SSL Server Test

日経NETWORK 2018年9月号より

米クリオスのSSLラボが提供するSSLチェックツール
https://www.ssllabs.com/

財テク.jpというサイトをチェックしたところレーティングはBでKey Exchangeに問題があるとの判定だった。

B判定の主な原因として、下記3点があった。
This server uses SSL 3, which is obsolete and insecure. Grade capped to B.
SSL3に対応している。

This server accepts RC4 cipher, but only with older protocols. Grade capped to B.
ChiperにRC4が利用できる。

This server does not support Forward Secrecy with the reference browsers. Grade capped to B.
Foward Securityに対応していない。。。。

一方で、HSTSに対応している点は評価された。
HTTP Strict Transport Security (HSTS) with long duration deployed on this server.

SSL対応状況について

Chorome68からSSLに対応していないサイトは警告されるようになった。
「日立製作所も対応していないからといって、当社も対応する必要がありません。」
という会社があるとしたら、ホームページの重要性について理解されていないと思わざるを得ない。。。。

利用者視点で言えば、HSTSに対応していないというのもいただけないのだが、なぜSSLの対応にこれだけ腰が重いのかが理解に苦しむ。。。。

SSL(TLS)通信について

TLSはHTTPSプロトコルやFTPSプロトコルをはじめとした、多くの暗号化通信において、トランスポート層にて利用されている。
今回、太陽光発電のリモコンが集計サーバとうまく通信できていないことの原因を調べるため、RTX1200のポートミラーリング機能を使ってパケットをキャプチャしてみたところ、
Enrypted Alertメッセージがリモコンから集計サーバへの通信時に発生したことを契機にサーバ側から通信が切断(FINフラグが設定)されていることがわかり、原因調査のためにいろんなサイトを探してみた。
Enrypted Alertメッセージが発生した原因は、WiresharkでSSL通信の中身を覗いてみるによれば、Wiresharkにて集計サーバの秘密鍵がないことによって発生しているようで、
なぜうまく通信ができないかの理由にはたどり着けなかったが、よい勉強になったので紹介しておく。
通信できなかった理由については、ミラーリング機能にて取得したポケットを集計サーバの管理会社へ送付し、問い合わせしてみようと思う。
参考サイト
SSL/TLS(Part.1)
HTTPSコネクションの最初の数ミリ秒
SSL Troubleshooting with Wireshark and Tshark (by Sake Blok)

IPSec

2つのモードと2つのプロトコルが存在する
トランスポートモード
IPヘッダとデータの間にセキュリティヘッダを挿入し、データ部分を暗号化
トンネルモード
IPヘッダとデータをまとめて暗号化した上で、それよりも前に新しいIPヘッダ、セキュリティヘッダを追加する
AHプロトコル
AHプロトコルの情報がセキュリティヘッダに含まれる
ESPプロトコル
ESPプロトコルの情報がセキュリティヘッダに含まれるほか、暗号化されたデータの後にESPトレーラ、ESP認証データが付加される
詳しくは@IT 第2回 インターネットVPNの基礎知識が詳しい。

Windowsファイアウォールを制御する

TCP 9999番ポートを開く。(testはラベル)
netsh firewall set portopening TCP 9999 test
これができてしまうということは、悪意あるプログラムはバックドアを簡単に作ることができそう。