Der Standardleitweg

Die Hardware von Cisco hält fast das gesamt Internet am laufen. Und in unzähligen Werbespots wird die Firma nicht müde mit selbstverteidigenden Netzwerken zu werben und sich als sichere Firma zu positionieren.
Scheinbar ist das mehr Show als angenommen. Unbestritten ist, dass das IOS voller Bugs und Merkwürdigkeiten ist, auch sind die “selbstverteidigenden Netzwerke” ein feuchter Traum der Marketingfuzzies und technisch nichts besonderes. Das ist alles normal, bekannt, nicht anders zu erwarten.
Doch man kann zumindest erwarten, dass man versucht, die Produkte so gut es geht sicher zu machen. Doch in ganz offiziellen Dokumenten kann man nachlesen, dass Cisco einfach nicht sicher denkt. Eine der Produkte sind VPN-Gateways über die man mit einem speziellen Client eine verschlüsselte Verbindung z.B. ins Firmennetz aufbauen kann. Einfach nicht zu glauben und schon gar nicht zu entschuldigen ist aber folgender Absatz aus der Anleitung zur Linux- und Solarisversion des VPN-Clients:
“User profiles reside in the /etc/CiscoSystemsVPNClient/Profiles/ directory. Leave the permissions for the Profiles folder set at drwxrwxrwx. Each profile in the Profiles folder should have the follwoing permissions: -rw-rw-rw-.”
Das bedeutet, dass sowohl das Verzeichnis in dem die Profile gespeichert werden, als auch die Profile selbst für jeden im System lesend und schreibend im Zugriff sind. In diesen Profilen werden u.a. Passwörter und Keys für den Serverzugriff gespeichert und referenziert. Cisco erwartet also, dass ein System, dass mit einigem Aufwand eine verschlüsselte Verbindung aufbauen soll extrem unsicher konfiguriert wird.
Das ist einfach durch nichts zu entschuldigen, dass ist von der grundsätzlichen Planung her schon so falsch, dass es niemals hätte programmiert werden dürfen, geschweige denn auf den Markt gebracht.