Я хотел бы отключить все, что старше TLS 1.2, на большом IP-адресе F5, и перед этим я хотел бы сообщить обо всех серверах, использующих старые шифры для исправления.
Даже если это просто список IP-адресов или вывод отладки, который я могу проанализировать, или как я могу получить аналогичные данные для того же?
Вы можете установить iRule, который будет регистрировать подключения к удаленному серверу журналов. Для этого потребуется сервер системного журнала и пул, который его содержит. Вы можете регистрировать все типы TLS, чтобы знать, какие хосты в порядке, а какие требуют обновления, это также помогает создавать отчет:
when HTTP_REQUEST {
set hsl [HSL::open -proto UDP -pool syslog_server_pool]
set time [clock format [clock seconds] -format "%d/%b/%Y:%H:%M:%S %Z"]
if {[SSL::cipher version] equals "TLSv1"} {
HSL::send $hsl "TLSv1 Request Detected: Time = $time, Client IP:Port = [IP::client_addr]:[TCP::client_port], F5 VIP:Port = [clientside {IP::local_addr}]:[clientside {TCP::local_port}]"
}
if {[SSL::cipher version] equals "TLSv1.1" } {
HSL::send $hsl "TLSv1.1 Request Detected: Time = $time, Client IP:Port = [IP::client_addr]:[TCP::client_port], F5 VIP:Port = [clientside {IP::local_addr}]:[clientside {TCP::local_port}]"
}
if {[SSL::cipher version] equals "TLSv1.2" } {
HSL::send $hsl "TLSv1.2 Request Detected: Time = $time, Client IP:Port = [IP::client_addr]:[TCP::client_port], F5 VIP:Port = [clientside {IP::local_addr}]:[clientside {TCP::local_port}]"
}
}