보안상의 이슈로 F5 로 HTTPS 접근시 tls v1.1, v1.0 등을 네고 할 수 없도록 제외 하는 경우의 설명입니다.


TLS 1.0, 1.1 취약버전 버전 제거(GUI 에서는 설정불가)


root@(SeverfarmFW1)(cfg-sync Disconnected)(Active)(/Common)(tmos)# modify /sys httpd ssl-ciphersuite 'ALL:!ADH:!EXPORT:!eNULL:!MD5:!DES:!SSLv2:!SSLv3:!TLSv1:!TLSv1.1'


root@(SeverfarmFW1)(cfg-sync Disconnected)(Active)(/Common)(tmos)# save sys config


변경 후 아래와 같이 PC 의 브라우져에 셋팅 후 테스트 합니다.


현재 F5 로 HTTPS 접근 시 사용하는 cipher는 list /sys httpd ssl-ciphersuite 명령어로 확인 가능하며, 버전별로 차이가 있음.

 출력 예> ssl-ciphersuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES128-SHA256:AES256-SHA256


현재 장비에서 사용하는 ssh 프로토콜 버전

-> MACs: hmac-sha1,hmac-sha2-256,hmac-sha2-512

-> 해당 버전들은 조정 가능

-> https://support.f5.com/csp/article/K80425458(참고 벤더 링크)