Fragen? Antworten! Siehe auch: Alternativlos
du musst jetzt tapfer sein. Updates im Netzwerkbereich werden gemacht wenn die Hardware getauscht wird. Oder wenn einen funktionalen Bug gibt der die Arbeit stört. Also meistens zumindest. Ausnahmen bestätigen die Regel.Der Kollege hat inhaltlich natürlich völlig Recht. Genau so sieht das in der Industrie aus. Aber ich habe mir noch nie einen schönen Rant voller gerechtem Zorn von Fakten oder der Realität kaputtmachen lassen!1!!Beispiele:
- Vor vielen Jahren hab ich in einem Projekt man ein Tool zum Config Backup (rancid) aufgesetzt und mit einem Tool zum Config Audit (nipper, war damals noch OpenSource) verheiratet.. Dazu noch ein wenig Shell und es gab eine mehr oder weniger schöne Webseite mit einem Report. Das ganze für einen Laden eine hohe zweistellige Anzahl von Cisco "Firewalls" speziell für site-2-site VPNs im Einsatz hatte. Musste ich wieder abstellen weil zu viel Rot. Und Updates wären zu viel Arbeit. Gut, wahrscheinlich waren viele der Verwundbarkeiten überhaupt nicht relevant für den Einsatzzweck, aber für die Security eines Outsourcing Ladens ist das schon eine komische Einstellung.
Der Laden nahm ITIL sehr ernst und als es ein Ticket zu "die CheckPoint braucht mal dringend Updates und vor allem mehr RAM" für die interne Firewall gab wurde das wegen eines zu hohen Risikos abgelehnt. Ein paar Tage später ist sie dann ausgefallen und es konnte gar nicht schnell genug gehen bis sie wieder ging.
- Vor etwas weniger Jahren hab ich mich mal um das Netz eines Kunden gekümmert. Inkl. BGP zur Außenwelt. Einer der großen Hersteller (IIRC Juniper) hatte einen Bug in der BGP Implementierung. $Carrier schickte eine Mail das sie ganz dringend Updates machen. Das Update erforderte einen Reboot. Nur: Die BGP Session stand noch 2 Wochen danach. Dann gab es Tagsüber einen kurzen Schluckauf. Wahrscheinlich hat irgendwer im Internet mal die passenden Pakete an den Router geschickt und das Teil hat rebootet. Da das nicht noch mal passiert ist, gehe ich davon aus, dass mit dem Reboot auch die neue Softwareversion hoch kam.
- Vor noch weniger Jahren hab ich für einen anderen Kunden Netzkram gemacht. Da lieft mir in irgendeinem IRC Channel ein Hinweis zu einem Cisco Bug über den Weg. Betraf alle der Hauptswitche im Office. Habs abgestellt, den Kollegen von der Security und den Netzwerkern am anderen Standort den Link geschickt. Die Security fand das cool das einer mitdenkt und hat sich bedankt. Von den Kollegen am anderen Standort gab es 2 Wochen später eine Reaktion. Da haben sie von dem Problem bei Heise gelesen und musst mich ganz dringend auf den Bug hinweisen.
- Und dann war da noch der Laden mit dem Cisco WLAN Controller der das WLAN absichern sollte. Also eigentlich eine Kiste zum Management von Accesspoints. Sowas will man in einer großen Umgebung haben und die Dinger funktionieren im Normalfall sogar. Der Fall war nicht normal, weil die viele tausende Euro Appliance hing einfach so im Rack. Ohne Netzwerkkabel und vor allem ohne Strom.
- Cisco hatte da mal eine ganze tolle Management Software. Da konnte man dann u.A. zu allen IOS Versionen im Netz die passenden Bugs raus suchen. Mir hat das Teil beim Kunden immer was davon erzählt, dass es keine Bugs gibt. Bis ich dann mal mit tcpdump / Wireshark geschaut habe. Das Tool rief eine Webseite von Cisco auf (http!) und bekam einen 404 zurück.
Ich glaube übrigens nicht, dass die Software bei anderen Herstellen besser ist. Von den anderen hört man nur weniger. IIRC hab ich auch noch nie einen anderen Hersteller gesehen der selbst Bugs auf Security Mailinglisten veröffentlicht.