Cisco Nexus Switch: POAP abschalten und weitere Patches

Die Firma Cisco ermöglicht Administratoren von Nexus Switch-Geräten die Funktion POAP aus Sicherheitsgründen abzuschalten. Dazu wurde ein Firmware-Update freigegeben, das den Zugriff auf die betreffende Option ermöglicht. Zudem hat Cisco am 6. März 2019 eine Reihe Sicherheitshinweise für weitere Produkte veröffentlicht.


Anzeige

Cisco Nexus Switches und POAP

Die Cisco Nexus Series Switches sind modulare und stationäre Netzwerk-Switches, die für das Rechenzentrum entwickelt wurden. Cisco Systems hat die Nexus Series von Switches am 28. Januar 2008 eingeführt. Auf dieser Cisco-Seite gibt es mehr Informationen zu den Geräten.

Bildergebnis für nexus switch(Quelle: Cisco)

Die Switches sind mit einer Funktion namens PowerOn Auto Provisioning (POAP) ausgestattet. POAP ist eine automatische Bereitstellungs- und Zero-Touch-Deployment-Funktion, die Gerätebesitzer bei der Erstinstallation und Konfiguration von Nexus-Switches unterstützt.

Die Funktion sucht beim Gerätestart nach einem lokalen Konfigurationsskript. Wurde das Skript gelöscht, oder der Switch auf die Werkseinstellungen zurückgesetzt, oder ist dies der erste Bootvorgang des Geräts, verbindet sich der POAP-Daemon mit einer voreingestellten Liste von Servern, um eine erste Konfigurationsdatei herunterzuladen. POAP ist derzeit standardmäßig in NX-OS, dem Betriebssystem der Nexus Switche, aktiviert.

POAP kann nun deaktiviert werden

Wie ZDNet.com hier berichtet, kann ein im lokalen Netzwerk vorhandener Angreifer fehlerhafte DHCP-Antworten an Nexus-Switches senden. Diese ermöglicht es, deren POAP-Einstellungen zu übernehmen, und Switches dazu bringen, Konfigurationsskripte von den Servern eines Angreifers herunterzuladen und auszuführen.

In diesem Sicherheitshinweis beschreibt Cisco die POAP-Funktion und das oben skizzierte Scenario. Laut Cisco basieren mehrere Schritte im POAP-Konfigurationsprozess vom Design her auf der Annahme, dass die Geräte sich in einem sicheren Netzwerksegment befinden, um wichtige Startinformationen zu erhalten. Während sich die POAP-Funktion deaktiviert, nachdem eine Konfiguration auf ein Gerät angewendet wurde, ist es wichtig, dass die Kunden die Netzwerke, in denen POAP verwendet werden kann, ordnungsgemäß sichern.

Ist dies nicht sichergestellt, sollte man die POAP-Funktion deaktivieren und andere Methoden verwenden, um ein Nexus-Gerät bei der Inbetriebnahme zu konfigurieren. Zu diesem Zweck hat Cisco mehrere neue Befehle in NX-OS hinzugefügt, um POAP zu deaktivieren, Diese Einstellungen bleiben über einen Reset auf Werkseinstellungen und das Entfernen einer Konfiguration hinaus bestehen. Richtlinien zur Sicherung einer POAP-Umgebung sowie Informationen zur Deaktivierung der Funktion finden Sie in den Abschnitten Details und Empfehlungen.

Weitere Cisco Sicherheitsinformationen


Anzeige

Zudem hat Cisco am 6. März 2019 eine ganze Sammlung an Sicherheitsinformationen zu eigenen Tools freigegeben. In den Sicherheitshinweisen werden  30 verschiedene, teilweise als Hoch eingestufte, Schwachstellen in Cisco-Produkten beschrieben. Diese lassen sich durch Updates schließen. Details sind in den jeweiligen Sicherheitshinweisen zu entnehmen.


Anzeige


Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Cisco Nexus Switch: POAP abschalten und weitere Patches


  1. Anzeige
  2. Gaga sagt:

    Danke für den Hinweis!
    Prompt ist eines meiner Geräte betroffen… Zum Glück ist eine neue Firmware bereits zum verfügbar.

    Gruß
    Gaga

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.