Nur damit wir uns nicht völlig falsch verstehen: natürlich muß man sich der Umstände bewußt sein, was man sich da ins Haus holt. Ich denke nur, daß zuhause (!) das Risiko überschaubar bleibt. Daß man mit managed Switches ein zumindest grundlegendes Netzwerkverständnis mitbringt, setze ich allerdings (evtl irrtümlich) voraus.
Raijin schrieb:
Ich meinte damit, dass der Angreifer überhaupt erstmal im Netzwerk sein muss, sei es durch Malware oder durch den Router.
Ja, ich hab Dich verstanden: ohne Zugriff aufs LAN geht es ohnehin nicht.
Nur: Mit sollte es auch nicht gehen, denn der Managementport gehört nicht ins LAN und wenn er dort nicht verbunden ist, dann lösen sich (auch Dir zufolge) eine ganze Menge Angriffsvektoren in Luft auf.
Groug schrieb:
Das Ding ist das wozu es parametriert ist.
Mischung von Router und Switch.
Ah, okay. Per Definition über die Funktionalität hast Du sicherlich recht.
Für mich sind l3 Switches weiterhin switches, nur halt erweiterte, so wie application level firewalls trotzdem firewalls sind, auch wenn sie eben nicht bei l4 Schluß machen.
Entsprechend ist ein l3sw kein Ersatz für einen Router, eher... ein Switch mit angeflanschter Routerfunktionalität? Also so wie Fritzen ja auch einen 4port Switch angeflanscht haben.
Man spart den zusätzlichen Router für Vlans. Man kann auch überlegen, ob man im eigenen LAN (nur da) mit mehreren Segmenten die zusätzliche Hardware spart und einfach einen l3sw dazwischen hängt.
Dennoch, sobald man Router braucht, reichen l3sw nicht mehr. Ein l3 Switch kann nicht den Router ersetzen, noch nicht man zuhause die FritzBox.
Die Einbindung von Services - LDAP, Kerberos, snmp etc etc — ist natürlich trotzdem ein gewisses Einfallstor, insoweit dafür ein Socket benötigt wird (dhcp braucht für den Betrieb keins) und das nicht über den. MP geschoben werden kann. Wobei ich mich schon frage, unter welchen Umständen zumindest die genannten Services zusammen mit dem üblichen Traffic “vorne raus” geschickt werden müssen. Sollte eigentlich hinten rum über den MP besser gehen.
Nur muß man dann halt in zusätzliche Hardware investieren.