Zyxel GS1920 - SNMP?

bandchef

Lt. Commander
Registriert
Juli 2016
Beiträge
1.463
Hallo,

ich hab einen Zyxel GS1920-24HPv2 in meinem Heimnetzwerk in Betrieb. Bei jedem login bekomme ich diese Meldung:
1667924947773.png


Kann mir jemand sagen, wie ich diese Meldung wegbekomme, bzw. was ich dort für SNMP einstellen sollte?
 
Einfach den Anweisungen folgen, also Passwort ändern.
 
  • Gefällt mir
Reaktionen: madmax2010 und kartoffelpü
Don_2020 schrieb:
Einfach den Anweisungen folgen, also Passwort ändern.
Tja, das hatte ich auch gedacht. Ich hab auf den blauen Link in dieser Warning geklickt und in der Tat diese Maske erhalten:
1667925227025.png

Darin habe ich dann das Administrator-Passwort abgeändert, aber beim nächsten Login kam die Meldung wieder.

Ich glaube daher, dass SNMP abschalten zielführender ist, also so wie @niteaholic auch meint.

Frage: Was ist SNMP und für was brauche ich das, dass das standardmäßig aktiviert ist?
 
Mit dem SNM Protokoll kannst du dir Aktivitäten deiner Geräte welche sich im Netzwerk befinden abfragen. CPU/Auslastung/HDD Temp usw. usf.
Also nichts was du als Privatperson ohne Homeserver je wirklich brauchen solltest.

Daher kannst du SNMP getrost abschalten und dich freuen die Meldung nicht mehr sehen zu müssen.

Edit: die Meldung kommt wieder weil in den unteren Felder alles auf Public gesetzt ist. Setze es auf private und die Meldung sollte weggehen. Nachdem du es auf private gesetzt hast, kannst du anschließend SNMP deaktivieren.
 
  • Gefällt mir
Reaktionen: madmax2010
Configuration -> Management -> SNMP -> Global -> Disable setzen.
Wenn du SNMP nutzen willst die Community anpassen das es nicht mehr "public" ist.
1667925634964.png
 
  • Gefällt mir
Reaktionen: Meckerkopp
niteaholic schrieb:
Edit: die Meldung kommt wieder weil in den unteren Felder alles auf Public gesetzt ist. Setze es auf private und die Meldung sollte weggehen. Nachdem du es auf private gesetzt hast, kannst du anschließend SNMP deaktivieren.
Vielen vielen Dank! Ich hab's genauso gemacht und die Meldung ist nun weg.

Ich habe zum Menü "Management" noch eine Frage. Es gibt da den Punkt "Service Access Control". Dort werden alle Möglichkeiten aufgelistet, über welche man an die Einstellungen des Switches "rankommt".

Welche sollte man ausschalten? Ich habe bisher nix anderes zum Konfigurieren des Switches benutzt außer HTTP und HTTPS, also Zugriff über Browser. Wäre es deshalb ratsam nur die beiden zu aktivieren?
1667925812289.png


Und noch weitere abschließende Fragen:
Im Punkt Account Security könnte ich eine "Password Encryption" aktivieren. Ist dies sinnvoll?
1667925982794.png



Zum Menüpunkt "Logins": Aktuell logge ich mich immer mit dem vorangelegten Adminstrator-Account (aber mit verändertem Passwort!) ein. Ist es genauso wie bei meinem NAS, ratsam, den vorangelegten Admin-Account so zu belassen (bzw. wenn es geht diesen zu deaktivieren) und einen neuen Account anzuelegen?
1667926109157.png


Und dann gibt es noch "Remote Management":
1667926176751.png

Ich gehe davon aus, dass ich den ersten Eintrag auch deaktivieren kann, weil "Remote" werde ich den Switch auch nicht bedienen wollen...
Ergänzung ()

Masamune2 schrieb:
Configuration -> Management -> SNMP -> Global -> Disable setzen.
Den Punkt finde ich in meiner Ansicht nicht.
 
bandchef schrieb:
Welche sollte man ausschalten? Ich habe bisher nix anderes zum Konfigurieren des Switches benutzt außer HTTP und HTTPS, also Zugriff über Browser. Wäre es deshalb ratsam nur die beiden zu aktivieren?
SSH wuerde ich an lassen.
ICMP auch, wennd er auf Pings antworten soll
 
bandchef schrieb:
Vielen vielen Dank! Ich hab's genauso gemacht und die Meldung ist nun weg.
Bei der Community handelt es sich um so etwas ähnliches wie ein Passwort.
"public" ist normalerweise der Default um Daten auszulesen (SNMP get) und mit "private" kann man auch Daten verändern (SNMP set)
d.h. ein potenzieller Angreifer würde als erstes "private" verwenden um ein System zu manipulieren. Daher bitte alle Werte auf ein zufälliges Kennwort ändern, sofern sich SNMP nicht abschalten lässt.
 
bandchef schrieb:
Welche sollte man ausschalten?
wenn man es richtig machen will: alles was nicht verschlüsselt ist und alles was man nicht benutzt. icmp für ping kann aktiviert bleiben.
bandchef schrieb:
Ich gehe davon aus, dass ich den ersten Eintrag auch deaktivieren kann, weil "Remote" werde ich den Switch auch nicht bedienen wollen...
alles, was du übers netzwerk machst (und nicht mit einem seriellen kabel), ist "remote". deaktivierst du den ersten eintrag, kommst du gar nicht mehr rauf. man könnte hier das interne netz angeben oder nur die ip eines dedizierten rechners.

noch zu snmp: die community von "public" auf "private" zu setzen mag zwar die warnung deaktivieren, bringt aber sicherheitstechnisch nichts, da "private" genauso well-known wie "public" ist (die community ist wie ein passwort und wenn jeder "private" benutzt bringt das auch nichts) und ein angreifer das unverschlüsselte snmp einfach mitlesen könnte. erst mit snmp v3 wird es sicher(er). generell gilt, dass man services, die man nicht braucht, abschaltet.
 
0x8100 schrieb:
noch zu snmp: die community von "public" auf "private" zu setzen mag zwar die warnung deaktivieren, bringt aber sicherheitstechnisch nichts, da "private" genauso well-known wie "public" ist (die community ist wie ein passwort und wenn jeder "private" benutzt bringt das auch nichts) und ein angreifer das unverschlüsselte snmp einfach mitlesen könnte. erst mit snmp v3 wird es sicher(er). generell gilt, dass man services, die man nicht braucht, abschaltet.
Ok. Weiter oben hat ein Kollege einen Screenshot gepostet das zeigt, dass man SNMP auch komplett abschalten kann (was mir auch am liebsten wäre!), aber entweder im Screenshot wird eine andere Firmware/anderes Gerät gezeigt, oder ich finde bei mir den Eintrag zum Deaktivieren des SNMP nicht?!
0x8100 schrieb:
wenn man es richtig machen will: alles was nicht verschlüsselt ist und alles was man nicht benutzt. icmp für ping kann aktiviert bleiben.
Ok. Dann deaktiviere ich alles bis auf ICMP und https.
 
Ja ich habe einen GS1900 und nicht den 1920, bin mal davon ausgegangen, dass die Firmware sehr ähnlich ist.
Du kannst bei dir aber den Zugriff auf SNMP einfach deaktivieren und die Community tauschen dann kommt die Warnung nicht mehr und der Dienst ist auch nicht mehr erreichbar.
 
bandchef schrieb:
[IMG]https://www.computerbase.de/forum/attachments/1667925812289-png.1281159/[/IMG]
Unter "Service Control" kann man SNMP deaktivieren. Manchmal bin ich deppert und über sehe den Wald vor lauter Bäumen...

Und noch eine Frage zum Service Control:
Wenn ich nun http, https und icmp aktiviert lasse und alle anderen Möglichkeiten deaktiviere, funktioniert aber der Zugriff auf die GUI des Swtiches nach wie vor über meine Browser, oder?
Ich spreche im Browser den Switch direkt mit seiner IP-Adresse an. In meinem Fall gebe ich einfach "192.168.178.2/login.html" ein und drücke Enter.

So würde ich es konfigurieren, aber wie gesagt, wichtig ist mir, dass ich nach wie vor über den am LAN angebundenen Laptop und einem Browser (IE, Chrome) auf den Switch drauf komme:
1667987623337.png


Könnt ich dann vielleicht sogar noch http deaktivieren und nur https und icmp aktiviert lassen und ich komme mit 192.168.178.2/login.html über den Browser auf den Switch drauf?
 
Zuletzt bearbeitet:
HTTPs-only macht Deinen Switch nicht sicherer. Das Abschalten von HTTP verhindert nur, dass Du es nicht versehentlich nutzt. Wenn jemand in Deinem Netz schnüffelt, könnte er wegen HTTP das Passwort abgreifen und den Switch übernehmen. Ich würde neben ICMP auch HTTP an lassen, weil sich bei HTTPs bzw. TLS laufend Dinge ändern und dann auf einmal kein (aktueller) Web-Browser mehr kompatibel ist. Stattdessen darauf achten, immer HTTPs zu verwenden.
bandchef schrieb:
  1. Aus reiner Neugierde: Weswegen nutzt Du einen konfigurierbaren Switch konkret?
  2. Aus reiner Neugierde: Weswegen die GS1920-Series und nicht die GS1900-Series?
Ich weiß, dass man gebraucht für einen Switch quasi nichts mehr bekommt, aber wenn Du keinen konfigurierbaren Switch bräuchtest, warum nicht ein normaler Switch? Ich kenne jetzt die Zyxel GS1920-Series zu wenig, aber früher hatten deren Switche nicht nur merkwürdige Voreinstellungen bei der Sicherheit – man musste alles Unmögliche erst Abschalten – sondern auch bei den Strom-Spar-Optionen – man musste alles Unmögliche erst einschalten. Für einen Laien ohne entsprechende Berufs- bzw. Fachausbildung kaum beherrschbar.
 
norKoeri schrieb:
Aus reiner Neugierde: Weswegen nutzt Du einen konfigurierbaren Switch konkret?
Wegen Magenta TV weil mir der Elektriker einen mit konfigurierbaren IGMPv3 empfohlen hat, weil es wegen Multicast zu Problemen kommt.
norKoeri schrieb:
Aus reiner Neugierde: Weswegen die GS1920-Series und nicht die GS1900-Series?
Das weiß ich nicht. Irgendein Thema konnte die 1920er Serie anscheinend nicht. Ich habe vor über 3 Jahren einen Switch gebraucht, der für mindestens 16 Kanäle 1GBit bereithält, POE für mindestens 4 davon bereitstellt (3x Unify Access Points, 1x Unify Außenkamera) sowie IGMPv3 beherrscht. Irgendwann bin ich eben darauf gestoßen, dass es zum damaligen Zeitpunkt keinen unmanaged Switch gegeben hat, der dieses Anforderungsprofil erfüllt hat!
norKoeri schrieb:
Ich kenne jetzt die Zyxel GS1920-Series zu wenig, aber früher hatten deren Switche nicht nur merkwürdige Voreinstellungen bei der Sicherheit – man musste alles Unmögliche erst Abschalten – sondern auch bei den Strom-Spar-Optionen – man musste alles Unmögliche erst einschalten.
Gerade bezogen auf Sicherheit und Stromsparmodus wäre ich dabei ein zu konfigurieren. Welche Themen müsste ich da abarbeiten? Kannst du mir da weiterhelfen @norKoeri
Ergänzung ()

norKoeri schrieb:
HTTPs-only macht Deinen Switch nicht sicherer. Das Abschalten von HTTP verhindert nur, dass Du es nicht versehentlich nutzt. Wenn jemand in Deinem Netz schnüffelt, könnte er wegen HTTP das Passwort abgreifen und den Switch übernehmen. Ich würde neben ICMP auch HTTP an lassen, weil sich bei HTTPs bzw. TLS laufend Dinge ändern und dann auf einmal kein (aktueller) Web-Browser mehr kompatibel ist. Stattdessen darauf achten, immer HTTPs zu verwenden.
Ok. ich deaktiviere dann Telnet, SSH, FTP, HTTPS und SNMP.


Edit:

Die Frage warum ich nicht den 1900 gekauft habe: Es gab in schlicht Mitte 2019 noch gar nicht!
 
Zuletzt bearbeitet:
bandchef schrieb:
Kannst du mir da weiterhelfen @norKoeri
Leider nein, weil ich keine GS1920-Serie hier habe.
Die Konfigurationsoberfläche ist bei jedem Hersteller anders – teilweise bereits bei unterschiedlichen Hardware-Generationen bzw. Modell-Serien, siehe oben 1900. Ich müsste wissen, welche Voreinstellungen wie sitzen und wo diese sitzen, um konkret helfen zu können. Vielleicht kommt noch wer vorbei, der einen GS1920er hat.
bandchef schrieb:
Die Telekom wechselt seit Mitte diesen Jahres (nach 15 Jahren) von Multicast auf Unicast.
Daher: Wenn Du die Telekom Media-Receiver zurückgibst und die neuen Möglichkeiten nutzt (Apple TV, MagentaTV One, MagentaTV Stick, App, …), dann brauchst Du kein IGMPv3-Snooping mehr.
bandchef schrieb:
Wenn Du alle Telekom Media-Receiver nicht indirekt über WLAN oder einen Switch sondern direkt in den Router steckst, brauchst Du kein IGMPv3-Snooping im Switch.
bandchef schrieb:
POE für mindestens 4 davon bereitstellt (3x Unify Access Points, 1x Unify Außenkamera)
Extra Switch nur für PoE, nur darauf achten, ob PoE oder PoE+ oder PoE++ nötig ist und dass das Gesamt-Budget ausreicht … dann reicht für den Rest vielleicht schon ein 8er-Switch … Du wärst für 60 € Deine Probleme los. Vermutlich verbraucht ein solches Setup auch noch weniger Strom – also niedrigere laufenden Kosten. Und Du könntest Deinen jetzigen Switch verkaufen … leider bringt das fast kein Geld und vielleicht auch nur neuen Ärger. Schwierige Entscheidung. Nur als Gedankenexperiment.
 
Also den Switch verkaufen kommt aktuell nicht in Frage, weil ich da auf jeden Fall drauf zahle. Und für das was ich drauf zahle, kann ich den switch lange laufen lassen. Noch dazu muss ich den Strom für die 5 POE Devices ja sowieso zahlen. Und klar, der Switch selber (unabhängig von POE) braucht auch Energie.

Schade ist, dass man zwar die aktuell konsumierte Energie der einzelnen POE Devices einsehen kann, nicht aber die gesamte vom Switch aufgenommenen Watt. Hier ein Screenshot einer aktuellen Stromaufnahme der POE Devices:
1667997628227.png
In Summe aktuell 20,4W + das was der Switch an sich noch braucht. Das weiß ich aber nicht. Ich kann mir aber nicht vorstellen, dass das nochmal deutlich mehr als 20W sind.
Hier hab ich jetzt übrigens in der TechTalk Section von Zyxel selbst einen Eintrag gefunden, der sagt, dass der Switch mit inaktiven POE Clients 14,46W benötigt. Bedeutet also, dass mein Switch ca. 34,86W benötigt; das wären dann auf das Jahr gesehen knapp 100€, was mich der Betrieb von Switch, einer Außen-Kamera, 3 Access Points und dem Unify Cloud Key (benötigt man wegen der Außenkamera) kostet.
 
Zuletzt bearbeitet:
bandchef schrieb:
nicht aber die gesamte vom Switch aufgenommenen Watt
Mein Tipp: Strom-Messgerät beim örtlichen Strom-Lieferanten oder Verbraucherzentrale ausleihen. Das steckst Du dann zwischen Netzteil des Switch und Steckdose(n-Leiste).
 
Zurück
Oben