F5 - SSL Ciphers anpassen

Aus Laub-Home Wiki

Die entsprechenden Cipher-Groups/ -strings sind auf der OpenSSL Seite gelistet:

http://www.openssl.org/docs/apps/ciphers.html#CIPHER_STRINGS

Übersicht SSL Ciphers / SSL Client & Server profiles:

http://support.f5.com/kb/en-us/solutions/public/8000/800/sol8802.html

Cipher prüfen

Überprüfung konfigurierter Ciphers für eine Cipher-Group: tmm --clientciphers '<cipher-group>'

# e.g. show all ciphers in group DEFAULT
tmm --clientciphers 'DEFAULT'

# e.g. show all ciphers in group DEFAULT plus all MD5 ciphers
tmm --clientciphers 'DEFAULT:MD5'

# e.g. show all ciphers in group DEFAULT except all TLSv1 ciphers
tmm --clientciphers 'DEFAULT:!TLSv1'


Cipher konfigurieren

vHost SSL-Client Profil

Um für einen vHost die SSL(-Client) Ciphers anzupassen muss via Local Traffic -> Profiles -> SSL -> Client im Abschnitt "Ciphers" mittels "Custom" auf eine manuelle Konfiguration gewechselt werden und im entsprechenden Textfeld ein Wert gesetzt. (F5 Standard ist hier die Cipher-Group "DEFAULT"). Der korrekte String kann hier vorher auf der Konsole mit tmm --clientciphers geprüft werden (s.o.).

F5 Cipher Group

Auflistung Beispiel Cipher Groups

F5 10.2.3 DEFAULT Ciphers:

tmm --clientciphers 'DEFAULT'
     ID SUITE                          BITS  PROT  METHOD CIPHER MAC    KEYX
 0:   5 RC4-SHA                         128  SSL3  Native RC4    SHA    RSA
 1:   5 RC4-SHA                         128  TLS1  Native RC4    SHA    RSA
 2:   5 RC4-SHA                         128  TLS1.2  Native RC4  SHA    RSA
 3:  47 AES128-SHA                      128  SSL3  Native AES    SHA    RSA
 4:  47 AES128-SHA                      128  TLS1  Native AES    SHA    RSA
 5:  47 AES128-SHA                      128  TLS1.2  Native AES  SHA    RSA
 6:  47 AES128-SHA                      128  DTLS1  Native AES   SHA    RSA
 7:  53 AES256-SHA                      256  SSL3  Native AES    SHA    RSA
 8:  53 AES256-SHA                      256  TLS1  Native AES    SHA    RSA
 9:  53 AES256-SHA                      256  TLS1.2  Native AES  SHA    RSA
10:  53 AES256-SHA                      256  DTLS1  Native AES   SHA    RSA
11:  10 DES-CBC3-SHA                    192  SSL3  Native DES    SHA    RSA
12:  10 DES-CBC3-SHA                    192  TLS1  Native DES    SHA    RSA
13:  10 DES-CBC3-SHA                    192  TLS1.2  Native DES  SHA    RSA
14:  10 DES-CBC3-SHA                    192  DTLS1  Native DES   SHA    RSA
15:  60 AES128-SHA256                   128  TLS1.2  Native AES  SHA256 RSA
16:  61 AES256-SHA256                   256  TLS1.2  Native AES  SHA256 RSA