Uso de curl para verificar protocolos SSL/TLS y conjuntos de cifrado aceptados por fortigate

Descripción

Este artículo muestra cómo usar el programa de código abierto cURL para probar la conectividad a (o a través de) FortiGate usando varios conjuntos de cifrado. Esto es útil cuando se realizan evaluaciones de vulnerabilidad y puede confirmar si FortiGate permite realizar conexiones utilizando una versión específica del protocolo SSL/TLS y el conjunto de cifrado elegido.   

Alcance

Dirección IP de administración HTTPS de FortiGate Dirección IP del
portal VPN SSL de FortiGate
Sitio web HTTPS protegido por FortiGate/FortiWeb

Solución

1) Descargue e instale una versión precompilada de cURL para su sistema operativo. Una versión popular para Windows se llama «cURL para Windows». Alternativamente, puede compilar cURL usted mismo.

2) Determine la dirección IP y el número de puerto al que se realizará la conexión. Puede ser la IP y el número de puerto de la dirección de administración de FortiGate, SSL VPN o un servidor detrás de FortiGate.

3) Determinar la versión de TLS/SSL que se probará, así como qué cifrados.

4) Prueba con cURL utilizando los parámetros determinados anteriormente.

Ejemplo 1: Prueba de la interfaz VPN SSL de FortiGate para SSLv3 (cualquier suite de cifrado)

curl https://10.0.0.5:10443 -k -v –location-trusted –sslv3

[salida eliminada]

falla de protocolo de enlace de alerta (NO se acepta la conexión)


Ejemplo 2: prueba de la interfaz de administración de FortiGate para TLSv1.2 usando el algoritmo de cifrado/cifrado masivo 3DES

curl https://10.0.0.1:443 -k -v –location-trusted –tlsv1.2 –ciphers 3DES

[salida eliminada]

* Conexión n.º 0 al host 10.0.0.1 intacta (se acepta la conexión)


Ejemplo 3: Probar FortiGate SSLVPN para TLSv1.2 usando el conjunto de cifrado AECDH-AES128-SHA

Artículos relacionados  Recupere el acceso de administrador con Forticloud si el FortiToken de 2factor ha sido asignado accidentalmente al ID de administrador

curl https:// 10.0.0.5:10443 -k -v –location-trusted –tlsv1.2 –ciphers AECDH-AES128-SHA

[salida eliminada]

* Conexión n.º 0 al host 10.0.0.1 intacta ( se acepta la conexión)


Tenga en cuenta que cURL usa OpenSSL, por lo que requiere su terminología al seleccionar conjuntos de cifrado para la prueba. AECDH-AES128-SHA es la terminología OpenSSL para el nombre RFC TLS_ECDH_anon_WITH_AES_128_CBC_SHA.

Una lista completa de las opciones disponibles para cURL, incluidos los protocolos, se pueden encontrar en la documentación de la herramienta cURL en  http://curl.haxx.se/docs/manpage.html .

Puede encontrar una lista completa de cifrados disponibles en la documentación de OpenSSL Cryptography and SSL/TLS Toolkit en https://www.openssl.org/docs/manmaster/apps/ciphers.html .

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *