F5 - SSL Ciphers anpassen
Die entsprechenden Cipher-Groups/ -strings sind auf der OpenSSL Seite gelistet:
Übersicht SSL Ciphers / SSL Client & Server profiles:
Cipher prüfen
Überprüfung konfigurierter Ciphers für eine Cipher-Group: tmm --clientciphers '<cipher-group>'
# e.g. show all ciphers in group DEFAULT
tmm --clientciphers 'DEFAULT'
# e.g. show all ciphers in group DEFAULT plus all MD5 ciphers
tmm --clientciphers 'DEFAULT:MD5'
# e.g. show all ciphers in group DEFAULT except all TLSv1 ciphers
tmm --clientciphers 'DEFAULT:!TLSv1'
Cipher konfigurieren
vHost SSL-Client Profil
Um für einen vHost die SSL(-Client) Ciphers anzupassen muss via Local Traffic -> Profiles -> SSL -> Client im Abschnitt "Ciphers" mittels "Custom" auf eine manuelle Konfiguration gewechselt werden und im entsprechenden Textfeld ein Wert gesetzt. (F5 Standard ist hier die Cipher-Group "DEFAULT"). Der korrekte String kann hier vorher auf der Konsole mit tmm --clientciphers geprüft werden (s.o.).
F5 Cipher Group
Auflistung Beispiel Cipher Groups
F5 10.2.3 DEFAULT Ciphers:
tmm --clientciphers 'DEFAULT'
ID SUITE BITS PROT METHOD CIPHER MAC KEYX
0: 5 RC4-SHA 128 SSL3 Native RC4 SHA RSA
1: 5 RC4-SHA 128 TLS1 Native RC4 SHA RSA
2: 5 RC4-SHA 128 TLS1.2 Native RC4 SHA RSA
3: 47 AES128-SHA 128 SSL3 Native AES SHA RSA
4: 47 AES128-SHA 128 TLS1 Native AES SHA RSA
5: 47 AES128-SHA 128 TLS1.2 Native AES SHA RSA
6: 47 AES128-SHA 128 DTLS1 Native AES SHA RSA
7: 53 AES256-SHA 256 SSL3 Native AES SHA RSA
8: 53 AES256-SHA 256 TLS1 Native AES SHA RSA
9: 53 AES256-SHA 256 TLS1.2 Native AES SHA RSA
10: 53 AES256-SHA 256 DTLS1 Native AES SHA RSA
11: 10 DES-CBC3-SHA 192 SSL3 Native DES SHA RSA
12: 10 DES-CBC3-SHA 192 TLS1 Native DES SHA RSA
13: 10 DES-CBC3-SHA 192 TLS1.2 Native DES SHA RSA
14: 10 DES-CBC3-SHA 192 DTLS1 Native DES SHA RSA
15: 60 AES128-SHA256 128 TLS1.2 Native AES SHA256 RSA
16: 61 AES256-SHA256 256 TLS1.2 Native AES SHA256 RSA