Nach 30 Jahren Open Source und Linux tue ich mich ja bekanntlich mit blind gehypten Herstellern und überteuerten Blackboxlösungen immer etwas schwer und habe in all den Jahren auch nie so recht Freundschaft mit CISCO schließen können. Umso erstaunlicher, daß es Zeit wird für eine CISCO-Warnung in unserem Blog. -In der Hoffnung, dem einen oder anderen Kunden von uns hiermit das Silvesterfest zu retten.
Denn: Auf verschiedenen Wegen erreicht uns gerade eine Warnung, nach der anscheinend in der Neujahrsnacht weltweit CISCO-Geräte in den Netzwerken ausfallen könnten. CISCO-Admins sollten überlegen, ob sie heute Abend in Ruhe in den Urlaub fahren können (oder zwischenzeitlich nochmal zurückkehren sollten?) und ob sie dieses Jahr an Silvester zur Sicherheit nicht lieber auf jeden Fall fahrtauglich bleiben und nur alkoholfrei trinken sollten...
Grund des sich ankündigenden Dramas sind selbstsignierte SSL-Zertifikate von CISCO, die pünktlich zum 1.1.2020 auslaufen und unbenutzbar werden. In der Folge ist laut erstem CISCO Advisory ("Field Note 70489") damit zu rechnen, daß umfangreich Funktionalitäten der Switche mangels SSL-Verschlüsselung ausfallen. Zumindest bei den Netzwerken, deren Admins sich bis heute nicht die Mühe gemacht haben, diese Zertifikate durch qualifizierte eigene Zertifikate mit anderen Laufzeiten auszutauschen.
Es könnte eine unangenehme Silvesternacht werden, wenn pünktlich zur ersten offiziellen Rakete in den Netzwerken die Switche ausgehen. Oh, das regt die Phantasie an.
Es könnte aber sogar noch viel mehr gleich ein sehr unangenehmer Januar werden, denn anscheinend ist es nach Ablauf der Zertifikate dann (mangels Zertifikat und SSL) auch nicht mehr möglich, neue selbstsignierte Zertifikate auf den Switchen zu erzeugen und einzuspielen. Unklar ist mir anhand der CISCO-Meldung persönlich gerade noch, ob es nach dem 1. Januar 2020 dann überhaupt noch möglich ist, irgendwelche neue Zertifikate einzuspielen, oder ob die Geräte nach Ablauf sonst schlagartig teurer, aber ansonsten wertloser Sondermüll sind und sich viele Admins auf der Welt spontan überlegen müßten, wie sie am 1. Januar schnell neue Netzwerkstrukturen aufbauen.
CISCO-Admins scheinen also sehr gut beraten zu sein, noch VOR dem Jahreswechsel nicht nur das Advisory zu lesen, sondern auch sicherzustellen, daß die eigenen Geräte mit länger laufenden Zertifikaten versorgt sind und/oder dass die Geräte mit den aktuellen Firmwarereleases von CISCO versorgt sind.
Ich für meinen Teil bin gespannt, was passiert. Popcorn ist ja noch da.
Kommentare
2 Antworten zu Sicherheitswarnung: Katastrophen-Silvester für CISCO-Admins?
Wenn ich die Field Notice richtig lese werden die Switche weiter switchen und die Router weiter routen.
Was nicht geht:
* VoIP / Communication Kram
* Automatisierung über Rest
* VPN (AnyConnect / SSL VPN und IPSEC)
* HTTPS (da gibt es wohl ne Fehlermeldung, aber wer HTTPS für die Administration von IOS benutzt klickt auch auf alles was da so aufpopt)
* ssh (wenn man das mit Zertifikaten macht)
Also: Die Telefone und der Cisco Jabber Kram wird ruhig sein und man kann nicht mehr remote arbeiten.
Ein Update sollte man relativ problemlos auch später noch auf die Kiste bekommen, ssh und scp gehen ja in der Regel, zur Not gibt es noch eine serielle Konsole.
Daumen hoch für den Kommentar von Jens.