【发布时间】:2014-11-04 21:33:46
【问题描述】:
许多供应商即将关闭 SSLv3,我正在寻找一种方法来记录来自服务器的所有出站连接,以确保他们使用 TLS 而不是 SSL。目前供应商都支持这两者,但如果我们使用 TLS 而不是 SSL,我想记录一下,以防丢失任何代码。
具体查看使用 iptables 并放入 syslog:使用 IP 信息建立的 TLS 连接。我不需要对实际传输进行解码,只需使用 TLS 验证即可。
提前谢谢你!
【问题讨论】:
【发布时间】:2014-11-04 21:33:46
【问题描述】:
如果您在 SSL Hello 中查找握手和版本,您可以检测到: 使用 u32 模块查找带有 SSLV3 签名的 SSL 客户端 hello 数据包:
iptables -I OUTPUT 1 \
-p tcp \! -f --dport 443 \
-m state --state ESTABLISHED -m u32 --u32 \
"0>>22&0x3C@ 12>>26&0x3C@ 0 & 0xFFFFFF00=0x16030000 && \
0>>22&0x3C@ 12>>26&0x3C@ 2 & 0xFF=0x01 && \
0>>22&0x3C@ 12>>26&0x3C@ 7 & 0xFFFF=0x0300" \
-j LOG --log-prefix "SSLv3 Client Hello detected: " # or -j DROP ...
来自HERE,第一次google返回“iptables ssl 3”
【讨论】:
您需要进行深度数据包检查。 SSLv3 和 TLS 使用相同的端口/协议。区别主要在于握手。
【讨论】: