmal den Weg auf die Festplatte finden.

Installation unter Ubuntu 16.04 LTS

Für die Installation steht neben einem ssh_scan gem Paket auch ein Docker Container zur Verfügung.

sudo apt-get install ruby gem
sudo gem install ssh_scan

oder via Docker

docker pull mozilla/ssh_scan
docker run -it mozilla/ssh_scan /app/bin/ssh_scan -t example.com

oder froM Source

git clone https://github.com/mozilla/ssh_scan.git
cd ssh_scan

gem install bundler
bundle install

./bin/ssh_scan

SSH Scan im Einsatz

Die SSH-Prüf-Anwendung ist denkbar einfach zu bedienen, es lassen sich einzelne Host scannen, ganze Ranges oder weitere Parameter angeben.

Eine IP scannen

ssh_scan -t ip-addresse

Mehrere IPs scannen

ssh_scan -t ip-addresse1,ip-addresse2,ip-addresse3

ssh_scan

Adressen aus einer Datei scannen

ssh_scan -f ip-addressen.txt

IP Adressen mit bestimmten Port scannen

ssh_scan -t ip-addresse -p 666

Eigene Policy verwenden

ssh_scan -P intermediate -t ip-addresse

In den Standardeinstellungen wird die Mozilla Modern Policy als Prüfvorlage verwendet. Es lässt sich aber mit der oben erwähnten Option P auch auf Intermediate oder andere Richtlinien prüfen.

Hier als Beispiel die Intermediate Richtlinie:


cat intermediate

# Host keys the client accepts - order here is honored by OpenSSH
HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256

Alle SSH_scan Befehle lassen sich über die Hilfe einsehen

ssh_scan -h

 

Fazit

Mozilla bietet mit ssh_scan eine praktische Methode um SSH Einstellungen zu prüfen und zu härten. Dank eigener Policies und vieler weiterer Optionen, wie Reports würde ich das Tool vorziehen, alleine weil das eingangs erwähnte SSH-Audit seit 2016 nicht mehr aktualisiert wurde.

Allerdings empfinde ich die Masse an Paketen, welche mit ruby gem auf dem System landen nicht unerheblich, da ist ein einfaches Python Script schon handlicher. 
Zusätzlich setzt ssh_scan wohl weiterhin auf NIST Kurven wie ecdh-sha2-nistp521,ecdh-sha2-nistp384 und ecdh-sha2-nistp256 welchen ich eher kritisch gegenüber stehe.

Schlussendlich sollte bei solchen Tests immer das Ergebnis genau hinterfragt werden. Das Prüfen von SSH Konfigurationen vereinfachen beide Programme dennoch merklich.

 

ssh_scan

WebRTC Troubleshooter - Browser auf Echtzeitkommunikation testen

Vor einiger Zeit hatte ich gezeigt, wie es mit Jitsi Meet möglich ist einen eigenen WebRTC Server aufzusetzen. Die Kommunikation findet hier im Allgeminen über den Browser statt, dieser muss allerdings auch eine Unterstützung für Audio, Video, usw. mitbringen.

Ob der Browser der Wahl WebRTC voll unterstützt lässt sich auf test.webrtc.org prüfen.

Die Seite bietet zusätzlich die Möglichkeit einen Report zu erzeugen, welchen ihr euch auf die Platte laden könnt.

 

webRTC-Test

Calomel SSL Validation - SSL Verbindungen per Firefox Addon überprüfen

Vor ein paar Tagen hatte ich das Python Script SSLyze vorgestellt, mit welchem es möglich ist SSL Einstellungen von Servern zu testen. In eine leicht andere Richtung schlägt das Firefox Add-on Calomel SSL Validation.

Calomel SSL Validation - Die Sicherheitsampel für den Browser

Das Add-on überprüft die Sicherheit der SSL Verbindung zwischen Browser und Webseite. Je nach Sicherheitsstufe wird eine Ampel neben der Adressleiste grün, blau, gelb oder rot dargestellt. 

Dies hat den Vorteil, das der Anwender schnell erkennen kann, ob beispielsweise eine Verbindung zu einer Bankenwebseite mangelhafte Sicherheit stellt.

Als Beispiel eine nicht ganz so sichere Verbindung

calomel

Die Sicherheit erreicht laut Addon nur einen Anteil von 33%, was unter anderem auf ein nicht aktiviertes Perfect Forward Secrecy zurückzuführen ist. Diese Einstellung würde das nachträgliche Entschlüsseln verhindern, ist also durchaus relevant. Aber auch auf die verwendete TLS Version, die mit TLS 1.0 nicht die aktuellste, aber auch nicht zu den veralteten und sehr unsicheren wie SSL 2/3 zählt, wird bemängelt.

Ein großer Punkteabzug wir ebenfalls durch die Verwendung von RSA verbucht. Laut FAQ würde Calomel hier ECDHE, DHE oder ECDH besser passen, denn mit Diffie Hellmann und Eliptischen Kurven wäre Schnelligkeit und  PFS gewährleistet.

Als Gegenansicht nun ein positives Beispiel

calomel

Hier wird zwischen Server und Client eine sichere Verbindung mit ECDHE zum Schlüsselaustausch hergestellt, das aktivierte PFD sammelt zusätzlich Punkte, was zu einer grünen Ampel und 100% Sicherheit führt. 100% Sicherheit ist hier wohl etwas schlecht formuliert, maximal mögliche Sicherheit würde wohl besser passen.

Fazit

Das Tool informiert sehr gut über eine bestehende SSL Verbindung zu einem Server und stellt dank der Farbunterscheidung auch für Laien gut erkennbar die gegebene Sicherheit dar. Gleiches gilt für die Punktewertung, die auch ohne tiefere Kenntnis Aussagen zur Sicherheit darstellt.

Dennoch sollte bedacht werden, dass die Verbindung zwischen Server und Browser nicht wirklich etwas über die Sicherheit des Servers selbst aussagt, sondern nur über die Verbindung ansich.

Eine blaue Ampel heißt nicht, dass der Server selbst schlecht konfiguriert ist, es kann sich genauso um einen alten Server handeln, der neue Techniken noch nicht unterstützt und dennoch für seine Verhältnisse die maximale Sicherheitseinstellungen aufweist.

Als Ergänzung zu anderen Tools, welche SSL Verbindungen oder Einstellungen unter die Lupe nehmen, ist Calomel SSL Validation eine willkommene Erweiterung.

Calomel

Frühjahrsputz im Firefox - Lesezeichen auf Gültigkeit, leere Ordner oder Duplikate überprüfen

Mit der Zeit sammeln sich im Browser immer mehr Lesezeichen an, auch in der Zeit von Liken, Sharen, Plussen und Pinnen sind diese nicht wegzudenken. Je mehr man von diesen kleinen Helferlein hinterlegt, desto schlechter wird die Übersicht, da hilft die beste Ordnerstruktur nichts. 

Hauptproblem dürfte bei vielen Bookmark Sammlungen die Aktualität sein. Existiert die Adresse noch, erscheint eine leere Seite oder sind einige Ordner in der eigenen Struktur eventuell leer.

check-places

All diese Fragen beantwortet CheckPlaces. Das Firefox Add-on überprüft die kompletten Favoriten und gibt ein ausführliches Ergebnis aus. Im Vorfeld kann die Suchfunktion auf die eigenen Belange eingeschränkt werden:

  • Auf doppelte Lesezeichen prüfen
  • Leere Ordner suchen 
  • Check Places Datenbank prüfen
  • Datenbank komprimieren
  • Prüfen ob Seite existiert
  • Überprüfungsdauer

check-places-erg

In der Zusammenfassung können alle gefundenen Probleme noch einmal überprüft und bei Bedarf gelöscht werden. Dem Frühjahrsputz steht somit Nichts mehr im Wege