Was somit Allied Telesis für den Einsatz im professionellen Umfeld unbenutzbar macht. Nicht das andere das nicht auch hätten, aber wer dann nichtmal die Info aus der KB halten kann dem vertraut man dann nicht wirklich das er die Verfahren zur PW Erzeugung geheim halten kann. Zeigt mal wieder das security by obscurity nicht funktioniert.
Sebastian
Naja, wenn stimmt, was in einem Forums-Beitrag (http://www.heise.de/security/news/foren/S-Naja/forum-200858/msg-20300021/read/) steht, dann kann man kaum von einer echten Hintertür reden.
Solange die Passwörter nur über die serielle Konsole und nicht über das Netzwerk funktionieren, halte ich das für sehr unkritisch.
Normalerweise mache ich mir bei Geräten, bei denen sichergestellt ist, dass ein Zugriff nur über die serielle Schnittstelle bzw. ein spezielles Management-Interface möglich ist, nicht einmal die Mühe das Standard-Passwort zu ändern. Ich gehe nämlich davon aus dass ein Angreifer, der sich Zugriff zu diesen besonders gesicherten Schnittstellen verschaffen kann, auch problemlos Zugriff auf die zugehörige Passwort-Liste erlangen könnte.
SvenS
Das lass aber mal keine Innenrevision hören. Wenn personenbezogene Daten verarbeitet werden, dann kann das schon hart an einer Pflichtverletzung im Sinne des Datenschutzgesetzes sein.
Da geht es ja nicht nur um Zugriffe von außen, sondern auch von innen.
Flo
Da stellt sich dann aber die Frage ob alles was technisch möglich auch sinnvoll ist.
Ein Innentäter der Zugriff auf solche Schnittstellen hat, wird ziemlich sicher auch genügend ( ggf weitergehende) Rechte haben um entweder a) mit einer Kopie der Daten oder b) den original Daten aus der Firma rausspazieren zu können.
Sebastian
Bei uns gibt es keine Innenrevision.
Aber die Einhaltung datenschutzrechtlicher Vorschriften ist selbstverständlich wichtig und wird auch praktiziert.
Wenn auf die Management-Schnittstellen von Netzwerkggeräten aber sowieso nur die Personen Zugriff haben, die auch berechtigterweise Einblick in die entsprechenden Passwortlisten haben, sehe ich in der Verwendung von Nicht-Standardpasswörtern einfach keinen Sinn.
Das ist so, als würde man Unterlagen nicht nur in einem Tresorraum lagern, zu dem nur die berechtigten Mitarbeiter Zugang haben, sondern darüber hinnaus noch jeden Ordner mit einem kleinen Vorhängeschloss sichern.
Es bedeutet mehr Aufwand aber keine erhöhte Sicherheit, da jemand, der in den Tresorraum einbricht, sicher auch in der Lage ist die kleinen Vorhängeschlosser zu knacken.
Entsprechend halte ich es für übertrieben zusätzlich zur Sicherung der Management-Schnittstellen gegenüber dem restlichen Netzwerk zusätzlich auf (vergleichsweise schwache) Gerätepasswörter zu setzen.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
SvenS
Sebastian
Solange die Passwörter nur über die serielle Konsole und nicht über das Netzwerk funktionieren, halte ich das für sehr unkritisch.
Normalerweise mache ich mir bei Geräten, bei denen sichergestellt ist, dass ein Zugriff nur über die serielle Schnittstelle bzw. ein spezielles Management-Interface möglich ist, nicht einmal die Mühe das Standard-Passwort zu ändern. Ich gehe nämlich davon aus dass ein Angreifer, der sich Zugriff zu diesen besonders gesicherten Schnittstellen verschaffen kann, auch problemlos Zugriff auf die zugehörige Passwort-Liste erlangen könnte.
SvenS
Da geht es ja nicht nur um Zugriffe von außen, sondern auch von innen.
Flo
Ein Innentäter der Zugriff auf solche Schnittstellen hat, wird ziemlich sicher auch genügend ( ggf weitergehende) Rechte haben um entweder a) mit einer Kopie der Daten oder b) den original Daten aus der Firma rausspazieren zu können.
Sebastian
Aber die Einhaltung datenschutzrechtlicher Vorschriften ist selbstverständlich wichtig und wird auch praktiziert.
Wenn auf die Management-Schnittstellen von Netzwerkggeräten aber sowieso nur die Personen Zugriff haben, die auch berechtigterweise Einblick in die entsprechenden Passwortlisten haben, sehe ich in der Verwendung von Nicht-Standardpasswörtern einfach keinen Sinn.
Das ist so, als würde man Unterlagen nicht nur in einem Tresorraum lagern, zu dem nur die berechtigten Mitarbeiter Zugang haben, sondern darüber hinnaus noch jeden Ordner mit einem kleinen Vorhängeschloss sichern.
Es bedeutet mehr Aufwand aber keine erhöhte Sicherheit, da jemand, der in den Tresorraum einbricht, sicher auch in der Lage ist die kleinen Vorhängeschlosser zu knacken.
Entsprechend halte ich es für übertrieben zusätzlich zur Sicherung der Management-Schnittstellen gegenüber dem restlichen Netzwerk zusätzlich auf (vergleichsweise schwache) Gerätepasswörter zu setzen.