social.sokoll.com

Search

Items tagged with: cisco

Bei all dem Cisco-Bashing hier darf man nicht vergessen, wie schlecht Juniper ist.
Workaround:

Remove 'family inet6' from interfaces. Otherwise, there are no available workarounds for this issue.
#fefebot #cisco
 
Bei all dem Cisco-Bashing hier darf man nicht vergessen, wie schlecht Juniper ist.
Workaround:

Remove 'family inet6' from interfaces. Otherwise, there are no available workarounds for this issue.
#fefebot #cisco
 
Was würde ich mich freuen, wenn ich die Lösungen selber herstellen dürfte. Aber hier gewinnt immer wieder das Management eine höhere Macht.


Lesetipp: Bert Hubert über Huawei und 5G. Bert ist einer der Guten und der kennt sich in dem Bereich aus. Ich bringe mal direkt das Money Quote:
In a modern telecommunications service provider, new equipment is deployed, configured, maintained and often financed by the vendor. Just to let that sink in, Huawei (and their close partners) already run and directly operate the mobile telecommunication infrastructure for over 100 million European subscribers.
(Hervorhebung im Original, und völlig zu Recht)

Das ist übrigens ein echt alter Trend. Wir haben uns in den 90ern im CCC über zwei Firmen namens Comverse (später umbenannt zu Verint) und Amdocs besorgte Verschwörungstheorien zugeraunt. Die Israelis haben damals als erste erkannt, dass die Deppen im Ausland eh alle outsourcen, und wenn du da deine Wanzen einbringen willst, dann musst du gar nicht Leute bestechen oder einbrechen oder hacken. Es reicht, wenn du deine inländischen Produkte subventionierst. Dann kaufen die Deppen im Ausland automatisch bei dir.

Comverse und Amdocs haben so Abrechnungssysteme für Telcos verkauft. Also die Systeme, die die ganzen Metadaten sehen. Genau die Daten, die man so haben will als Geheimdienst.

Man könnte sagen, die Amis haben das Modell perfektioniert. Die haben es geschafft, dass die Deppen auch ohne Subventionen den überteuerten Scheiß von Cisco kaufen.

Der Punkt war jedenfalls: Schon seit damals haben sich alle unsere großen Firmen in eine erstickende Abhängigkeit von ausländischer Technologie begeben und da kommen wir jetzt auch nicht wieder raus.

Die Politik schwadroniert gerne von digitaler Souveränität. Der Zug ist abgefahren, und zwar schon echt lange.

Bert fasst die Folgen so zusammen:
The host service provider often has no detailed insight in what is going on, and would have a hard time figuring this out through their remaining staff. Rampant outsourcing has meant that most local expertise has also left the company, willingly or unwillingly.

We recently asked a large European service provider why only part of their customers get IPv6 service, and how they pick which parts do or do not get such service. They could not tell us, and informed us they too would like to know
Das kann ich nur unterstreichen. Das Niveau, auf dem da Duplosteine von irgendwelchen mehr oder weniger unseriösen ausländischen Zulieferern zusammengestöpseln werden, ist immer wieder ernüchternd.

Ich habe einen Kunden, der an einigen Stellen den ernsthaften Versuch unternommen hat, die beworbene Funktionalität auch zu nutzen. Die sind da gegen Wände gerannt, das glaubt man gar nicht. Rudimentärste Basisfunktionalität funktioniert einfach nicht! Die Israelis sind wenigstens so professionell, dass ihr Scheiß dann auch mehr oder weniger zuverlässig funktioniert. In anderen Bereichen, besonders bei Security-Appliances, ist das häufig nicht der Fall. Die kauft man, stellt sie in die Ecke, kreuzt im Compliance-Report die Checkbox an, und dann ist es völlig wurscht, ob das Gerät irgendwas tut oder nicht.

Bert schildert ein schönes Beispiel für Outsourcing-Ketten:
However, over time, such IT staff also tends to get outsourced. At one major mobile provider the chain is now that the company has outsourced IT to Tech Mahindra and that Tech Mahindra in turn talks to Ericsson, who then finally operate the network.

Meanwhile, Ericsson and other vendors in turn have outsourced or shipped many functions to to yet different countries where staff is more affordable.
So sieht es aus.
In another example, one large Dutch mobile provider has handed over most of their technical staff to Huawei. Half of their freshly built and well designed headquarters has since stood empty - what remains in the other half are IT Architects who do not get closer to actual operations than an Excel sheet or a Visio diagram.
Auch das kann ich bestätigen. So sieht das in der Praxis häufig aus. Besonders beeindruckend finde ich immer, wie die IT-Architekten sich dann im Kreis auf die Schulter klopfen, was für wichtige Arbeit sie doch tun hier. Dabei ist das im Wesentlichen das Anklicken einer "Lösung" aus einem Katalog. Denn was die Zulieferer nicht anbieten, das geht halt nicht. IT-Architekten versuchen dann ihr Selbstbild aufzubessern, indem sie da irgendwelche mehr oder weniger sinnlosen Integrationsanforderungen formulieren. Das ist das Stichwort, auf das die Zulieferer gewartet haben, denn das ist der Schlüssel für die wirklich teuren Rechnungen. Da machen die ihre fetten Profite.

Ja, aber Fefe, wo kommt denn dann die Security her? Ganz einfach! Wir schreiben in den Vertrag, dass der Rechnungszulieferer die Daten nur für die Rechnungsstellung benutzen darf.

(Kunstpause)

That's it.

Oh und einen schönen Punkt hat Bert noch: Wenn du bei Ericsson kaufst, weil du denkst, dann hast du Europäische Tech im Haus: Ericsson lässt in China entwickeln.

Als Schlusswort nehme ich mal dieses tolle Zitat von Bert:
As a case in point, one European 15-million subscriber network now relies on a core team of 4 people (one of whom is their manager) to provide all addressing and numbering services. After years of failed attempts, these four people will now also be outsourced.
#fefebot #ccc #cisco #ericsson #huawei
Hattenhofen 
Setzt hier jemand Cisco-Geräte ein? Cisco ist aufgefallen, dass sie auf ihren Geräten self-signed X.509-Zertifikate haben, und die laufen zu Neujahr aus.

Ach naja, denkt ihr euch jetzt vielleicht, generiert man halt neue.

Da habt ihr die Rechnung ohne Cisco gemacht!
Self-signed X.509 PKI certificates (SSC) that were generated on devices that run affected Cisco IOS® or Cisco IOS XE software releases expire on 2020-01-01 00:00:00 UTC. New self-signed certificates cannot be created on affected devices after 2020-01-01 00:00:00 UTC. Any service that relies on these self-signed certificates to establish or terminate a secure connection might not work after the certificate expires.
LOOOOOL! Warte mal, gibt es nicht Leute, die Cisco einsetzen, weil sie deren Produkte für enterprise-fähig halten?

ZWEI WOCHEN VORHER fällt Cisco das auf? Und die verbleibende Zeit ist Weihnachten und Ferienzeit?

Geil!

Das gibt bestimmt eine IT-Apokalypse zum Jahreswechsel. In großen Firmen kannst du gar nicht mal eben deine Cisco-Geräte updaten. Da musst du erstmal ein Wartungsfenster beantragen. Das alleine dauert vier Wochen und du brauchst ein paar Monate Vorlauf, damit du die Leute warnen kannst.

#fefebot #cisco
 
Setzt hier jemand Cisco-Geräte ein? Cisco ist aufgefallen, dass sie auf ihren Geräten self-signed X.509-Zertifikate haben, und die laufen zu Neujahr aus.

Ach naja, denkt ihr euch jetzt vielleicht, generiert man halt neue.

Da habt ihr die Rechnung ohne Cisco gemacht!
Self-signed X.509 PKI certificates (SSC) that were generated on devices that run affected Cisco IOS® or Cisco IOS XE software releases expire on 2020-01-01 00:00:00 UTC. New self-signed certificates cannot be created on affected devices after 2020-01-01 00:00:00 UTC. Any service that relies on these self-signed certificates to establish or terminate a secure connection might not work after the certificate expires.
LOOOOOL! Warte mal, gibt es nicht Leute, die Cisco einsetzen, weil sie deren Produkte für enterprise-fähig halten?

ZWEI WOCHEN VORHER fällt Cisco das auf? Und die verbleibende Zeit ist Weihnachten und Ferienzeit?

Geil!

Das gibt bestimmt eine IT-Apokalypse zum Jahreswechsel. In großen Firmen kannst du gar nicht mal eben deine Cisco-Geräte updaten. Da musst du erstmal ein Wartungsfenster beantragen. Das alleine dauert vier Wochen und du brauchst ein paar Monate Vorlauf, damit du die Leute warnen kannst.

#fefebot #cisco
 
Leserbrief zu Cisco:
ich arbeite für ein nicht so kleines Software Haus. Bei einer Incident Management Schulung wurde ein Fall aus der Vergangenheit durch besprochen:

Die hauseigene Cloud war für 2 oder 3 Stunden komplett ausgefallen. Große Panik. Große Kosten.

Später hat sich heraus gestellt, dass irgendwelche Cisco Security Komponenten alle ihre Konfiguration "vergessen" hatten und neu durchgestartet werden mussten. Auslöser war ein Portscan im Zuge eines beauftragten Pen-Tests ...

Da musste ich schon ein wenig an dich denken.

Und dann der sehr schöne Maßnahmenkatalog:
    - Cisco fragen, ob es dafür ein Update gibt - keine Portscans mehr vor 16:00
Hahaha, bei Cisco nach einem Update erkundigen ist wie so ein Dickens-Roman.

Thank you Sir, may I have another?

#fefebot #cisco
 
Leserbrief zu Cisco:
ich arbeite für ein nicht so kleines Software Haus. Bei einer Incident Management Schulung wurde ein Fall aus der Vergangenheit durch besprochen:

Die hauseigene Cloud war für 2 oder 3 Stunden komplett ausgefallen. Große Panik. Große Kosten.

Später hat sich heraus gestellt, dass irgendwelche Cisco Security Komponenten alle ihre Konfiguration "vergessen" hatten und neu durchgestartet werden mussten. Auslöser war ein Portscan im Zuge eines beauftragten Pen-Tests ...

Da musste ich schon ein wenig an dich denken.

Und dann der sehr schöne Maßnahmenkatalog:
    - Cisco fragen, ob es dafür ein Update gibt - keine Portscans mehr vor 16:00
Hahaha, bei Cisco nach einem Update erkundigen ist wie so ein Dickens-Roman.

Thank you Sir, may I have another?

#fefebot #cisco
 
Juniper hat gerade eine auffällige Advisory-Häufung. Hatte da jemandem einen Datenreichtum im 0day-Giftschrank? Da sind einige richtig saftige darunter! Das hat teilweise schon fast Cisco-Niveau! So Dinge wie "code signing war bei folgenden Modellen gar nicht angeschaltet. Hups." Und:
2019-10 Security Bulletin: Junos OS: Kernel crash (vmcore) upon receipt of a specific link-local IPv6 packet on devices configured with Multi-Chassis Link Aggregation Group (MC-LAG) #CVE-2019-0067
Respekt! Ein Ping of Death hatten wir schon lange nicht mehr! Ich dachte schon fast, die seien ausgestorben!

#fefebot #datenreichtum #twitter #cisco
 
Juniper hat gerade eine auffällige Advisory-Häufung. Hatte da jemandem einen Datenreichtum im 0day-Giftschrank? Da sind einige richtig saftige darunter! Das hat teilweise schon fast Cisco-Niveau! So Dinge wie "code signing war bei folgenden Modellen gar nicht angeschaltet. Hups." Und:
2019-10 Security Bulletin: Junos OS: Kernel crash (vmcore) upon receipt of a specific link-local IPv6 packet on devices configured with Multi-Chassis Link Aggregation Group (MC-LAG) #CVE-2019-0067
Respekt! Ein Ping of Death hatten wir schon lange nicht mehr! Ich dachte schon fast, die seien ausgestorben!

#fefebot #datenreichtum #twitter #cisco
 
Noch ein zynischer Leserbrief zu Cisco und Updates:
...denn mehr zu machen geht überhaupt nicht mehr, dafür haben Unternehmen weder das Know-How noch die Manpower noch das Budget.

Und das ist nicht nur im Netzwerkbereich so, aber da ist es natürlich noch schlimmer:
    - Die Margen bei den Routern / Switchen sind so niedrig, weil man von Anfang an kein Update eingeplant hat. Das machen wir so, das machen unsere Kunden so, und das machen unsere Wettbewerber auch so. - So ein Cisco-XE-Switch braucht zwischen 7 und 15 Minuten für einen Reboot. Vor zwei Jahrzehnten haben wir Switches im Betrieb neugestartet, weil sie binnen Sekunden wieder oben waren. Das kannst Du heute nicht mehr. Und niemand möchte nachts arbeiten, nur um ein paar blöde Switches (die in 99% der Fälle nichts weiter tun als das, was Switches vor 20 Jahren auch getan haben) neu zu starten. - Mittlerweile sind die Dinger so kompliziert, dass man erst mal nachsehen muß, was sich mit dem Update alles ändert. Für Infrastruktur, die in den meisten Fälle einfach so funktionieren soll, und über die man nicht nachdenken will, macht das aber niemand. Nicht einmal die Dienstleister, die sie betreuen sollten, denn die schaffen es auch nicht mehr, alle Updatetexte lesen. > Und das liegt auch daran, dass die Updatetexte so verfasst sind, dass man sie nicht verstehen und in endlicher Zeit lesen kann. > Jedenfalls ist die Konsequenz daraus, dass ein Update von einem Stück Netzequipment geplant und mit den Kunden und anderen Beteiligten abgesprochen werden muss, und deshalb ein größerer Akt ist. Das nächste Wartungsfenster? Nach Weihnachten. - Ich monitore seit einem halben Jahr Kundensysteme, und würde es mitkriegen, wenn die Switches mal neu gestartet worden wären. Sind sie nicht. Nirgends. > Möglicherweise gab es bei einem Kunden in den Werksferien ein Firmwareupdate, da ist mal der ganze Standort herunter gefahren worden, aber ich glaube es nicht. - Unsere Kunden haben sowie kein Budget. Die können Geld ausgeben, um Geld zu sparen. Sprich, ein RZ zu einem billigeren Anbieter umzuziehen. Qualität? Es muß nur gerade gut genug sein, dass man noch arbeiten kann. > Und IT-Abteilungen haben die sowieso nicht mehr. Das ist ja zu uns outgesourcd (mein Arbeitgeber zeichnet sich übrigens mehr durch Mittelmäßigkeit aus als durch Know-How). - Außerdem haben Kunden ein Gedächtnis. Wie viele Tage konnten sie nach dem letzten Updatefiasko nicht telefonieren, weil die doofe VoIP-Anlage irgendwelche Probleme machte? Natürlich schrecken die davor zurück, das zu wiederholen.
Und überhaupt sind Updates ja ziemlich… umstritten.

Wenn uns Windows 10 etwas beigebracht hat, dann das: Wir hassen Updates.
    - oft oder sogar meistens betreffen uns die Sicherheitslücken gar nicht. - verdammt häufig geht nach Updates etwas nicht so, wie es vorher war. Und sei es auch nur, dass ich meine lokalen Drucker nicht mehr in der Liste finde, wohl aber irgendwo in Hintertupfingen.
Updates machte man, um Fehler und Sicherheitsmängel zu beheben. Man erhofft sich Produktivitätssteigerung und Sicherheitsgewinne, und nimmt dafür Unbequemlichkeiten und kurzfristige Produktivitätsverluste in Kauf.

Mittlerweile ist das aber anders: Updates stehen für neue Fehler, nicht dafür, dass das Produkt besser wird.

Updates kosten Zeit, Geld, Planung, Absprachen und Nerven. Und sie bergen Risiken. Unter diesen Umständen updated man nur, wenn man *muß*.

Das war anders, als Update und Upgrade noch verschiedene Dinge bedeuteten.
#fefebot #cisco
 
Noch ein zynischer Leserbrief zu Cisco und Updates:
...denn mehr zu machen geht überhaupt nicht mehr, dafür haben Unternehmen weder das Know-How noch die Manpower noch das Budget.

Und das ist nicht nur im Netzwerkbereich so, aber da ist es natürlich noch schlimmer:
    - Die Margen bei den Routern / Switchen sind so niedrig, weil man von Anfang an kein Update eingeplant hat. Das machen wir so, das machen unsere Kunden so, und das machen unsere Wettbewerber auch so. - So ein Cisco-XE-Switch braucht zwischen 7 und 15 Minuten für einen Reboot. Vor zwei Jahrzehnten haben wir Switches im Betrieb neugestartet, weil sie binnen Sekunden wieder oben waren. Das kannst Du heute nicht mehr. Und niemand möchte nachts arbeiten, nur um ein paar blöde Switches (die in 99% der Fälle nichts weiter tun als das, was Switches vor 20 Jahren auch getan haben) neu zu starten. - Mittlerweile sind die Dinger so kompliziert, dass man erst mal nachsehen muß, was sich mit dem Update alles ändert. Für Infrastruktur, die in den meisten Fälle einfach so funktionieren soll, und über die man nicht nachdenken will, macht das aber niemand. Nicht einmal die Dienstleister, die sie betreuen sollten, denn die schaffen es auch nicht mehr, alle Updatetexte lesen. > Und das liegt auch daran, dass die Updatetexte so verfasst sind, dass man sie nicht verstehen und in endlicher Zeit lesen kann. > Jedenfalls ist die Konsequenz daraus, dass ein Update von einem Stück Netzequipment geplant und mit den Kunden und anderen Beteiligten abgesprochen werden muss, und deshalb ein größerer Akt ist. Das nächste Wartungsfenster? Nach Weihnachten. - Ich monitore seit einem halben Jahr Kundensysteme, und würde es mitkriegen, wenn die Switches mal neu gestartet worden wären. Sind sie nicht. Nirgends. > Möglicherweise gab es bei einem Kunden in den Werksferien ein Firmwareupdate, da ist mal der ganze Standort herunter gefahren worden, aber ich glaube es nicht. - Unsere Kunden haben sowie kein Budget. Die können Geld ausgeben, um Geld zu sparen. Sprich, ein RZ zu einem billigeren Anbieter umzuziehen. Qualität? Es muß nur gerade gut genug sein, dass man noch arbeiten kann. > Und IT-Abteilungen haben die sowieso nicht mehr. Das ist ja zu uns outgesourcd (mein Arbeitgeber zeichnet sich übrigens mehr durch Mittelmäßigkeit aus als durch Know-How). - Außerdem haben Kunden ein Gedächtnis. Wie viele Tage konnten sie nach dem letzten Updatefiasko nicht telefonieren, weil die doofe VoIP-Anlage irgendwelche Probleme machte? Natürlich schrecken die davor zurück, das zu wiederholen.
Und überhaupt sind Updates ja ziemlich… umstritten.

Wenn uns Windows 10 etwas beigebracht hat, dann das: Wir hassen Updates.
    - oft oder sogar meistens betreffen uns die Sicherheitslücken gar nicht. - verdammt häufig geht nach Updates etwas nicht so, wie es vorher war. Und sei es auch nur, dass ich meine lokalen Drucker nicht mehr in der Liste finde, wohl aber irgendwo in Hintertupfingen.
Updates machte man, um Fehler und Sicherheitsmängel zu beheben. Man erhofft sich Produktivitätssteigerung und Sicherheitsgewinne, und nimmt dafür Unbequemlichkeiten und kurzfristige Produktivitätsverluste in Kauf.

Mittlerweile ist das aber anders: Updates stehen für neue Fehler, nicht dafür, dass das Produkt besser wird.

Updates kosten Zeit, Geld, Planung, Absprachen und Nerven. Und sie bergen Risiken. Unter diesen Umständen updated man nur, wenn man *muß*.

Das war anders, als Update und Upgrade noch verschiedene Dinge bedeuteten.
#fefebot #cisco
 

Unseren wöchentlichen #CISCO fail gib uns heute!

Ursprünglich geteilt von @Fefebot

[l] Wisst ihr, was wir lange nicht mehr hatten? Eine Cisco-Backdoor!

Hey, psst, wir müssen endlich was gegen Huawei machen!1!! Die könnten Backdoors haben!!1!

Ich stell mir das ja vor wie damals Dick Cheney auf der Wachteljagd, der ordentlich die Wachteln ins Visier nahm und dann stattdessen seinen Anwalt anschoss.

#fefebot #cisco #huawei
 
Wisst ihr, was wir lange nicht mehr hatten? Eine Cisco-Backdoor!

Hey, psst, wir müssen endlich was gegen Huawei machen!1!! Die könnten Backdoors haben!!1!

Ich stell mir das ja vor wie damals Dick Cheney auf der Wachteljagd, der ordentlich die Wachteln ins Visier nahm und dann stattdessen seinen Anwalt anschoss.

#fefebot #cisco #huawei
 
Cisco hat Trust Anchor verkackt, das ist deren Secure Boot Firmware Integrity Zeug. Für den Angriff muss man auf der Kiste root sein, dann kann man sich richtig tief einnisten.

Der Vollständigkeit halber hat die Gruppe auch direkt einen Remote Root Exploit dazu veröffentlicht.

Das ist nicht patchbar.

Der Trust Anchor ist als externer FPGA implementiert, aber der Bitstream dahin ist nicht signiert. Da lädst du halt einen anderen Bitstream hin, Angriff fertig. In dem Bitstream kann man dann auch abschalten, dass er sich zukünftig ein Update reinkippen lässt.

#fefebot #cisco
 
Cisco hat Trust Anchor verkackt, das ist deren Secure Boot Firmware Integrity Zeug. Für den Angriff muss man auf der Kiste root sein, dann kann man sich richtig tief einnisten.

Der Vollständigkeit halber hat die Gruppe auch direkt einen Remote Root Exploit dazu veröffentlicht.

Das ist nicht patchbar.

Der Trust Anchor ist als externer FPGA implementiert, aber der Bitstream dahin ist nicht signiert. Da lädst du halt einen anderen Bitstream hin, Angriff fertig. In dem Bitstream kann man dann auch abschalten, dass er sich zukünftig ein Update reinkippen lässt.

#fefebot #cisco
 
Habt ihr auch von dieser fiesen Backdoor in Netzwerkequipment gehört, wie man es beispielsweise bei 5G einsetzen würde? Hard eingebrannte Login-Credentials? So richtig übel?

Wie? Nein, nicht Huawei. Cisco schon wieder.

Na, wer setzt Geld darauf, dass die EU jetzt Cisco verbietet? Aus Sicherheitsgründen? Nicht?

#fefebot #EU #cisco #huawei
 
Habt ihr auch von dieser fiesen Backdoor in Netzwerkequipment gehört, wie man es beispielsweise bei 5G einsetzen würde? Hard eingebrannte Login-Credentials? So richtig übel?

Wie? Nein, nicht Huawei. Cisco schon wieder.

Na, wer setzt Geld darauf, dass die EU jetzt Cisco verbietet? Aus Sicherheitsgründen? Nicht?

#fefebot #EU #cisco #huawei
 
Learn from the best, or die like the rest: Cisco zeigt uns, wie man Remove Exploits über HTTP fixt. Man blacklistet den HTTP User-Agent "curl"!1!!

Das merken die NIE!

#fefebot #dasmerkendienie #twitter #cisco
 
Later posts Earlier posts