Sicherheitswarnung: Katastrophen-Silvester für CISCO-Admins?

Nach 30 Jahren Open Source und Linux tue ich mich ja bekanntlich mit blind gehypten Herstellern und überteuerten Blackboxlösungen immer etwas schwer und habe in all den Jahren auch nie so recht Freundschaft mit CISCO schließen können. Umso erstaunlicher, daß es Zeit wird für eine CISCO-Warnung in unserem Blog. -In der Hoffnung, dem einen oder anderen Kunden von uns hiermit das Silvesterfest zu retten.

Denn: Auf verschiedenen Wegen erreicht uns gerade eine Warnung, nach der anscheinend in der Neujahrsnacht weltweit CISCO-Geräte in den Netzwerken ausfallen könnten. CISCO-Admins sollten überlegen, ob sie heute Abend in Ruhe in den Urlaub fahren können (oder zwischenzeitlich nochmal zurückkehren sollten?) und ob sie dieses Jahr an Silvester zur Sicherheit nicht lieber auf jeden Fall fahrtauglich bleiben und nur alkoholfrei trinken sollten…

Grund des sich ankündigenden Dramas sind selbstsignierte SSL-Zertifikate von CISCO, die pünktlich zum 1.1.2020 auslaufen und unbenutzbar werden. In der Folge ist laut erstem CISCO Advisory („Field Note 70489„) damit zu rechnen, daß umfangreich Funktionalitäten der Switche mangels SSL-Verschlüsselung ausfallen. Zumindest bei den Netzwerken, deren Admins sich bis heute nicht die Mühe gemacht haben, diese Zertifikate durch qualifizierte eigene Zertifikate mit anderen Laufzeiten auszutauschen.

Es könnte eine unangenehme Silvesternacht werden, wenn pünktlich zur ersten offiziellen Rakete in den Netzwerken die Switche ausgehen. Oh, das regt die Phantasie an.

Es könnte aber sogar noch viel mehr gleich ein sehr unangenehmer Januar werden, denn anscheinend ist es nach Ablauf der Zertifikate dann (mangels Zertifikat und SSL) auch nicht mehr möglich, neue selbstsignierte Zertifikate auf den Switchen zu erzeugen und einzuspielen. Unklar ist mir anhand der CISCO-Meldung persönlich gerade noch, ob es nach dem 1. Januar 2020 dann überhaupt noch möglich ist, irgendwelche neue Zertifikate einzuspielen, oder ob die Geräte nach Ablauf sonst schlagartig teurer, aber ansonsten wertloser Sondermüll sind und sich viele Admins auf der Welt spontan überlegen müßten, wie sie am 1. Januar schnell neue Netzwerkstrukturen aufbauen.

CISCO-Admins scheinen also sehr gut beraten zu sein, noch VOR dem Jahreswechsel nicht nur das Advisory zu lesen, sondern auch sicherzustellen, daß die eigenen Geräte mit länger laufenden Zertifikaten versorgt sind und/oder dass die Geräte mit den aktuellen Firmwarereleases von CISCO versorgt sind.

Ich für meinen Teil bin gespannt, was passiert. Popcorn ist ja noch da.

Dieser Beitrag wurde unter Blog abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Sicherheitswarnung: Katastrophen-Silvester für CISCO-Admins?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.