Назад | Перейти на главную страницу

Как я могу сообщить об узлах, использующих TLS 1.1 или более ранней версии?

Я хотел бы отключить все, что старше TLS 1.2, на большом IP-адресе F5, и перед этим я хотел бы сообщить обо всех серверах, использующих старые шифры для исправления.

Даже если это просто список IP-адресов или вывод отладки, который я могу проанализировать, или как я могу получить аналогичные данные для того же?

Вы можете установить iRule, который будет регистрировать подключения к удаленному серверу журналов. Для этого потребуется сервер системного журнала и пул, который его содержит. Вы можете регистрировать все типы TLS, чтобы знать, какие хосты в порядке, а какие требуют обновления, это также помогает создавать отчет:

when HTTP_REQUEST { set hsl [HSL::open -proto UDP -pool syslog_server_pool] set time [clock format [clock seconds] -format "%d/%b/%Y:%H:%M:%S %Z"] if {[SSL::cipher version] equals "TLSv1"} { HSL::send $hsl "TLSv1 Request Detected: Time = $time, Client IP:Port = [IP::client_addr]:[TCP::client_port], F5 VIP:Port = [clientside {IP::local_addr}]:[clientside {TCP::local_port}]" } if {[SSL::cipher version] equals "TLSv1.1" } { HSL::send $hsl "TLSv1.1 Request Detected: Time = $time, Client IP:Port = [IP::client_addr]:[TCP::client_port], F5 VIP:Port = [clientside {IP::local_addr}]:[clientside {TCP::local_port}]" } if {[SSL::cipher version] equals "TLSv1.2" } { HSL::send $hsl "TLSv1.2 Request Detected: Time = $time, Client IP:Port = [IP::client_addr]:[TCP::client_port], F5 VIP:Port = [clientside {IP::local_addr}]:[clientside {TCP::local_port}]" } }