Sicherheit von KVM-Switches

Esteba

Ensign
Dabei seit
März 2013
Beiträge
224
Ich arbeite wie sicher viele hier jetzt schon seit einer Weile viel im Home Office und bin das ständige Umstecken von HDMI-Kabel, Maus und Tastatur leid. Es gibt bei einem großen amerikanischen Online-Versand diverse sogenannte KVM-Switches, mit denen ich mit einem Knopfdruck zwischen PCs hin- und herschalten kann. Ziemlich praktisch.

Ich frage mich jetzt nur, ob man sich bei solchen Geräten Sorgen machen muss, dass sie nach Hause telefonieren. Sicher, das könnten Mäuse, Tastaturen oder das Notebook selber theoretisch auch. Aber da gibt es zumindest renommierte Marken, die einen Ruf zu verlieren haben. Die gibt es bei den KVM-Switches nicht. Ich hätte eher ungern einen Keylogger mit einer Standleitung nach China bei mir dranhängen.

Ist es für ein USB-Gerät technisch überhaupt möglich, nach Hause zu telefonieren, ohne dass ich ihm in Windows vorher die Berechtigung zum Netzwerkzugriff erteilt habe? Und wenn ja, könnte man dann z.B. mit Wireshark überprüfen, ob irgendwelche Daten gesendet werden? Oder bin ich übertrieben paranoid? ;)
 

blablub1212

Rear Admiral
Dabei seit
Sep. 2009
Beiträge
5.200
Die haben auch KVM-Switche von Lindy. Das ist ein renommiertes und sogar dazu ein deutsches Unternehmen.
 

IBISXI

Commodore
Dabei seit
Jan. 2014
Beiträge
4.767
Direkt nach hause Telefonieren können USB Geräte nicht.

Sie können aber theoretisch alles machen, was man mit einer Tastatur oder einem Massenspeicher machen kann. (Terminal, Keylogger, usw.)

Kauf halt ein Markengerät.
 

EDV-Leiter

Ensign
Dabei seit
Juni 2014
Beiträge
200
Zu den "großen" Marken der KVM-Hersteller gehören für mich Aten, Lindy, Kensington.
Ich denke mal bei denen wird man tendenziell weniger eine "Schadhardware" bekommen als bei den NoName-China-Herstellern. Direkt nach außen kommunizieren kann ein USB-Gerät eh nicht so einfach, es sei denn es verbindet sich ins LAN oder WLAN.
Und wenn man es ganz paranoid angehen möchte nimmt man PS/2 statt USB.
 

Esteba

Ensign
Ersteller dieses Themas
Dabei seit
März 2013
Beiträge
224
Danke für die Empfehlungen. Lindy ist schon etwas hochpreisiger, aber ich schätze das ist dann halt der Preis, den man für Verlässlichkeit zahlen muss...
 

Mickey Mouse

Vice Admiral
Dabei seit
Aug. 2006
Beiträge
6.160
hmm, also ich hab hier gerade einen Hewlett Packard Series EO1013 auf dem "OP-Tisch" (zickt rum).
ist das keine "renomierte Marke"?
ok, das ist vielleicht auch nicht das typische Home-Office Billig Teil sondern ein "ganz normaler KVM Switch" und der hat "natürlich" ein Netzwerk Interface.
bei so einem Consumerteil bin ich ja mal gespannt, wie du den USB Bus mit Wireshark abhören möchtest ;)

nee mal im Ernst, eine gewisse Portion Paranoidität ist ja ganz gut, aber hier höre ich mehr gefährliches Halbwissen verpackt in Buzz-Words heraus.
 

EDV-Leiter

Ensign
Dabei seit
Juni 2014
Beiträge
200
Es gibt natürlich auch noch die netzwerkbasierten KVM-Systeme (KVM-Over-IP), oft mit eigenem Steuerserver.
Diese finden allerdings üblicherweise Anwendung in Rechenzentren.
 

Esteba

Ensign
Ersteller dieses Themas
Dabei seit
März 2013
Beiträge
224
Mir ist klar, dass ein USB-Gerät irgendwie eine Internetverbindung braucht, um nach Hause zu telefonieren. Aber wenn ich es an zwei Rechnern dranhängen habe, die beide mit dem Internet verbunden sind, ist es dann nicht theoretisch möglich? Wie machen das denn Hersteller wie Logitech, wenn sie sicherstellen wollen, dass die neusten Treiber und irgendwelche Zusatzsoftware zur Maus/Tastatur installiert ist?
 

EDV-Leiter

Ensign
Dabei seit
Juni 2014
Beiträge
200
Der (manipulierte) KVM-Switch kann natürlich einen eigenen Treiber mitbringen und nachinstallieren. Und dieser hat dann wie jede andere Software auch Zugriff aufs Netzwerk.
 

Leon_FR

Lieutenant
Dabei seit
Juni 2012
Beiträge
766
firewall an, router kontrolliern, Prozesse checken und bei richtiger paranoia schauen ob das ding versucht nach hause zu telefoniern unter wireshark. Ansonsten gibts keine 100% sicherheit, nix bei alibaba bestellen !
 

Esteba

Ensign
Ersteller dieses Themas
Dabei seit
März 2013
Beiträge
224
Alles klar, danke!

Denke ich werde dann das Ding von Lindy bestellen. Ist halt dreimal so teuer wie das was ich eigentlich kaufen wollte, aber wenn ich dann nachts besser schlafen kann... 🤷‍♂️
 

Conqi

Commander
Dabei seit
Dez. 2011
Beiträge
2.541
Das Geld kannst du dir auch sparen. KVM-Switches sind im Normalfall Plug&Play. Da muss man keinen Treiber nachinstallieren, sondern Windows bringt den mit. Ohne Software auch kein Netzwerkzugriff.

Markengeräte haben oftmals was Langlebigkeit oder zumindest Verarbeitungsqualität angeht ihre Vorteile, aber wegen der Sicherheit zu einem teureren Gerät greifen ist Quatsch.

Außerdem werden die am Ende eh alle in China gebaut und die Regierung pflanzt da unbemerkt ihre Chips ein. ;)
 

SpamBot

Admiral
Dabei seit
Juni 2010
Beiträge
7.176
Dann darfst du aber auch niemals bei Amazon kaufen, hier kann jeder ohne Probleme manipulierte War einlagern. Letzteres ist bei USB Sticks und co. sogar ein leichtes. Wenn man den Aluhut aufzieht dann bitte richtig :daumen:
 

nemix

Cadet 4th Year
Dabei seit
Feb. 2015
Beiträge
65
Darf man fragen was du dir gekauft hast? Ich stecke jeden morgen den Displayport um (von normalen Rechner auf Laptop und abends zurück) und das nervt mich langsam.
HDMI ist leider keine Lösung, da mir dann die 144Hz am Rechner fehlen und der Laptop gibt über HDMI keine 3440x1440 aus...
 

Esteba

Ensign
Ersteller dieses Themas
Dabei seit
März 2013
Beiträge
224
Ich weiß nicht, ob es erlaubt ist, hier Amazon-Links zu posten. Such einfach nach "lindy 2 port kvm switch", dann dürftest du es finden.

Mit Display-Port ist der Switch leider nochmal 15 Tacken teurer als mit HDMI. Ich habe zum Glück eh nur HDMI.
 

chithanh

Captain
Dabei seit
Okt. 2013
Beiträge
3.605
Ich würde den KVM-Switchen nicht weiter trauen als das USB-Kabel reicht.

Ein Kollege an der Uni hatte vor einigen Jahren einen Aten IP KVM Switch auseinandergenommen, und das Ergebnis war erschreckend schlecht: https://www.cvedetails.com/vulnerab...oduct_id-17455/Aten-Kn9116-Ip-Kvm-Switch.html

Der Hersteller war überhaupt nicht in der Lage, die berichteten Sicherheitsprobleme zu begreifen (vermutlich zugekaufte Technik) und hat erst reagiert, als ein CVE beantragt wurde.

Die reinen USB-KVMs ohne IP-Funktionalität haben wenigstens eine geringere Angriffsfläche.

Ich habe mir hingegen einen mechanischen USB-Umschalter für 3€ in der Bucht gekauft und schalte am Eingangswechselknopf meines Monitors um. Das sind zwar zwei Tastendrücke statt einem (sofern beide Rechner an sind), aber dafür handele ich mir nicht noch zusätzliche Komplexität ein.
 

EDV-Leiter

Ensign
Dabei seit
Juni 2014
Beiträge
200
Schön wärs, wenn das bei allen Monitoren so einfach wäre.
Ich kenne etliche Geräte, bei denen das nur umständlich über einen Unterpunkt irgendwo im Menü möglich ist.
Ich frage mich schon lange, warum es keine Monitore mit integriertem KVM Switch gibt.
Einen USB-Hub haben die Meisten, warum nicht auch noch einen USB-Switch, der zeitgleich mit dem Eingangswahlschalter geschaltet wird.
 

Esteba

Ensign
Ersteller dieses Themas
Dabei seit
März 2013
Beiträge
224
Ich habe mir hingegen einen mechanischen USB-Umschalter für 3€ in der Bucht gekauft und schalte am Eingangswechselknopf meines Monitors um. Das sind zwar zwei Tastendrücke statt einem (sofern beide Rechner an sind), aber dafür handele ich mir nicht noch zusätzliche Komplexität ein.
Entschuldige, wenn die Frage blöd ist, aber was genau ist ein mechanischer USB-Umschalter? Switches ohne eigene Stromversorgung gibt es ja viele. Aber am Ende hängt das Teil ja doch wieder über USB an mehreren Rechnern und ob es darüber nicht auch noch Strom bezieht und fragwürdige Dinge tut kann man ja nicht wissen, es sei denn man nimmt es auseinander, oder sehe ich das falsch?
 

nemix

Cadet 4th Year
Dabei seit
Feb. 2015
Beiträge
65
Ich habe mir hingegen einen mechanischen USB-Umschalter für 3€ in der Bucht gekauft und schalte am Eingangswechselknopf meines Monitors um. Das sind zwar zwei Tastendrücke statt einem (sofern beide Rechner an sind), aber dafür handele ich mir nicht noch zusätzliche Komplexität ein.
Leider limitiert da der eine vorhandene DP sonst würde ich das auch so machen.
 
Top