Journalisation de la suite cryptographique SSL utilisée dans Windows Server 2008 R2

7

Existe-t-il un moyen de voir / de consigner les suites de chiffrement utilisées (activement) pour établir des connexions SSL sur Windows Server 2008 R2?
Idéalement, à la demande, comme une colonne supplémentaire dans les journaux IIS.

Frederik
la source

Réponses:

7

Les journaux IIS ne vous aideront pas ici, car la connexion SSL est négociée avant que tout trafic de couche HTTP / application ne commence à circuler.

Mais ce que vous pouvez faire c'est:

C:\Windows\system32>netsh trace start capture=yes

Trace configuration:
-------------------------------------------------------------------
Status:             Running
Trace File:         C:\Users\Ryan\AppData\Local\Temp\NetTraces\NetTrace.etl
Append:             Off
Circular:           On
Max Size:           250 MB
Report:             Off


C:\Windows\system32>netsh trace stop
Correlating traces ... done
Generating data collection ... done
The trace file and additional troubleshooting information have been compiled as "C:\Users\Ryan\AppData\Local\Temp\NetTraces\NetTrace.cab".
File location = C:\Users\Ryan\AppData\Local\Temp\NetTraces\NetTrace.etl
Tracing session was successfully stopped.

Vous pouvez ouvrir ce fichier ETL avec Windows Performance Analyzer, mais également avec NetMon. (Ce dernier sera probablement plus utile pour vous.)

http://blogs.technet.com/b/mrsnrub/archive/2009/09/10/capturing-network-traffic-in-windows-7-server-2008-r2.aspx

Voici une capture d'écran de ce fichier de trace que je viens de générer:

(Ouvrir dans un nouvel onglet pour voir la taille réelle)

Netmon Trace

Edit: pour trouver le mode de chiffrement exact utilisé, localisez les paquets "HandShake: Server Hello":

Netmon 2

Voici un article de support technique Microsoft vous expliquant comment interpréter les octets du paquet manuellement, mais Netmon le fera pour vous.

Vous pouvez créer un filtre de trace de paquet ne contenant que des paquets de cette nature. S'il y a un meilleur moyen d'obtenir ces données, j'aimerais le savoir.

Ryan Ries
la source
Proche. À l'origine, j'avais accepté la réponse, mais je ne peux pas en déduire quelle est la suite de chiffrement utilisée. "TLS 1.0" est trop vague. Je vois dans le paquet de prise de contact un ensemble de suites offertes ("TLSCipherSuites: TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA {0x00, 0x88} etc", mais je ne peux pas dire laquelle est sélectionnée.
Frederik
Pour un crédit supplémentaire - je préférerais quelque chose qui récupère moins de données que ETL - tout ce dont j'ai besoin est un journal historique des suites de chiffrement utilisées.
Frederik
1
Edité mon post. Oui, le mode de chiffrement précis est également présent.
Ryan Ries
Qu'en est-il de la surveillance constante pour collecter des statistiques sur les protocoles / suites utilisés sur le serveur? La trace est-elle appropriée pour fonctionner sur le serveur Web 24/7 en termes de performances? Bien sûr, netsh peut être limité pour capturer un sous-ensemble de trafic (comme un port, ne sachant pas que seule la poignée de main TLS peut être filtrée), mais quelle serait l'opinion de la communauté?
Janis Veinbergs le