Gustavo Sied > Sin categoría > Usando Bro Entra certificados SSL

Usando Bro Entra certificados SSL

5 febrero, 2014 0 Comentarios

Sin categoría

Recuerdo usando una versión anterior de Bro para registrar los certificados SSL extraídos del alambre. La versión incluida en la Seguridad cebolla es nuevo y que la funcionalidad no parece ser activado por defecto. Le pregunté a Seth Sala acerca de esta característica, y él me dijo cómo llegar Bro para registrar todos los certificados SSL que se ve.

Editar / opt / bro / share / bro / site / local.bro para contener los cambios como se muestra a continuación. 

 
 diff-u / opt / bro / share / bro / site / local.bro.orig / opt / bro / share / bro / site / local.bro 
 --- / opt / bro / share / bro / site / local.bro.orig 23/02/2013 01:54:53.291457193 0000 
 + + + / opt / bro / share / bro / site / local.bro 2013 -02-23 01:55:16.151996423 0000 
 @ @ -56,6 +56,10 @ @ 
 # Este script permite la validación de certificados SSL / TLS. 
 @ protocolos de carga / ssl / validan-certs 
 
 + # Entrar certs por Seth 
 + @ protocolos de carga / ssl / certs-extracto-pem 
 + REDEF SSL :: extract_certs_pem = all_hosts; 
 + 
 # Si ha libGeoIP soporte incorporado, hacer algunas detecciones geográficos y 
 # Registro para el tráfico SSH. 
 @ protocolos de carga / ssh /
Reiniciar Bro. 
 ~ # broctl 
 
 Bienvenido a BroControl 1.1 
 
 Tipo de "ayuda" para obtener ayuda. 
 
 [BroControl]> instalar 
 eliminando las viejas políticas en / nsm / hermano / spool / scripts instalados-do-no-touch / sitio ... hecho. 
 eliminando las viejas políticas en / nsm / hermano / spool / scripts instalados-do-no-touch / auto ... hecho. 
 la creación de directorios de política ... hecho. políticas del sitio de instalación /> 
 generación independiente-layout.bro ... hecho. 
 generación local networks.bro ... hecho. 
 generadora broctl-config.bro ... hecho. nodos de actualización /> 
 [BroControl]> Estado 
 Nombre Tipo Estado del host Pid Peers Comienza 
 bro localhost independiente en ejecución 3042 0 17 de febrero 13:22:42 
 [BroControl]> restart 
 parando ... 
 bro parar ... 
 
 establezcan ... bro establezcan ... 
 [BroControl]> 
 salida

Después de reiniciar tendrá un nuevo registro para todos los certificados SSL: 

 
 ls-al-certs remote.pem 
-rw-r - r - 1 root root 31907 23 de febrero 02 : 05 certs-remote.pem

nuevos certs se anexan al archivo como Bro las ve. Un certificado se parece a esto: 

 ----- BEGIN CERTIFICATE ----- 
 MIIGYjCCBUqgAwIBAgIQdyRQbU + ah51Lxm5niPJgyTANBgkqhkiG9w0BAQUFADCB 
 
 ujELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL ExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTswOQYDVQQLEzJUZXJtcyBvZiB1c2Ug 
 YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYSAoYykwNjE0MDIGA1UEAxMr 
 VmVyaVNpZ24gQ2xhc3MgMyBFeHRlbmRlZCBWYWxpZGF0aW9uIFNTTCBDQTAeFw0x 
 
 MjAyMjkwMDAwMDBaFw0xMzAyMjgyMzU5NTlaMIIBJjETMBEGCysGAQQBgjc8AgED EwJVUzEZMBcGCysGAQQBgjc8AgECEwhEZWxhd2FyZTEdMBsGA1UEDxMUUHJpdmF0 
 
 ZSBPcmdhbml6YXRpb24xEDAOBgNVBAUTBzI5Mjc0NDIxCzAJBgNVBAYTAlVTMQ4w DAYDVQQRFAU2MDYwMzERMA8GA1UECBMISWxsaW5vaXMxEDAOBgNVBAcUB0NoaWNh 
 
 Z28xGjAYBgNVBAkUETEzNSBTIExhIFNhbGxlIFN0MSQwIgYDVQQKFBtCYW5rIG9m IEFtZXJpY2EgQ29ycG9yYXRpb24xHzAdBgNVBAsUFk5ldHdvcmsgSW5mcmFzdHJ1 
 
 Y3R1cmUxHjAcBgNVBAMUFXd3dy5iYW5rb2ZhbWVyaWNhLmNvbTCCASIwDQYJKoZI hvcNAQEBBQADggEPADCCAQoCggEBAL3mUutqncWzNlwQNaM6IJdaadkQtUBvVnyp 
 obSS69GgKykAiQlx8QZQGbPCpJmHxmd7gz1JRnDntjp7N6Pg/cC47RvH2GOEgBdP 
 oGjaqMIprDXWSOgsBg7sBG0Qu9jPdAwHKhl0pv + wbkIBY2hn2XAxM2EWmqakjbp7 
 
 ArUkrYV1/qI1LIUPoO5oGsGXYBLTafAy4fO8auz/gqYxfciUj9mWi09PAqhnB5eU jPYqu4yF6SA1V46AhC4cmaSZdH18ZmO6onp344tvjyJOn86Erb0VPmFfc8EgbLfK 
 paheO7GropabCr/TKV6fhSuwcp7sDs1SC2PJhV + w6/0ZUqpp9B8CAwEAAaOCAfMw 
 
 ggHvMAkGA1UdEwQCMAAwHQYDVR0OBBYEFK333BMwfBgnezSDatzj3Y2KbimNMAsG A1UdDwQEAwIFoDBCBgNVHR8EOzA5MDegNaAzhjFodHRwOi8vRVZTZWN1cmUtY3Js 
 
 LnZlcmlzaWduLmNvbS9FVlNlY3VyZTIwMDYuY3JsMEQGA1UdIAQ9MDswOQYLYIZI AYb4RQEHFwYwKjAoBggrBgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29t 
 
 L3JwYTAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwHwYDVR0jBBgwFoAU / IpQup65JVp7VYVPlQBjj + lYa0MwfAYIKwYBBQUHAQEEcDBuMC0GCCsGAQUFBzAB 
 
 hiFodHRwOi8vRVZTZWN1cmUtb2NzcC52ZXJpc2lnbi5jb20wPQYIKwYBBQUHMAKG MWh0dHA6Ly9FVlNlY3VyZS1haWEudmVyaXNpZ24uY29tL0VWU2VjdXJlMjAwNi5j 
 
 ZXIwbgYIKwYBBQUHAQwEYjBgoV6gXDBaMFgwVhYJaW1hZ2UvZ2lmMCEwHzAHBgUr DgMCGgQUS2u5KJYGDLvQUjibKaxLB4shBRgwJhYkaHR0cDovL2xvZ28udmVyaXNp 
 
 Z24uY29tL3ZzbG9nbzEuZ2lmMA0GCSqGSIb3DQEBBQUAA4IBAQB31shk3CQ/jMfz O1h6qCm + + OeWUqgCvmAf26JoBx9hiHx sWj1 / z11rLp3oEt7fiqFsj76zWXAdhyH0 
 bp/sPGxAD7VQJEiAvtUR7015OUyNo + qnwJk2rZNlvwZydtsEmnYywVEgLQuFm962 
 csbbjmAqE + + ODT9wk6jbIplfqhnSj2AL4xTNS2Rj3 jKsXlZvzCBdXs8Ewq9IwocL 
 UpaWV6ObhXsxkgFon/KX0fS9TAams4RaPwIJzvr5ExE + NSyaufs1utdKoEwUaoS1 
 2Z1QVtxiueNgdFKoTATfODowb1C + IDEPJmY0urBzEhdrsMECtYxJVYBDAhbhocG6 
 
 yYpg3ayS ----- END CERTIFICATE -----

OpenSSL puede leerlos uno a la vez, por ejemplo: 

 
 openssl x509-in-certs remote.pem de texto noout 
 Certificado: 
 datos: 
 Versión: 3 (0x2) 
 Número de serie: 
 77:24:50:6 d: 4f: 9a: 87:9 d: 4b: c6: 6e : 67:88: f2: 60: c9 
 Algoritmo de firma: sha1WithRSAEncryption 
 Emisor: C = EE.UU., O = VeriSign, Inc., OU = VeriSign Trust Network, OU = Términos de uso en https:/ / www.verisign.com / RPA (c) 06, CN = clase 3 de VeriSign Extended Validation SSL CA 
 
 No antes de las: 29 de febrero 2012 00:00:00 GMT 
 No después de: 28 de febrero 2013 23:59:59 GMT 
 Asunto: 1.3.6.1.4.1.311.60.2.1.3 = US/1.3.6.1.4.1.311.60.2.1.2 = Delaware / businessCategory = Organización privada / serialNumber = 2927442, C = EE.UU. / postalCode = 60603, ST = Illinois, Chicago L = / = calle 135 S La Salle St, O = Bank of America Corporation, Infraestructura OU = Red, CN = www.bankofamerica.com 
 Asunto Información de clave pública: 
 Algoritmo de clave pública: rsaEncryption 
-Llave Pública: (2048 bit) Módulo />  00: bd: e6: 52: eb: 6a: 9d: c5 : b3: 36:5 c: 10:35: a3: 3a: 
 20:97:5 A: 69: d9: 10: b5: 40:6 f: 56:7 c: a9: a1: b4: 92: 
 eb: d1: a0: 2b: 29:00:89:09:71: f1: 06:50:19: b3: c2: 
 a4: 99:87: c6: 67:7 b: 83 : 3d: 49:46:70: e7: b6: 3a: 7b: 
 37: a3: e0: fd: c0: b8: ed: 1b: c7: d8: 63:84:80:17:4 f : 
 a0: 68: da: a8: c2: 29: AC: 35: d6: 48: e8: 2c: 06:00 e: ec: 
 04:06 d: 10: bb: d8: cf : 74:0 c: 07:02 a: 19:74: a6: ff: b0: 
 6e: 42:01:63:68:67: d9: 70:31:33:61:16:9 a: a6 : a4: /> 
 a0: ee: 68:1 a: c1 : 97:60:12: d3: 69: F0: 32: e1: f3: bc: 
 6a: ec: ff: 82: a6: 31:7 d: c8: 94:8 f: d9: 96:8 b : 4f: 4f: 
 02: a8: 67:07:97:94:8 c: f6: 2a: bb: 8c: 85: e9: 20:35: 
 57:8 e: 80:84 : 2e: 1c: 99: a4: 99:74:7 d: 7c: 66:63: ba: 
 a2: 7a: 77: e3: 8b: 6f: 8f: 22:04 e: 9f: CE: 84 : ad: bd: 15: 
 3e: 61:5 f: 73: c1: 20:06 c: b7: ca: a5: a8: 5e: 3b: b1: ab: 
 a2: 96:9 b : 0a: bf: d3: 29:5 e: 9f: 85:2 b: b0: 72:9 e: ec: 
 0e: cd: 52:0 b: 63: c9: 85:5 f: b0: eb: fd : 19:52: aa: 69: 
 f4: 1f 
 Exponente: 65537 (0x10001) 
 extensiones X509v3: 
 X509v3 Restricciones básicas: /> 
 X509v3 Asunto clave de identificación: 
 AD: F7: DC: 13:30:07 C: 18:27:07 B: 34:83:6 A: DC: E3: DD: 8D: 8A: 6E: 29:8 D 
 X509v3 Utilización de claves: 
 firma digital, cifrado de clave 
 X509v3 CRL Distribution Points: 
 
 Nombre Completo: 
 URI: http://EVSecure-crl .verisign.com/EVSecure2006.crl 
 
 Políticas Certificado X509v3: 
 Política: 2.16.840.1.113733.1.7.23.6 /> 
 
 X509v3 Extended Key Usage: 
 TLS Web Authentication Server, TLS Autenticación del cliente Web 
 X509v3 Autoridad identificador de clave: 
 keyid: FC: 8A: 50: BA : 9E: B9: 25:5 A: 7B: 55:85:4 F: 95:00:63:8 F: E9: 58:6 B: 43 
 
 Acceso a la información: 
 OCSP - URI: http://EVSecure-ocsp.verisign.com 
 Emisores CA - URI: http://EVSecure-aia.verisign.com/EVSecure2006.cer 
 
 1.3.6.1.5.5 .7.1.12:.!...! 
 0 `^ .Z0X0V..image/gif0 0,0 ... + ...... Kk (. ..... R8) K. .. . 0 & $  http://logo.verisign.com/vslogo1.gif 
 Algoritmo de firma: sha1WithRSAEncryption 
 77: d6: c8: 64: cc: 24:3 f: 8c: c7: f3: 3b: 58:7 a: a8: 29: ser: 39: e5: 
 94: aa: 00: af: 98:07: f6: e8: 9a: 01: c7: d8: 62:1 f: 1f: ac: 5a: 3d: 
 7f: cf: 5d: 6b: 2e: 9d: e8: 12: de: df: 8a: a1: 6c: 8f: ser: b3: 59:70: 
 1d: 87:21: F4: 6e: 9f: ec: 3c: 6c: 40:0 f: b5: 50:24:48:80: ser: d5: 
 11: ef: 4d: 79:39:4 c: 8d: a3: ea: a7: c0: 99:36: ad: 93:65: bf: 06: 
 72:76: db: 04:09 a: 76:32: c1: 51:20:2 d: 0b: 85:9 b: de: b6: 72: c6: 
 db: 8e: 60:2 a: 13: e3: 83:4 f: cc: 24: ea: 36: c8: a6: 57: ea: 86:74: 
 a3: d8: 02: f8: c5: 33:52: d9: 18: f7: fa: 32: ac: 5e: 56:6 f: cc: 20: 
 5d: 5e: cf: 04: c2: af: 48: c2: 87:0 b: 52:96:96:57: a3: 9b: 85:7 b: 
 31:92:01:68:9 f: f2: 97: d1: f4: bd: 4c: 06: a6: b3: 84:5 a: 3f: 02: 
 09: ce: fa: f9: 13:11:03 e: 35:2 c: 9a: b9: fb: 35: ba: d7: 4a: a0: 4c: 
 14:06 a: 84: b5: d9: 9d: 50:56: dc: 62: b9: e3: 60:74:52: a8: 4c: 04: 
 df: 38:3 a: 30:6 f: 50: ser: 20:31:00 f: 26:66:34: ba: b0: 73:12:17: 
 6b: b0: c1: 02: b5: 8c: 49:55:80:43:02:16: e1: a1: c1: ba: c9: 8a: 
 60: dd: ac: 92

Como cada cert tiene un encabezado y pie de página estándar, apuesto a que alguien podría escribir un analizador para extraer cada cert del archivo certs-remote.pem a los archivos separados. Muchas gracias Seth!

Tweet

Derechos de autor 2003-2012 Richard Bejtlich y TaoSecurity (taosecurity.blogspot.com y www.taosecurity.com)

Posts Relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *