1. nmap 설치
# dnf -y install nmap
또는, https://nmap.org/download.html 에서 다운로드 하여 설치
2. 점검 (아래는 lawmin.tistory.com 에 대한 점검)
# nmap --script ssl-enum-ciphers -p 443 lawmin.tistory.com
3. 결과에서 아래 두 내용을 확인하여, 웹서버 SSL 설정을 변경, 재기동하여 조치하면 됩니다.
warnings: 없으면 양호
least strength: A 이면 양호
가령, 아래와 같이 나온 경우, 3DES 사용으로 인해 취약하여 C 등급이 나왔으므로,
해당 웹서버의 SSL cipher 설정을 찾아, :!3DES 를 붙여 줍니다. (:는 추가 나열, !는 사용하지 않겠다는 표시)
웹서버 재기동 후, 다시 nmap 테스트 해보면 A 등급을 확인할 수 있습니다.
1) Apache httpd (httpd.conf 등 확인)
SSLCipherSuite ...:!3DES
2) NGINX (nginx.conf 등 확인 )
ssl_ciphers '...:!3DES';
3) Tmaxsoft WebtoB (http.m 등 확인)
RequiredCiphers= "...:!3DES"
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
| compressors:
| NULL
| cipher preference: client
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
|_ least strength: C