Pehea e ʻike ai i ka cli TLS o kahi pilina open open?
Holo kā mākou Servers OpenLDAP ma EL6. Kūkulu ʻia ʻo OpenLDAP e kūʻē i nā hale waihona puke ʻo Mozilla Network Security Services (NSS). ʻO kā mākou mea kūʻai aku LDAP mai kahi ʻano ʻokoʻa o nā ʻōnaehana Unix & Linux.
ʻAʻole hiki iā mākou ke kiʻi i nā pilina OpenLDAP e hana nei no nā mea kūʻai aku a i ʻole ke kope ʻana ke hoʻohana mākou i nā cipher TLS i makemake ʻia.
Eia kekahi laʻana, inā mākou e hoʻohana iā Red Hat's ʻO nā papa inoa cipher ikaika loa i loaʻa wale papa inoa, e like me kēia:
# /etc/openldap/slapd.conf
TLSProtocolMin 3.2
TLSCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL
Ua pau nā pilina o nā mea kūʻai aku, no ka mea ʻaʻole lākou e hoʻokō i kā mākou koi ACL no kahi liʻiliʻi ʻoi loa ʻoiaʻiʻo Security Factor (SSF):
slapd[22887]: conn=1022 fd=20 ACCEPT from IP=192.168.100.101:35936 (IP=192.168.100.100:636)
slapd[22887]: conn=1022 fd=20 TLS established tls_ssf=128 ssf=128
...
slapd[22887]: <= check a_authz.sai_ssf: ACL 256 > OP 128
Pehea wau e ʻike ai i ka cipher e noho nei. hoʻohana ʻia no kēia pilina i hiki ai iaʻu ke hoʻopau iā ia mai ka papa inoa?ʻae ʻia ka papa inoa paʻamau no ka mea pili pū kekahi i nā cipher nāwaliwali a kā mākou hui palekana i makemake ʻole ai, e like me RC4-SHA & RC4-MD5 cipher.
ʻike mākou ke lilo nei ʻo EL6 i EOL i ka hopena o ka makahiki. He pilikia ʻokoʻa kēlā.
Мне не удалось сделать это напрямую с помощью tcpdump или tshark на узле. Что мне нужно было сделать, так это захватить tcpdump на машине, передать данные на мой ноутбук, а затем запустить современную версию Wireshark по https://security.stackexchange.com/questions/52150. /identify-ssl-version-and-cipher-suite
Еще одной очень полезной командой было использование скриптов nmap для перечисления шифров:
$ nmap --script ssl-enum-ciphers -p 636 ldap.example.org -Pn
PORT STATE SERVICE
636/tcp open ldapssl
| ssl-enum-ciphers:
...
| TLSv1.2
| Ciphers (16)
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
| TLS_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_RSA_WITH_AES_128_CBC_SHA
| TLS_RSA_WITH_AES_128_CBC_SHA256
| TLS_RSA_WITH_AES_128_GCM_SHA256
| TLS_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_AES_256_CBC_SHA256
| TLS_RSA_WITH_AES_256_GCM_SHA384
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
Nmap done: 1 IP address (1 host up) scanned in 0.34 seconds
Эти шифры AES_128 причиной моей проблемы, и поэтому я отключил их, добавив в список исключенных шифров:
TLSCipherSuite HIGH:!LOW:!MEDIUM:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL:!AES128