Ciscos Netzwerkzugangskontrolle unsicher vorkonfiguriert
Ciscos NAC soll sich austricksen lassen, indem Clients dem System vortäuschen, mit einem nicht unterstützten Betriebssystem zu laufen.
- Christiane Rütten
Ciscos Netzwerkzugangskontrolle NAC lässt sich aufgrund einer unsicheren Standardkonfiguration unter Umständen aushebeln. Wie Network World berichtet, soll es einem US-Studenten an der Universität Portland gelungen sein, sich ohne die vorgeschriebene Sicherheitsprüfung seines Notebooks durch die so genannten Trust-Agent-Software Zugang zum Universitätsnetzwerk zu verschaffen. Eigentlich soll NAC verhindern, dass unsichere oder nicht den Netzwerk-Richtlinien entsprechende Rechner keinen oder nur eingeschränkten Zugang zum Netzwerk erhalten.
Ursache des Problems sei die Standardkonfiguration des Cisco-Clean-Access-Systems gewesen, die dafür sorgen soll, dass etwa internetfähige Handys und PDAs Netzwerkzugang erhalten, wenn für deren Betriebssystem kein Trust-Agent verfügbar ist. Dem Studenten soll es gelungen sein, dem NAC vorzugaukeln, er betreibe eines der nicht unterstützten Betriebssysteme auf seinem Notebook.
Über die technischen Details des Angriffs ist bislang nichts bekannt. Cisco selbst hat das Problem jedoch offenbar erkannt, da laut Network World die Cisco-Clean-Access-Software seit Version 4.1.1 Geräte mit unbekannten Betriebssystemen nicht mehr ohne Weiteres ins Netz lässt. Möglicherweise handelt es sich dabei jedoch nur um einen Workaround für ein tiefer liegendes Problem bei der Erkennung der Client-Betriebssysteme. Registrierte Cisco-Kunden erhalten in den Release-Notes zur neuen Version weitere Informationen.
Siehe dazu auch:
- Ciscos Netzwerkzugangskontrolle NAC ausgetrickst, Meldung von heise Security
(cr)
