24 Port Switch - Alter Cisco Empfehlenswert?

[Raijin]

Soweit ich weiß betreffen die meisten Sicherheitslücken die Managementschnittstelle. D.h. der Angreifer muss sich bereits im Netzwerk befinden, um den Switch anzugreifen. Cisco ist aber in der Tat nicht selten in den Schlagzeilen mit solchen Problemen.

 

[RalphS]

Dacht ichs mir.

Nein, es reicht nicht, wenn der Angreifer im Netzwerk ist. Managementport im LAN ist wie mit Domainadminkonto im Internet surfen, mit ganz ähnlichen Risiken.

Nicht ohne Grund gibts genug Cisco-Geräte, wo der M/P als Sub D9 ausgeführt ist und nicht als RJ45; und selbst die sind explizite Managementports, die nichts(!) mit regulären Ports zu tun haben.

A, konfigurieren + abklemmen = paßt für zuhause.
B, dediziertes Management-Netzwerk, das nicht ins LAN routet => überall da, wo permanenter Managementzugriff erforderlich ist.

 

[Raijin]

Nein, es reicht nicht, wenn der Angreifer im Netzwerk ist.

Ich meinte damit, dass der Angreifer überhaupt erstmal im Netzwerk sein muss, sei es durch Malware oder durch den Router (zB Portweiterleitung auf einen unsicheren Dienst). Dann ist das Kind aber bereits in den Brunnen gefallen.

 

[Groug]

Welche Sicherheitslücken siehst du in einem Privathaushalt wenn dort ein Enterprise-Gerät als reiner Layer2-Switch ohne Mgmt-Funktion im Betrieb ist?

Dazu müßte man jetzt die CVEs Cisco betreffend der letzten paar Jahre durchgehen.
Die habe ich jetzt natürlich nicht alle im Kopf, aber es waren einige und ich wollte nur darauf hinweisen
das man sich dieses Umstands bewusst ist.

Just for the record: ein l3 Switch ist natürlich KEIN Router, sondern ein l3 Switch.

Das Ding ist das wozu es parametriert ist. Mischung von Router und Switch.

Normal tät ich ja erwarten, daß man den Switch im LAN als solchen gar nicht sieht.

Wenn alles deaktiviert ist (snmp, radius, kerberos usw.) nicht.

 

[Raijin]

Im übrigen beschränken sich die Routingfunktionen eines L3-Switches in der Regel auf Inter-VLAN-Routing. Weitere Funktionen eines Routers wie zB NAT kann ein L3-Switch normalerweise nicht. Ein L3-Switch ist also kein Router-Ersatz, sondern ist für große Netzwerke mit viel Traffic zwischen den VLANs gedacht, der dann vereinfacht ausgedrückt direkt von VLAN-Port A nach VLAN-Port B geroutet werden kann, ohne den Umweg über einen dedizierten Router zu gehen (mit potentiellem Flaschenhals des Uplinks).

 

[RalphS]

Nur damit wir uns nicht völlig falsch verstehen: natürlich muß man sich der Umstände bewußt sein, was man sich da ins Haus holt. Ich denke nur, daß zuhause (!) das Risiko überschaubar bleibt. Daß man mit managed Switches ein zumindest grundlegendes Netzwerkverständnis mitbringt, setze ich allerdings (evtl irrtümlich) voraus.

Ich meinte damit, dass der Angreifer überhaupt erstmal im Netzwerk sein muss, sei es durch Malware oder durch den Router.

Ja, ich hab Dich verstanden: ohne Zugriff aufs LAN geht es ohnehin nicht.
Nur: Mit sollte es auch nicht gehen, denn der Managementport gehört nicht ins LAN und wenn er dort nicht verbunden ist, dann lösen sich (auch Dir zufolge) eine ganze Menge Angriffsvektoren in Luft auf.

Das Ding ist das wozu es parametriert ist. Mischung von Router und Switch.

Ah, okay. Per Definition über die Funktionalität hast Du sicherlich recht.
Für mich sind l3 Switches weiterhin switches, nur halt erweiterte, so wie application level firewalls trotzdem firewalls sind, auch wenn sie eben nicht bei l4 Schluß machen.
Entsprechend ist ein l3sw kein Ersatz für einen Router, eher... ein Switch mit angeflanschter Routerfunktionalität? Also so wie Fritzen ja auch einen 4port Switch angeflanscht haben.
Man spart den zusätzlichen Router für Vlans. Man kann auch überlegen, ob man im eigenen LAN (nur da) mit mehreren Segmenten die zusätzliche Hardware spart und einfach einen l3sw dazwischen hängt.

Dennoch, sobald man Router braucht, reichen l3sw nicht mehr. Ein l3 Switch kann nicht den Router ersetzen, noch nicht man zuhause die FritzBox.


Die Einbindung von Services - LDAP, Kerberos, snmp etc etc — ist natürlich trotzdem ein gewisses Einfallstor, insoweit dafür ein Socket benötigt wird (dhcp braucht für den Betrieb keins) und das nicht über den. MP geschoben werden kann. Wobei ich mich schon frage, unter welchen Umständen zumindest die genannten Services zusammen mit dem üblichen Traffic “vorne raus” geschickt werden müssen. Sollte eigentlich hinten rum über den MP besser gehen.
Nur muß man dann halt in zusätzliche Hardware investieren.

 

[Groug]

Das sind aber im Grundsatz Dienste die du deinem Netz zur Verfügung stellst. ZB. dhcp sollte schon auf Anfragen aus dem Netz antworten können. Also wird er auch erreichbar sein und macht auf dem MP nicht so wirklich Sinn.

Im Grundsatz solle man sich mit so einem Teil jedenfalls soweit auskennen das man beurteilen kann was man da macht.

Und bei Routern ala Frite hast du Recht, die bestehen im Prinzip ja aus drei Teilen. Modem, Router und Switch.

 

[Raijin]

@RalphS : Ok, dann haben wir also doch nicht aneinander vorbeigeredet

 

[Nightmar17]

Okay, ich werde das Ding wohl abgeben, weil jemand der sich damit auskennt, wird auf jeden Fall besser damit klarkommen.
Ich hole mir einen doofen Switch und gut ist