Neue Cisco Catalyst 9000 Serie

cat9k_series_hardware
Quelle Cisco.com

Einleitung

Die Weiterentwicklung der IT in den Bereichen IoT, allgegenwärtige Mobiliät, Cloud Adaptierung und fortschreitender Sicherheitsbedrohungen bringt auch neue Anforderungen an das klassische Netzwerk. Ciscos Antwort auf diese Herausforderungen ist die neue Catalyst 9k Series. Das neue Netzwerk mit dieser Plattform soll intuitiver werden, mehr Einsicht bieten, schützen und sich stets weiterentwickeln.

Hardware

Hardwareseitig bietet die Catalyst 9000 Serie ein breites Spektrum, vom Access bis zum Core, in allen Größen und Formen. Das neueste Modell aus der Serie ist der Catalyst 9200, welcher den beliebten 2960-X/XR ersetzen soll. Es muss gesagt sein, dass es sich nicht mehr nur um reinen Switches handelt, da diese neue Serie (ab 9300) auch Wireless Controller Funktionen bietet und somit LAN und WLAN vereinen soll.

cat9k_upgrade_path
Quelle Cisco.com

Software

Die Software für diese Geräte heißt IOS XE, welche viel mehr Flexibilität und Modularität bietet. Dank Containervirtualisierung lassen sich auch Anwendungen wie Wireshark direkt am Switch ausführen. Als Management Oberfläche gibt es lokalen Web- und CLI-Zugriff oder das neue zentrale Managment-Tool DNA-Center. SD-Access ist das neue Schlagwort um Switch-Fabric, ISE (TrustSec) und DNA-Center zu vereinen.

dna_center_1528350810430
Quelle Cisco.com

Lizenzierung

Es gibt zwei unbefristet Basis-Lizenzen „Essentials“ und „Advantage“ die auf die Hardware gebunden sind und drei unterschiedliche Add-On Lizenz als Subscription für DNA. Mehr dazu im Data Sheet.

Weitere Informationen

Produkt Homepage

At-a-Glance

Data Sheet

E-Book

 

März 2018 Patchday bei Cisco

Mit einer gesammelten Veröffentlichung von Updates patcht Cisco gleich mehrere Sicherheitslücken in Cisco IOS und IOS XE (beides Betriebssysteme für Router und Switches). Es sind über 20 Advisories, 3 davon wurden als kritisch eingestuft.

Im Cisco Security Advisory Portal findet man eine Übersicht und weitere Informationen zu den Updates. Hier die Zusammenfassung:

SNMP Sicherheitslücke in Cisco IOS und IOS XE

Das für Router und Swichtes eingesetzte Betriebssystem IOS und IOS XE hat laut aktuellem Cisco Security Advisory eine kritische Sicherheitslücke in der Simple Network Management Protocol (SNMP) Implementierung. Betroffen sind alle IOS- und SNMP-Versionen.

Zum Ausnützen der Lücke muss ein Angreifer Zugriff auf den SNMP-Port (161/UDP) des Gerätes haben und im Besitz der SNMP-Community (bei SNMP Version 1 und 2) bzw. der Anmeldedaten (bei SNMP Version 3) sein. Ein erfolgreicher Angriff kann das Gerät komplett kompromittieren oder zum Absturz bringen.

Auf der Cisco Advisory Seite findet man eine Anleitung zum Abrufen der IOS Version und ein Tool zum Überprüfen, ob diese verwundbar ist oder nicht. Ein Update der Software wird dringend empfohlen!

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp

Kritische Sicherheitslücke in Cisco Switches

Cisco hat eine Sicherheitswarnung veröffentlicht die eine Sicherheitslücke in über 300 Switch-Modellen des Herstellers beschreibt, die Veröffentlichung steht vermutlich in Zusammenhang mit den Vault-7-Leaks.

Betroffen ist dabei das Cluster Management Protocol (CMP) in IOS und IOS XE, welches über Telnet kommuniziert. Ein Angreifer kann durch das senden spezieller Kommandos Vollzugriff auf den Switch erlangen. Die Lücke ist bereits in der Standardkonfiguration der Switches offen.

Aktuell gibt es keinen Workaround und auch kein Software-Update. Als Abhilfe wird lediglich genannt, auf SSH statt Telnet für den Switchzugriff umzustellen um den Angriffsvektor zu beseitigen.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp