Usando Bro Entra certificados SSL

Recuerdo usando una versión anterior de Bro para registrar los certificados SSL extraídos del alambre. La versión incluida en la Seguridad cebolla es nuevo y que la funcionalidad no parece ser activado por defecto. Le pregunté a Seth Sala acerca de esta característica, y él me dijo cómo llegar Bro para registrar todos los certificados SSL que se ve.

Editar / opt / bro / share / bro / site / local.bro para contener los cambios como se muestra a continuación.

 
diff-u / opt / bro / share / bro / site / local.bro.orig / opt / bro / share / bro / site / local.bro
--- / opt / bro / share / bro / site / local.bro.orig 23/02/2013 01:54:53.291457193 0000
+ + + / opt / bro / share / bro / site / local.bro 2013 -02-23 01:55:16.151996423 0000
@ @ -56,6 +56,10 @ @
# Este script permite la validación de certificados SSL / TLS.
@ protocolos de carga / ssl / validan-certs

+ # Entrar certs por Seth
+ @ protocolos de carga / ssl / certs-extracto-pem
+ REDEF SSL :: extract_certs_pem = all_hosts;
+
# Si ha libGeoIP soporte incorporado, hacer algunas detecciones geográficos y
# Registro para el tráfico SSH.
@ protocolos de carga / ssh /
Reiniciar Bro.
 ~ # broctl 

Bienvenido a BroControl 1.1

Tipo de "ayuda" para obtener ayuda.

[BroControl]> instalar
eliminando las viejas políticas en / nsm / hermano / spool / scripts instalados-do-no-touch / sitio ... hecho.
eliminando las viejas políticas en / nsm / hermano / spool / scripts instalados-do-no-touch / auto ... hecho.
la creación de directorios de política ... hecho. políticas del sitio de instalación />
generación independiente-layout.bro ... hecho.
generación local networks.bro ... hecho.
generadora broctl-config.bro ... hecho. nodos de actualización />
[BroControl]> Estado
Nombre Tipo Estado del host Pid Peers Comienza
bro localhost independiente en ejecución 3042 0 17 de febrero 13:22:42
[BroControl]> restart
parando ...
bro parar ...

establezcan ... bro establezcan ...
[BroControl]>
salida

Después de reiniciar tendrá un nuevo registro para todos los certificados SSL:

 
ls-al-certs remote.pem
-rw-r - r - 1 root root 31907 23 de febrero 02 : 05 certs-remote.pem

nuevos certs se anexan al archivo como Bro las ve. Un certificado se parece a esto:

 ----- BEGIN CERTIFICATE ----- 
MIIGYjCCBUqgAwIBAgIQdyRQbU + ah51Lxm5niPJgyTANBgkqhkiG9w0BAQUFADCB

ujELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL ExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTswOQYDVQQLEzJUZXJtcyBvZiB1c2Ug
YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYSAoYykwNjE0MDIGA1UEAxMr
VmVyaVNpZ24gQ2xhc3MgMyBFeHRlbmRlZCBWYWxpZGF0aW9uIFNTTCBDQTAeFw0x

MjAyMjkwMDAwMDBaFw0xMzAyMjgyMzU5NTlaMIIBJjETMBEGCysGAQQBgjc8AgED EwJVUzEZMBcGCysGAQQBgjc8AgECEwhEZWxhd2FyZTEdMBsGA1UEDxMUUHJpdmF0

ZSBPcmdhbml6YXRpb24xEDAOBgNVBAUTBzI5Mjc0NDIxCzAJBgNVBAYTAlVTMQ4w DAYDVQQRFAU2MDYwMzERMA8GA1UECBMISWxsaW5vaXMxEDAOBgNVBAcUB0NoaWNh

Z28xGjAYBgNVBAkUETEzNSBTIExhIFNhbGxlIFN0MSQwIgYDVQQKFBtCYW5rIG9m IEFtZXJpY2EgQ29ycG9yYXRpb24xHzAdBgNVBAsUFk5ldHdvcmsgSW5mcmFzdHJ1

Y3R1cmUxHjAcBgNVBAMUFXd3dy5iYW5rb2ZhbWVyaWNhLmNvbTCCASIwDQYJKoZI hvcNAQEBBQADggEPADCCAQoCggEBAL3mUutqncWzNlwQNaM6IJdaadkQtUBvVnyp
obSS69GgKykAiQlx8QZQGbPCpJmHxmd7gz1JRnDntjp7N6Pg/cC47RvH2GOEgBdP
oGjaqMIprDXWSOgsBg7sBG0Qu9jPdAwHKhl0pv + wbkIBY2hn2XAxM2EWmqakjbp7

ArUkrYV1/qI1LIUPoO5oGsGXYBLTafAy4fO8auz/gqYxfciUj9mWi09PAqhnB5eU jPYqu4yF6SA1V46AhC4cmaSZdH18ZmO6onp344tvjyJOn86Erb0VPmFfc8EgbLfK
paheO7GropabCr/TKV6fhSuwcp7sDs1SC2PJhV + w6/0ZUqpp9B8CAwEAAaOCAfMw

ggHvMAkGA1UdEwQCMAAwHQYDVR0OBBYEFK333BMwfBgnezSDatzj3Y2KbimNMAsG A1UdDwQEAwIFoDBCBgNVHR8EOzA5MDegNaAzhjFodHRwOi8vRVZTZWN1cmUtY3Js

LnZlcmlzaWduLmNvbS9FVlNlY3VyZTIwMDYuY3JsMEQGA1UdIAQ9MDswOQYLYIZI AYb4RQEHFwYwKjAoBggrBgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29t

L3JwYTAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwHwYDVR0jBBgwFoAU / IpQup65JVp7VYVPlQBjj + lYa0MwfAYIKwYBBQUHAQEEcDBuMC0GCCsGAQUFBzAB

hiFodHRwOi8vRVZTZWN1cmUtb2NzcC52ZXJpc2lnbi5jb20wPQYIKwYBBQUHMAKG MWh0dHA6Ly9FVlNlY3VyZS1haWEudmVyaXNpZ24uY29tL0VWU2VjdXJlMjAwNi5j

ZXIwbgYIKwYBBQUHAQwEYjBgoV6gXDBaMFgwVhYJaW1hZ2UvZ2lmMCEwHzAHBgUr DgMCGgQUS2u5KJYGDLvQUjibKaxLB4shBRgwJhYkaHR0cDovL2xvZ28udmVyaXNp

Z24uY29tL3ZzbG9nbzEuZ2lmMA0GCSqGSIb3DQEBBQUAA4IBAQB31shk3CQ/jMfz O1h6qCm + + OeWUqgCvmAf26JoBx9hiHx sWj1 / z11rLp3oEt7fiqFsj76zWXAdhyH0
bp/sPGxAD7VQJEiAvtUR7015OUyNo + qnwJk2rZNlvwZydtsEmnYywVEgLQuFm962
csbbjmAqE + + ODT9wk6jbIplfqhnSj2AL4xTNS2Rj3 jKsXlZvzCBdXs8Ewq9IwocL
UpaWV6ObhXsxkgFon/KX0fS9TAams4RaPwIJzvr5ExE + NSyaufs1utdKoEwUaoS1
2Z1QVtxiueNgdFKoTATfODowb1C + IDEPJmY0urBzEhdrsMECtYxJVYBDAhbhocG6

yYpg3ayS ----- END CERTIFICATE -----

OpenSSL puede leerlos uno a la vez, por ejemplo:

 
openssl x509-in-certs remote.pem de texto noout
Certificado:
datos:
Versión: 3 (0x2)
Número de serie:
77:24:50:6 d: 4f: 9a: 87:9 d: 4b: c6: 6e : 67:88: f2: 60: c9
Algoritmo de firma: sha1WithRSAEncryption
Emisor: C = EE.UU., O = VeriSign, Inc., OU = VeriSign Trust Network, OU = Términos de uso en https:/ / www.verisign.com / RPA (c) 06, CN = clase 3 de VeriSign Extended Validation SSL CA

No antes de las: 29 de febrero 2012 00:00:00 GMT
No después de: 28 de febrero 2013 23:59:59 GMT
Asunto: 1.3.6.1.4.1.311.60.2.1.3 = US/1.3.6.1.4.1.311.60.2.1.2 = Delaware / businessCategory = Organización privada / serialNumber = 2927442, C = EE.UU. / postalCode = 60603, ST = Illinois, Chicago L = / = calle 135 S La Salle St, O = Bank of America Corporation, Infraestructura OU = Red, CN = www.bankofamerica.com
Asunto Información de clave pública:
Algoritmo de clave pública: rsaEncryption
-Llave Pública: (2048 bit) Módulo /> 00: bd: e6: 52: eb: 6a: 9d: c5 : b3: 36:5 c: 10:35: a3: 3a:
20:97:5 A: 69: d9: 10: b5: 40:6 f: 56:7 c: a9: a1: b4: 92:
eb: d1: a0: 2b: 29:00:89:09:71: f1: 06:50:19: b3: c2:
a4: 99:87: c6: 67:7 b: 83 : 3d: 49:46:70: e7: b6: 3a: 7b:
37: a3: e0: fd: c0: b8: ed: 1b: c7: d8: 63:84:80:17:4 f :
a0: 68: da: a8: c2: 29: AC: 35: d6: 48: e8: 2c: 06:00 e: ec:
04:06 d: 10: bb: d8: cf : 74:0 c: 07:02 a: 19:74: a6: ff: b0:
6e: 42:01:63:68:67: d9: 70:31:33:61:16:9 a: a6 : a4: />
a0: ee: 68:1 a: c1 : 97:60:12: d3: 69: F0: 32: e1: f3: bc:
6a: ec: ff: 82: a6: 31:7 d: c8: 94:8 f: d9: 96:8 b : 4f: 4f:
02: a8: 67:07:97:94:8 c: f6: 2a: bb: 8c: 85: e9: 20:35:
57:8 e: 80:84 : 2e: 1c: 99: a4: 99:74:7 d: 7c: 66:63: ba:
a2: 7a: 77: e3: 8b: 6f: 8f: 22:04 e: 9f: CE: 84 : ad: bd: 15:
3e: 61:5 f: 73: c1: 20:06 c: b7: ca: a5: a8: 5e: 3b: b1: ab:
a2: 96:9 b : 0a: bf: d3: 29:5 e: 9f: 85:2 b: b0: 72:9 e: ec:
0e: cd: 52:0 b: 63: c9: 85:5 f: b0: eb: fd : 19:52: aa: 69:
f4: 1f
Exponente: 65537 (0x10001)
extensiones X509v3:
X509v3 Restricciones básicas: />
X509v3 Asunto clave de identificación:
AD: F7: DC: 13:30:07 C: 18:27:07 B: 34:83:6 A: DC: E3: DD: 8D: 8A: 6E: 29:8 D
X509v3 Utilización de claves:
firma digital, cifrado de clave
X509v3 CRL Distribution Points:

Nombre Completo:
URI: http://EVSecure-crl .verisign.com/EVSecure2006.crl

Políticas Certificado X509v3:
Política: 2.16.840.1.113733.1.7.23.6 />

X509v3 Extended Key Usage:
TLS Web Authentication Server, TLS Autenticación del cliente Web
X509v3 Autoridad identificador de clave:
keyid: FC: 8A: 50: BA : 9E: B9: 25:5 A: 7B: 55:85:4 F: 95:00:63:8 F: E9: 58:6 B: 43

Acceso a la información:
OCSP - URI: http://EVSecure-ocsp.verisign.com
Emisores CA - URI: http://EVSecure-aia.verisign.com/EVSecure2006.cer

1.3.6.1.5.5 .7.1.12:.!...!
0 `^ .Z0X0V..image/gif0 0,0 ... + ...... Kk (. ..... R8) K. .. . 0 & $ http://logo.verisign.com/vslogo1.gif
Algoritmo de firma: sha1WithRSAEncryption
77: d6: c8: 64: cc: 24:3 f: 8c: c7: f3: 3b: 58:7 a: a8: 29: ser: 39: e5:
94: aa: 00: af: 98:07: f6: e8: 9a: 01: c7: d8: 62:1 f: 1f: ac: 5a: 3d:
7f: cf: 5d: 6b: 2e: 9d: e8: 12: de: df: 8a: a1: 6c: 8f: ser: b3: 59:70:
1d: 87:21: F4: 6e: 9f: ec: 3c: 6c: 40:0 f: b5: 50:24:48:80: ser: d5:
11: ef: 4d: 79:39:4 c: 8d: a3: ea: a7: c0: 99:36: ad: 93:65: bf: 06:
72:76: db: 04:09 a: 76:32: c1: 51:20:2 d: 0b: 85:9 b: de: b6: 72: c6:
db: 8e: 60:2 a: 13: e3: 83:4 f: cc: 24: ea: 36: c8: a6: 57: ea: 86:74:
a3: d8: 02: f8: c5: 33:52: d9: 18: f7: fa: 32: ac: 5e: 56:6 f: cc: 20:
5d: 5e: cf: 04: c2: af: 48: c2: 87:0 b: 52:96:96:57: a3: 9b: 85:7 b:
31:92:01:68:9 f: f2: 97: d1: f4: bd: 4c: 06: a6: b3: 84:5 a: 3f: 02:
09: ce: fa: f9: 13:11:03 e: 35:2 c: 9a: b9: fb: 35: ba: d7: 4a: a0: 4c:
14:06 a: 84: b5: d9: 9d: 50:56: dc: 62: b9: e3: 60:74:52: a8: 4c: 04:
df: 38:3 a: 30:6 f: 50: ser: 20:31:00 f: 26:66:34: ba: b0: 73:12:17:
6b: b0: c1: 02: b5: 8c: 49:55:80:43:02:16: e1: a1: c1: ba: c9: 8a:
60: dd: ac: 92

Como cada cert tiene un encabezado y pie de página estándar, apuesto a que alguien podría escribir un analizador para extraer cada cert del archivo certs-remote.pem a los archivos separados. Muchas gracias Seth!

Tweet

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *