date 11 Eylül 2021

Lamp  F5, Güvenlik Açıklıkları, LTM

F5 yük dengeleyici cihazlarında aktif olarak hizmet veren versiyonda default olarak hangi SSL Cipher’larının ve Protokollerinin kullanıldığını aşağıdaki komut yardımıyla bulabilirsiniz. SSLv2 SSLv3 gibi güvensiz protokoller mevcut F5 versiyonlarında default olarak desteklenmemektedir. Özellikle bu versiyonlarda bir servisi hizmet verir hale getirmek isterseniz kullandığınız ssl profillerinde bu protokollerin eklenmesi gerekmektedir.

tmm --clientciphers 'DEFAULT'

F5’teki Default SSL Cipher Listesini Görüntüleme

BIG-IP F5 LTM üzerinde çalıştırılan komut çıktısı aşağıda paylaşılmıştır.

Bntpro F5 Uzerinde Default SSL Cipher String Nasil Ogrenilir

 

IANA SSL Cipher’larının F5’teki Karşılıkları

IANA (Internet Assigned Numbers Authority) ‘da paylaşılan SSL Cipher’larının HEX karşılıklarını F5 LTM üzerinde kullanılan Default Cipher  grubunda bulmak için aşağıdaki komut kullanılabilirsiniz.

tmm --clientciphers 'DEFAULT' | awk 'FNR > 1 {printf "ID %s (0x%x): %s %s\n", $2, $2, $3, $5}'

Bntpro F5 Uzerinde Default SSL Cipher String Nasil Ogrenilir 1 3
Güncel olarak IANA’da paylaşılan SSL Cipher’larının detaylarına ise IANA Cipher List linkinden ulaşabilirsiniz.

 

BIG-IP V15’de kullanılan Default Cipher Listesi

Aşağıdaki tabloda F5 V15.1.x versiyonlarında default olarak gelen clientssl profilindeki cipher setini ve detaylarını bulabilirsiniz.

TLS1.3 eğer özel olarak açılmazsa başlangıçta kapalı durumdadır. TLSv1.3 kullanmak istiyorsanız ilgili client SSL Profilindeki “Enabled Options” kısmından “No TLSv1.3” seçeneğini kaldırmanız gerekmektedir.

Cipher suite (hex value) Bits Protocols Key exchange Authentication Cipher MAC
ECDHE-RSA-AES128-GCM-SHA256 (0xc02f) 128 TLS1.2 ECDHE RSA AES-GCM SHA256
ECDHE-RSA-AES128-CBC-SHA (0xc013) 128 TLS1, TLS1.1, TLS1.2 ECDHE RSA AES SHA
ECDHE-RSA-AES128-SHA256 (0xc027) 128 TLS1.2 ECDHE RSA AES SHA256
ECDHE-RSA-AES256-GCM-SHA384 (0xc030) 256 TLS1.2 ECDHE RSA AES-GCM SHA384
ECDHE-RSA-AES256-CBC-SHA (0xc014) 256 TLS1, TLS1.1, TLS1.2 ECDHE RSA AES SHA
ECDHE-RSA-AES256-SHA384 (0xc028) 256 TLS1.2 ECDHE RSA AES SHA384
AES128-GCM-SHA256 (0x9c) 128 TLS1.2 RSA RSA AES-GCM SHA256
AES128-SHA (0x2f) 128 TLS1, TLS1.1, TLS1.2, DTLS1 RSA RSA AES SHA
AES128-SHA256 (0x3c) 128 TLS1.2 RSA RSA AES SHA256
AES256-GCM-SHA384 (0x9d) 256 TLS1.2 RSA RSA AES-GCM SHA384
AES256-SHA (0x35) 256 TLS1, TLS1.1, TLS1.2, DTLS1 RSA RSA AES SHA
AES256-SHA256 (0x3d) 256 TLS1.2 RSA RSA AES SHA256
CAMELLIA128-SHA (0x41) 128 TLS1, TLS1.1, TLS1.2 RSA RSA CAMELLIA SHA
CAMELLIA256-SHA (0x84) 256 TLS1, TLS1.1, TLS1.2 RSA RSA CAMELLIA SHA
ECDHE-ECDSA-AES128-GCM-SHA256 (0xc02b) 128 TLS1.2 ECDHE ECDSA AES-GCM SHA256
ECDHE-ECDSA-AES128-SHA (0xc009) 128 TLS1, TLS1.1, TLS1.2 ECDHE ECDSA AES SHA
ECDHE-ECDSA-AES128-SHA256 (0xc023) 128 TLS1.2 ECDHE ECDSA AES SHA256
ECDHE-ECDSA-AES256-GCM-SHA384 (0xc02c) 256 TLS1.2 ECDHE ECDSA AES-GCM SHA384
ECDHE-ECDSA-AES256-SHA (0xc00a) 256 TLS1, TLS1.1, TLS1.2 ECDHE ECDSA AES SHA
ECDHE-ECDSA-AES256-SHA384 (0xc024) 256 TLS1.2 ECDHE ECDSA AES SHA384
DHE-RSA-AES128-GCM-SHA256 (0x9e) 128 TLS1.2 EDH RSA AES-GCM SHA256
DHE-RSA-AES128-SHA (0x33) 128 TLS1, TLS1.1, TLS1.2, DTLS1 EDH RSA AES SHA
DHE-RSA-AES128-SHA256 (0x67) 128 TLS1.2 EDH RSA AES SHA256
DHE-RSA-AES256-GCM-SHA384 (0x9f) 256 TLS1.2 EDH RSA AES-GCM SHA384
DHE-RSA-AES256-SHA (0x39) 256 TLS1, TLS1.1, TLS1.2, DTLS1 EDH RSA AES SHA
DHE-RSA-AES256-SHA256 (0x6b) 256 TLS1.2 EDH RSA AES SHA256
DHE-RSA-CAMELLIA128-SHA (0x45) 128 TLS1, TLS1.1, TLS1.2 EDH RSA CAMELLIA SHA
DHE-RSA-CAMELLIA256-SHA (0x88) 256 TLS1, TLS1.1, TLS1.2 EDH RSA CAMELLIA SHA
TLS13-AES128-GCM-SHA256 (0x1301) 128 TLS1.3 N/A N/A AES128-GCM SHA256
TLS13-AES256-GCM-SHA384 (0x1302) 256 TLS1.3 N/A N/A AES256-GCM SHA384

Kaynak: https://support.f5.com/csp/article/K02202090

 

BIG-IP V14.x’de Kullanılan Default Cipher Listesi

Aşağıdaki tabloda F5 V14.x versiyonlarında default olarak gelen clientssl profilindeki cipher setini ve detaylarını bulabilirsiniz.

Cipher suite (hex value) Bits Protocols Key exchange Authentication Cipher MAC
ECDHE-RSA-AES128-GCM-SHA256 (0xc02f) 128 TLS1.2 ECDHE RSA AES-GCM SHA256
ECDHE-RSA-AES128-CBC-SHA (0xc013) 128 TLS1, TLS1.1, TLS1.2 ECDHE RSA AES SHA
ECDHE-RSA-AES128-SHA256 (0xc027) 128 TLS1.2 ECDHE RSA AES SHA256
ECDHE-RSA-AES256-GCM-SHA384 (0xc030) 256 TLS1.2 ECDHE RSA AES-GCM SHA384
ECDHE-RSA-AES256-CBC-SHA (0xc014) 256 TLS1, TLS1.1, TLS1.2 ECDHE RSA AES SHA
ECDHE-RSA-AES256-SHA384 (0xc028) 256 TLS1.2 ECDHE RSA AES SHA384
AES128-GCM-SHA256 (0x9c) 128 TLS1.2 RSA RSA AES-GCM SHA256
AES128-SHA (0x2f) 128 TLS1, TLS1.1, TLS1.2, DTLS1 RSA RSA AES SHA
AES128-SHA256 (0x3c) 128 TLS1.2 RSA RSA AES SHA256
AES256-GCM-SHA384 (0x9d) 256 TLS1.2 RSA RSA AES-GCM SHA384
AES256-SHA (0x35) 256 TLS1, TLS1.1, TLS1.2, DTLS1 RSA RSA AES SHA
AES256-SHA256 (0x3d) 256 TLS1.2 RSA RSA AES SHA256
CAMELLIA128-SHA (0x41) 128 TLS1, TLS1.1, TLS1.2 RSA RSA CAMELLIA SHA
CAMELLIA256-SHA (0x84) 256 TLS1, TLS1.1, TLS1.2 RSA RSA CAMELLIA SHA
ECDHE-ECDSA-AES128-GCM-SHA256 (0xc02b) 128 TLS1.2 ECDHE ECDSA AES-GCM SHA256
ECDHE-ECDSA-AES128-SHA (0xc009) 128 TLS1, TLS1.1, TLS1.2 ECDHE ECDSA AES SHA
ECDHE-ECDSA-AES128-SHA256 (0xc023) 128 TLS1.2 ECDHE ECDSA AES SHA256
ECDHE-ECDSA-AES256-GCM-SHA384 (0xc02c) 256 TLS1.2 ECDHE ECDSA AES-GCM SHA384
ECDHE-ECDSA-AES256-SHA (0xc00a) 256 TLS1, TLS1.1, TLS1.2 ECDHE ECDSA AES SHA
ECDHE-ECDSA-AES256-SHA384 (0xc024) 256 TLS1.2 ECDHE ECDSA AES SHA384
DHE-RSA-AES128-GCM-SHA256 (0x9e) 128 TLS1.2 EDH RSA AES-GCM SHA256
DHE-RSA-AES128-SHA (0x33) 128 TLS1, TLS1.1, TLS1.2, DTLS1 EDH RSA AES SHA
DHE-RSA-AES128-SHA256 (0x67) 128 TLS1.2 EDH RSA AES SHA256
DHE-RSA-AES256-GCM-SHA384 (0x9f) 256 TLS1.2 EDH RSA AES-GCM SHA384
DHE-RSA-AES256-SHA (0x39) 256 TLS1, TLS1.1, TLS1.2, DTLS1 EDH RSA AES SHA
DHE-RSA-AES256-SHA256 (0x6b) 256 TLS1.2 EDH RSA AES SHA256
DHE-RSA-CAMELLIA128-SHA (0x45) 128 TLS1, TLS1.1, TLS1.2 EDH RSA CAMELLIA SHA
DHE-RSA-CAMELLIA256-SHA (0x88) 256 TLS1, TLS1.1, TLS1.2 EDH RSA CAMELLIA SHA
TLS13-AES128-GCM-SHA256 (0x1301) 128 TLS1.3 N/A N/A AES128-GCM SHA256
TLS13-AES256-GCM-SHA384 (0x1302) 256 TLS1.3 N/A N/A AES256-GCM SHA384

Kaynak: https://support.f5.com/csp/article/K54125331

 

Websitenizin SSL Notunu Nasıl Öğrenirsiniz?

Aşağıdaki ekran görüntüsünde https://www.bntpro.com adresimizin Qualys SSL Labs websitesi üzerinde aldığı notu görebilirsiniz.

bntpro ssllabs aplus note

 

BNTPRO olarak F5 Eğitimlerinde önem verdiğimiz güvenlik konularından birisi olan kulllanılan SSL Cipher’lar artık günümüzde oldukça önem kazanmaya başlamış durumda. F5 Yük Dengeleyici cihazlarında cipher sıkılaştırması yapmak oldukça kolay hale gelmiş durumdadır.

Zayıf cipher’ların kullanıldığı servislerdeki güvenlik açıklıkları uygulamalarda çok daha büyük sorunlara yol açabiliyorken şirketinizde gerçekleşen denetimlerde de başarısız olmanıza neden olmaktadır. Bu nedenle vakit kaybetmeden https://www.ssllabs.com/ssltest/https://observatory.mozilla.org/ gibi SSL güvenlik ayarlarınıza belirli kriterler ile not veren websitelerinde websitenizi/uygulamanızı test etmenizi ve gerekli önlemleri almanızı şiddetle önermekteyiz.