tmm --clientciphers 'DEFAULT'

F5’teki Default SSL Cipher Listesini Görüntüleme

BIG-IP F5 LTM üzerinde çalıştırılan komut çıktısı aşağıda paylaşılmıştır.

IANA SSL Cipher’larının F5’teki Karşılıkları

IANA (Internet Assigned Numbers Authority) ‘da paylaşılan SSL Cipher’larının HEX karşılıklarını F5 LTM üzerinde kullanılan Default Cipher  grubunda bulmak için aşağıdaki komut kullanılabilirsiniz.

tmm --clientciphers 'DEFAULT' | awk 'FNR > 1 {printf "ID %s (0x%x): %s %s\n", $2, $2, $3, $5}'

Güncel olarak IANA’da paylaşılan SSL Cipher’larının detaylarına ise IANA Cipher List linkinden ulaşabilirsiniz.

BIG-IP V15’de kullanılan Default Cipher Listesi

Aşağıdaki tabloda F5 V15.1.x versiyonlarında default olarak gelen clientssl profilindeki cipher setini ve detaylarını bulabilirsiniz.

TLS1.3 eğer özel olarak açılmazsa başlangıçta kapalı durumdadır. TLSv1.3 kullanmak istiyorsanız ilgili client SSL Profilindeki “Enabled Options” kısmından “No TLSv1.3” seçeneğini kaldırmanız gerekmektedir.

Kaynak: https://support.f5.com/csp/article/K02202090

BIG-IP V14.x’de Kullanılan Default Cipher Listesi

Aşağıdaki tabloda F5 V14.x versiyonlarında default olarak gelen clientssl profilindeki cipher setini ve detaylarını bulabilirsiniz.

Kaynak: https://support.f5.com/csp/article/K54125331

Websitenizin SSL Notunu Nasıl Öğrenirsiniz?

Aşağıdaki ekran görüntüsünde https://www.bntpro.com adresimizin Qualys SSL Labs websitesi üzerinde aldığı notu görebilirsiniz.

BNTPRO olarak F5 Eğitimlerinde önem verdiğimiz güvenlik konularından birisi olan kulllanılan SSL Cipher’lar artık günümüzde oldukça önem kazanmaya başlamış durumda. F5 Yük Dengeleyici cihazlarında cipher sıkılaştırması yapmak oldukça kolay hale gelmiş durumdadır.

Zayıf cipher’ların kullanıldığı servislerdeki güvenlik açıklıkları uygulamalarda çok daha büyük sorunlara yol açabiliyorken şirketinizde gerçekleşen denetimlerde de başarısız olmanıza neden olmaktadır. Bu nedenle vakit kaybetmeden https://www.ssllabs.com/ssltest/,  https://observatory.mozilla.org/ gibi SSL güvenlik ayarlarınıza belirli kriterler ile not veren websitelerinde websitenizi/uygulamanızı test etmenizi ve gerekli önlemleri almanızı şiddetle önermekteyiz.

F5 üzerinde kullanılan en yaygın SSL metotları aşağıdaki gibidir.

• SSL Offloading
• SSL Bridging / SSL Re-Encryption / Full SSL Proxy / SSL Terminations ( Farklı kaynaklarda bu isimleri görebilirsiniz.
• SSL Passthrough

SSL Offloading

F5 gibi yük dengeleyicilerin en büyük avantajlarından biri kendi üzerinde SSL Offloading yapabilmesidir. F5 bu işlemi donanım seviyesinde yapabildiği için trafiği şifreleme işlemini son derece hızlı bir şekilde yapabilmektedir.

SSL Offloading yapmanın iki önemli avantajı vardır. Birincisi, SSL şifreleme işlemi trafik henüz sunucuya ulaşmadan F5 üzerinde yapıldığı için sunucu üzerindek ek yük oluşturmasını engellenir. İkincisi ise her sunucuya ayrı ayrı sertifika dosyalarını yüklemek yerine bütün SSL konfigurasyonunun F5 üzerinde yapılmasıdır.

SSL Offloading işlemi için, F5 üzerinde clientssl profili oluşturulup ilgili virtual server’a atanması yeterli olacaktır. Serverside tarafında bir SSL profiline gerek yoktur.

SSL Offload

SSL Bridging

Artık günümüzde yüksek güvenlik gereksinimi olan yapılarda trafik uçtan uca şifreli şekilde gönderilmesi gerekmektedr.

Bu durumlarda, SSL Offload yapmanın yanı sıra F5 ile sunucu arasındaki trafiğin de şifrelenmesi gerekir. Ancak aynı zamanda client trafiğinde bir değişiklik yapılması F5’in araya girmesini gerektiriyor. SSL bridging adı verilen bu yöntemde SSL trafik F5’de sonlandırıldıktan sonra eğer ihtiyaç varsa gerekli değişiklikler yapılıp sunucuya gönderilirken tekrar şifrelenir . Bunu yapmak için, clientSSL profiline ek olarak ServerSSL profilinin oluşturulması gerekmektedir.

SSL Passthrough

SSL Passthrough tipinde ise trafik BIG-IP F5 üzerinde şifrelenmiş bir şekilde geçmekte ve SSL sertifikaları sunucu üzerinde sonlandırılmaktadır.  Bu topoloji için F5 üzerinde clientssl ya da serverssl profili oluşturulmasına gerek bulunmuyor.