lospitas
Goto Top

Austausch von Netzwerkhardware nach EoL

Hallo zusammen,

ich würde mal gerne Eure Meinung erfahren wie Ihr mit Austausch von Netzwerkgeräten umgeht.
Darunter:
- Firewall
- Drucker
- Switche
- AccessPoints
- VoIP Telefone
- UMTS Router
- Modem/Router

Alle Netzwerkgeräte haben nach gewissen Jahren Ihr EndofLife d.h. Sie erhalten keine Firmwareupdates und entsprechend keine Securitypatches.

1. Tauscht Ihr die Netzwerkgeräte direkt aus wenn Sie EoL sind? oder
2. Macht Ihr da eine Unterscheidung welche Geräte es sind bspw. bei Firewall direkt nach EoL aber Drucker sind noch 10 Jahre nach EoL "unkritisch".

Die Geräte sind meistens nach max 5 Jahren EoL und ich finde es schwierig bspw. alle 5 Jahre einen neuen Drucker kaufen zu müssen...


Mein Bauchgefühl sagt mir
Firewall, AccessPoint Modem/Router und UMTS Router = direkt austauschen da von extern erreichbar
Switche = 5 Jahre nach EoL
Drucker/Voip = 10 Jahre nach EoL


Wie macht Ihr das so?

Besten dank und ich freue mich schon auf den Austausch face-smile

Content-Key: 2616079785

Url: https://administrator.de/contentid/2616079785

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: tikayevent
tikayevent 27.04.2022 um 10:18:38 Uhr
Goto Top
Ich persönlich mache da keinen Unterschied, EoL ist EoL.

Ja, bestimmte Geräte sind angreifbarer als andere, wie du selbst beschreibst, aber dass verleitet einen dazu, die anderen Geräte nicht zu beachten und genau deswegen sind diese erst richtig interessant als Teil eines Angriffsvektors.

Dazu kommt auch, dass durch Drucker und Telefone/Telefonanlagen doch sehr viele signifikante Daten durchlaufen, die am Perimeterrouter nicht vorbeikommen würden.

und ich finde es schwierig bspw. alle 5 Jahre einen neuen Drucker kaufen zu müssen.
Hahahahahahahahahahahhaahaha, da kennst du meine Leute hier schlecht. Rekordzeit um einen Drucker zu vernichten, liegt bei unter drei Stunden. Der langliebigste Drucker ist hier vielleicht 9 Monate alt. Missbräuchliche Nutzung durch lernresistentes Personal. Wir haben hier einen Mitarbeiter, der den ganzen Tag nur Drucker einrichtet und unsere komplette IT besteht aus drei Personen.
Mitglied: aqui
aqui 27.04.2022 aktualisiert um 11:09:38 Uhr
Goto Top
End of Life bedeutet nicht immer gleich End of Support!! Es bestimmt nur den Zeitpunkt wann die Geräte nicht mehr zu kaufen sind. Hersteller bieten sehr oft nach EoL auch weiter noch Support für abgekündigte Hardware.
Relevant ist also immer das End of Support Datum!
Ob man sich daran hält ist immer eine individuelle Entscheidung die sicher auch abhängig von der Nutzung des Gerätes ist und ob man ggf. noch Spare Parts hat. Bei einem Drucker oder einfachen L2 Switch ist das sicher anders als bei einer Firewall. Siehe u.a. Risikoanalyse.
<edit>
Bezugnehmend auf den Post von @tikayevent. Der Punkt ist richtig. Bzw. zumindestens sollte man sich die Definitionen des Herstellers genau durchlesen. Bei den Cisco SG Switches ist als Beispiel der HW Support erst Ende 2026 zuende und EoL (was auch nicht immer gleich EoS sein muss) Ende 2022.
Fazit: Man sollte also in den Herstellerankündigungen zuerst immer aufs Kleingedruckte achten. face-wink
</edit>
Mitglied: Doskias
Doskias 27.04.2022 aktualisiert um 10:25:23 Uhr
Goto Top
Moin,

die Frage ist so zu allgemein gestellt. Das hängt sehr stark von dem Gerät ab:

- Firewall
Wir nutzen Watchguard. Die Lizenz läuft 3 Jahre, danach muss die Lizenz erneuert werden. Die neue Lizenz beinhaltet 2 neue Geräte. Lizenz ohne neue Hardware ist maximal 100 € günstiger. Deswegen wird die Firewall immer alle 3 Jahre getauscht, deutlich früher als EoL

- Drucker
- Switche
- AccessPoints
- VoIP Telefone
- UMTS Router
- Modem/Router

Bin ich ehrlich. Nur wenn es Probleme gibt. Es gibt Drucker, die Drucken seit 12 Jahren, ohne dass hier jemals ein Firmwareupdate durchgeführt wurde. Switche werden ebenfalls regelmäßig getauscht, aber außerhalb des Tausches gibt es keine Updates. Ähnlich sieht es bei allen anderen Geräte aus, die du hier gelistet hast. Da gibt es nur Updates, wenn diese vom Hersteller als kritisch eingestuft wurde.

Gruß
Doskias
Mitglied: tikayevent
tikayevent 27.04.2022 aktualisiert um 10:47:02 Uhr
Goto Top
Zitat von @aqui:

End of Life bedeutet nicht gleich End of Support!! Es bestimmt nur den Zeitpunkt wann die Geräte nicht mehr zu kaufen sind. Hersteller bieten in der Regel nach EoL auch weiter noch Support für abgekündigte Hardware. Solltest du eigentlich auch wissen.
Relevant ist also immer das End of Support Datum!
Ob man sich daran hält ist immer eine individulle Entscheidung die sicher auch abhängig von der Nutzung des Gerätes ist und ob man ggf. noch Spare Parts hat. Bei einem Drucker oder einfachen L2 Switch ist das sicher anders als bei einer Firewall.

Ich bin der Meinung, da liegst du falsch.

Das End of Life ist das gesamte Konstrukt (End of Life-Lifecycle) und beginnt mit der Ankündigung, gefolgt vom ersten wichtigen Schritt, dem End of Sale und wird dann mit deinem End of Support (Cisco) oder dem End of Life (allgemein) abgeschlossen. Aber auch bei Cisco ist ein Gerät mit dem End of Support am End of Life angekommen.
Mitglied: lcer00
lcer00 27.04.2022 um 10:46:43 Uhr
Goto Top
Hallo,

bitte bedenken: Die Zeit über dem Supportende ist nicht das alleinige für die Bewertung des Sicherheitsrisikos. Hierzu gehört auch, wie exponiert das Gerät ist und wie das Gerät im Netzwerk platziert ist.

Gerade alte Drucker sind mir eigentlich suspekt, da sich da mit der Zeit dort massig Sicherheitslücken ansammeln. Daher stelle ich mir da auch die Frage, wie hoch das Risiko ist, dass der Drucker als Angriffsmittel missbraucht werden könnte. In manchen Konstellationen kann ein Router, der 1 Jahr über Supportende ist immer noch sicherer sein, als ein 10 Jahre alter Multifunktionsdrucker auf dem Schreibtisch des Domänenadmins face-smile.

Also nicht pro Gerätetyp, sondern für jedes Gerät individuell entscheiden (Risikoanalyse).

Grüße

lcer
Mitglied: Lochkartenstanzer
Lochkartenstanzer 27.04.2022 um 10:47:45 Uhr
Goto Top
Moin,

Drucker halten auch über 20 Jahre. Solange man Toner/Tinte/Verschleißteile bekommt, kann man die ohne weiteres nutzen, bis sie auseinanderfallen. Ggf. muß man die hat in ein separates Netz stecken und per Printserver ansteuern, wenn die Sicherheitskritische Bugs in der Firmware haben.


Switched, sofern sie unmanaged sind, kann man auch bis zum Zerfall nutzen. Ich habe hier nicht funktionierend HP- und 3com -Switche aus dem letzten Jahrtausend für "Spielzwecke"

Bei anderen Geräten muß man halt regelmäßig eine Risikoanalyse durchführen und das Risiko des weiteren Einsatzes bewerten. Dementsprechend kann man die Geräte ersetzen, anders, z.B. in unkritischen Bereichen, einsetzen ider einfach weiterbetreiben. Nicht alles muß sofort weggeworfen werden.

lks
Mitglied: NordicMike
NordicMike 27.04.2022 um 10:47:50 Uhr
Goto Top
In kleineren Betrieben ist es anders in großen Betrieben oder als Systemhaus / Dienstleister.

Auch spielt das Budget eine entscheidende Rolle.
Mitglied: 117471
117471 27.04.2022 um 10:50:44 Uhr
Goto Top
Hallo,

ich sichere die Türen und eventuell noch ein paar Schubladen oder Schränke.

Aber sicher nicht deren Inhalt.

Gruß,
Jörg
Mitglied: Doskias
Doskias 27.04.2022 um 10:53:52 Uhr
Goto Top
Zitat von @lcer00:
bitte bedenken: Die Zeit über dem Supportende ist nicht das alleinige für die Bewertung des Sicherheitsrisikos. Hierzu gehört auch, wie exponiert das Gerät ist und wie das Gerät im Netzwerk platziert ist.
Daumen hoch face-wink

Gerade alte Drucker sind mir eigentlich suspekt, da sich da mit der Zeit dort massig Sicherheitslücken ansammeln. Daher stelle ich mir da auch die Frage, wie hoch das Risiko ist, dass der Drucker als Angriffsmittel missbraucht werden könnte. In manchen Konstellationen kann ein Router, der 1 Jahr über Supportende ist immer noch sicherer sein, als ein 10 Jahre alter Multifunktionsdrucker auf dem Schreibtisch des Domänenadmins face-smile.
Das unterstreiche ich auch. In vielen Umgebungen, die ich kennen gelernt habe, arbeiten die Domänen-Admins oft den ganzen Tag mit Domän-Admin-Rechten. Bei uns ist das glücklicherweise anders. Mein Account hat nur die gleichen Rechte wie jeder andere auch. Auch ich kann bei mir nicht alle Punkte der Systemsteuerung einsehen. Es gibt keinen Grund, wieso ich als Benutzer auf installierte Programme zugreifen muss. Wenn ich da rein will, dann muss ich mich als Admin anmelden bzw. "Ausführen als" nutzen. Wofür brauche ich an meinem Rechner dauerhafte Adminrechte, wenn ich 90% der Zeit in Server-RDP-Sitzungen arbeite?

Also nicht pro Gerätetyp, sondern für jedes Gerät individuell entscheiden (Risikoanalyse).
Und auch hier gilt: Gerät = physisches Gerät. Ein lokal angeschlossener Drucker muss anders bewertet werden als ein Netzwerkgerät.
Mitglied: linuxadm
linuxadm 27.04.2022 um 12:06:27 Uhr
Goto Top
Hallo,

ich betreue hauptsächlich KMUs, da wird das meiste so lange verwendet, bis es auseinanderfällt.

Ich handhabe das so:
  • Firewalls, Router usw., die Kontakt von außen haben: bis Supportende
  • Infrastruktur wie gemanagte Switche, AP: bis Supportende oder, wenn nur intern (Testaufbauten usw.) bis kaputt
  • ungemanagte Switche: bis kaputt
  • Drucker: bis kaputt (was meist deutlich vor dem Supportende passiert), aber die gehören sowieso in ein eigenes VLAN gesperrt. Ich möchte nicht wissen, was in der Firmware gerade von günstigen Geräten rumdümpelt.

Ich habe noch ein paar Nadeldrucker, die deutlich über 20 Jahre alt sind, aber die haben nur parallelen oder seriellen Anschluss und der Angriffsvektor geht gegen 0.

Wie immer das Risiko abschätzen und notfalls den zu geizigen Geschäftsführern auch mal auf die Füße treten.

Zitat von @tikayevent:

Wir haben hier einen Mitarbeiter, der den ganzen Tag nur Drucker einrichtet und unsere komplette IT besteht aus drei Personen.

So stelle ich mir die Hölle vor. Tagein tagaus Drucker einrichten. *grusel*
Mitglied: dertowa
dertowa 27.04.2022 um 12:08:31 Uhr
Goto Top
Salut,

Zitat von @lospitas:
- Firewall
Die gibt es doch heute eigentlich nur noch mit "Lizenzen", also Laufzeit = "Wartung", danach
kann man verlängern oder der Hersteller teilt einem mit, dass das genutzte Produkt nicht mehr
unterstützt wird.
Bedeutet auch, dass ein Austausch hier relevant ist da es eine zentrale Sicherheitskomponente ist,
aber eben nur zwingend erforderlich wenn es nichts mehr gibt oder die Leistung den gewachsenen
Anforderungen nicht mehr genügt.

Alles andere ist immer eine Frage des Geschmacks.
Tauschst du einen PC aus, nur weil der OEM seit 1 Jahr kein BIOS mehr herausgebracht hat, oder weil
er der Meinung war seit Windows 10 2004 keine Treiber mehr zu veröffentlichen und somit neuere
Versionen nicht offiziell zu supporten?

Alle Netzwerkgeräte haben nach gewissen Jahren Ihr EndofLife d.h. Sie erhalten keine Firmwareupdates und entsprechend keine Securitypatches.
Nur weil ein Gerät EOL geht heißt es ja nicht, dass es deinen Anforderungen nicht mehr genügt, ggf. hast
du sogar eine passende Ersatzkomponente im Schrank - was zum Austausch immer schneller ist als jegliches
Supportlevel was du irgendwo kaufen kannst.
...da spielen aber natürlich noch viele andere Faktoren eine Rolle.

Mein Bauchgefühl sagt mir
Firewall, AccessPoint Modem/Router und UMTS Router = direkt austauschen da von extern erreichbar
Bei der Firewall stimme ich zu, Modem/Router liegt doch eher im Verantwortungsbereich des ISP und dahinter ist deine Firewall, also wayne...
Switche = 5 Jahre nach EoL
Drucker/Voip = 10 Jahre nach EoL
Wie oben erwähnt finde ich das nicht sinnvoll hier eine allgemeine Jahresregel aufzustellen.
Das erinnert mich an meine Oma, die als sie noch lebte mit 75 mal sagte:
  • Ich brauche noch mal ein neues Auto, denn 10 Jahre will ich noch fahren.
Sie bekam ein neues Auto hat es aber keine 10 Jahre gebraucht. Will sagen, der Blick in die Zukunft ist schwierig.

Grüße
ToWa
Mitglied: commodity
commodity 27.04.2022 um 12:43:33 Uhr
Goto Top
Zitat von @lcer00:
wie exponiert das Gerät ist und wie das Gerät im Netzwerk platziert ist.
Full ACK! Unsichere Peripherie gehört in ein eigenes abgeschirmtes VLAN - und weiter geht's.
Netzwerkinfrastruktur, die Intelligenz besitzt, sollte raus. Im KMU darf aber auch hier abgewogen werden (auch hier wieder Kollege @icer00 treffend mit einem Wort: "Risikoanalyse".

Die Herstellerunterstützung ist ja nur eine Seite. Wer bitte schafft es, jedes Update seiner Peripherie mitzunehmen?

Viele Grüße, commodity
Mitglied: 108012
108012 27.04.2022 um 14:20:39 Uhr
Goto Top
Hallo zusammen,

also entweder wird ausgetauscht wenn es von Nöten ist und/oder wenn die Vorschriften
es einem sagen!

Sehr viele Unternehmen und dazu gehören auch sehr viele KMUs "müssen" eben auf gewisse Sachen
achten, ob Sie das "toll" finden oder ob Sie das finanziell so eingeplant haben ist dann eben Nebensache.

- Firmen und/oder Mitarbeiterwunsch
- Vorschriften von Versicherungen
- Anfragen von Geschäftspartnern
- Unternehmensvorschriften
- Vorschriften vom Konzern
- Anfragen von Kunden
- Stand der Technik

Neue Hardware oder nur noch Hardware mit N/AC/AX WLAN Standard, warum dann nicht auch die WLAN
APs tauschen, ist das auch nichts wirklich schlechtes oder?

Der Firewall Hersteller X lässt seine Firewall nicht mehr ICSA zertifizieren, ist aber so von der Versicherung
vorgeschrieben worden, also muss eine neue Firewall her, ob das nun toll ist oder nicht, da fragt keiner nach.

Kunden oder Partner wollen etwas geändert haben und/oder fragen etwas an, dann wird eben etwas neues
besorgt und/oder abgeändert.

Plotter und Nadeldrucker die Ihren Dienst seit 20 Jahren tadellos verrichten, warum austauschen.

Das kann man so lange weiter beschreiben bis es nicht mehr "geht".

Dobby
Mitglied: Trommel
Trommel 27.04.2022 aktualisiert um 14:39:55 Uhr
Goto Top
Zitat von @linuxadm:
Zitat von @tikayevent:

Wir haben hier einen Mitarbeiter, der den ganzen Tag nur Drucker einrichtet und unsere komplette IT besteht aus drei Personen.

So stelle ich mir die Hölle vor. Tagein tagaus Drucker einrichten. *grusel*

In der Tat ! Und dann noch den ganzen Tag Druckertreiber installieren. Oder bei M-Markt Datenübernahmen von Privatkunden-Smartphones durchführen.

Trommel
Mitglied: Benandi
Benandi 27.04.2022 um 22:33:32 Uhr
Goto Top
Hey ihr,

sowas in der Art wollte der TO schon mal wissen ;)

Spielt man den exemplarischen Lebenszyklus eines Gerätes am Beispiel Cisco Catalyst 3750-X mal durch, gibt es EoL nur als einen von mehreren Punkten, die man als "Todestag" betrachten kann.
- Wenn man das Produkt nicht mehr neu erwerben kann (kein Ausbau / Erweiterung / Reserve mehr möglich) - End of Sale (EoS)
- Wenn man keinen Wartungsvertrag mehr neu abschließen oder verlängern kann (wie komme ich denn nun an Ersatz oder das Recht auf Downloads?) - End of New Service Attachment Date (EoNSA) bzw. End of Service Contract Renewal Date (EoSCR)
- Wenn das Produkt keine Bugfixes oder Features mehr bekommt (nur relevant, falls man zu den Geplagten gehört oder unbedingt eine bestimmte Funktion braucht) - End of Software Maintenance (EoSM)
- Wenn Sicherheitslücken nicht mehr geschlossen werden (die aber eher zufällig oder bei vergleichbaren Produkten gefunden werden) - End of Vulnerability/Security Support (EoVS)
- Wenn das Produkt verwaist ist - End of Life (EoL) -> Last Date of Support
Andere Hersteller gehen teils granularer, teils grobschlächtiger und manche auch "überraschend" mit dem Produktlebenszyklus um. Auch kann "refurbished" Ware durchaus eine Option sein, wenn es nicht zwingende Gründe für Neuware gibt.

Mittlerweile habe ich als Inhouse-IT vier Unternehmensgrößen durch, wobei man die jeweilige "Epoche" nicht vernachlässigen sollte:

Handwerksbetrieb mit 10 Personen: "Das hat zu laufen. Wir haben schon viel Geld dafür bezahlt." Solange kein Zulieferer oder eine Softwareschmiede dem einen Riegel in Form eines "wird nicht mehr unterstützt" oder "braucht mehr Ressourcen" vorgeschoben hat, gab es weder Budget noch Know-How. Alle Geräte und Software haben gefälligst bis zur Apokalypse zu funktionieren und sollte dem nicht so sein, ist Basteln (naja.. Pfuschen) die Devise.

KMU mit 600 Personen: "* EDV, nichts funktioniert." Die Budgetplanung war für Außenstehende nicht logisch nachvollziehbar. Sofern selbst betreut, wurde die Hardware (und teils auch Software) bis zum Zerfall oder einem signifikanten Schwund durch spontane Selbstzerstörung (wie beispielsweise versehentlich umgekippter Kaffee, Freilandhaltung nach erfolgreicher Luft durch das Fenster oder Suizid durch Kontakt mit aggresiven Wänden) und damit steigenden Kosten durch Ersatzhardware gleichen Typs betrieben. Falls das Produkt jedoch von einem externen Dienstleister betreut wurde, war dessen vorsichtiges Anraten stets als unmittelbare Arbeitsanweisung zur Beauftragung einer Maßnahme zu verstehen.

KMU mit 1200 Personen: "Menno, IT ist ja doch wichtig..." Anfangs nur bei geschäftskritischen Systemen, später aber auch allgemein, wurde Budget nach Bekanntgabe der hausinternen IT (respektive Prüfung eines externen Anratens) meist bewilligt. Interessanterweise war dort die Benutzererfahrung wichtiger als die Systemsicherheit.

Aktueller Arbeitgeber mit 16000 Personen: "IT und Security sind wichtig!" In der Branche wurden bereits mehrere Mitbewerber Opfer eines Hacks und haben teils empfindliche Blessuren bis hin zum Beinahe-Konkurs davon getragen. Zusätzlich mausert sich der Onlinevertrieb zur Haupteinnahmequelle. Weiterhin spielt die Größe eine Rolle, denn alle Geräte eines Typs auf einen Schlag auszutauschen ist nicht mehr realistisch.
Modem, UMTS, etc.: nicht vorhanden. Die ISPs liefern Ethernet an.
Firewall: Hängt an den Wartungsverträgen / Lizenzen. Zusätzlich geht die Hardware in zwei Jahren EoL. Mit dem aktuellen Produkt ist man nicht so zufrieden und nutzt die Zeit bis dahin für Markterkundung und voraussichtlich einer Migration auf ein anderes Produkt. Danach wird der Zyklus vermutlich wieder an den Lizenzen / Wartungsverträgen hängen. Wenn neue Lizenzen vergleichbar viel wie neue Hardware inkl. Lizenz kosten, gibt es halt zusätzlich noch neue Hardware face-smile (War beispielsweise bei Fortinet FortiGate 100E Lizenz vs. FortiGate 100F Hardware inkl. Lizenz so.)
Router, Switche, WLC, APs: Nur Cisco "wegen der Kompatibilität untereinander". Sobald ein Produkt EoVS erreicht hat (also keine Security Patches mehr bekommt), hat es bereits ausgetauscht zu sein.
Telefonie ist zum Glück woanders verortet und nicht meine Baustelle.
Drucker: kommen vom Dienstleister, haben ihr eigenes VLAN und werden auch sonst sehr separiert. Sobald der Dienstleister von seinem Mangementtool ein gewisses Druckvolumen gemeldet bekommt, ersetzt er das Gerät. Dabei kann es auch passieren, dass einfach ein neueres Modell angeliefert wird, weil das alte nicht mehr vertrieben wird (quasi End of Sale).
SPS / Industriesteuerung / "IoT": tja... komplette Abhängigkeit vom Hersteller. Daher isolieren wir die Dinger, so weit irgend möglich. Wenn es wirklich eklatante Mängel oder Lücken gibt, versuchen wir auf den Hersteller einzuwirken, sofern er nicht bereits mit uns eine Lösung entwickelt. Da bieten wir durchaus Unterstützung an, wenn wir können. Bis dahin versuchen wir in Kooperation mit dem restlichen Unternehmen, den corpus delicti noch stärker zu isolieren, ohne den Betrieb zu sehr einzuschränken.

Soviel zum konkreten betrieblichen Umfeld. Ich selbst vertrete die Meinung, dass es darauf ankommt, wie gut ein Produkt in unterschiedlich starker Isolation nutzbar ist. Die meisten Kollegen hier haben diesen Ansatz bereits erläutert. @108012 hat dabei die Zeilen geschrieben, die mir am besten gefielen.
Ein netzwerkfähiges Gerät, welches nur noch bedingt oder gar nicht ins Netz darf, kann ggf. mit Einschränkungen durchaus noch benutzbar / verwendbar sein. Das ist eben eine Abwägung, die jedes Unternehmen individuell treffen muss.
(Fingiertes Extrembeispiel: Ein quasi öffentlich zugängliches Multifunktionsgerät, welches aufgrund eines nicht behebbaren Bugs mit vier Tastendrücken das ganze Netz lahm legen kann? Tja... ein neues Gerät wäre zu teuer, aber es ist okay, wenn aufgrund der geringen Frequentierung die User mit einem Firmen-USB-Stick zum Gerät gehen, um darauf zu scannen oder davon zu drucken. Zur Sicherheit wird der RJ45-Anschluss auch noch mechanisch unbrauchbar gemacht und WLAN hat es eh nicht.)
Mitglied: 117471
117471 27.04.2022 um 22:36:59 Uhr
Goto Top
Hallo,

Zitat von @commodity:

Full ACK! Unsichere Peripherie gehört in ein eigenes abgeschirmtes VLAN - und weiter geht's.

Wenn ein Angreifer (oder Wurm / Virus / Trojaner) überhaupt erst mal so weit ist, dass er den Drucker IP-technisch erreichen kann, hat man ganz andere Probleme.

Und spätestens dürfte es auch attraktivere Ziele im Netzwerk geben als irgendeinen 5 Jahre alten Tinten### auf dem irgendwelche Klobürstenanleitungen und Kaffeetassenhinweise gedruckt werden.

VLAN hin oder her. Just my 2C.

Gruß,
Jörg
Mitglied: 2423392070
2423392070 28.04.2022 um 00:15:51 Uhr
Goto Top
Das sollte für jede Geräteklasse und jede Situation einzeln bewertet werden.

Übrigens sind Drucker grundsätzlich gefährlich, auch in einem eigenen VLAN. Sehr interessant, wie falsch das hier eingeschätzt wird.
Wie auch immer VLANs Sicherheit schaffen habe ich nicht verstanden.
Etwas Bildung, wie man hackt und crackt schadet nicht.
Ich würde von VoIP- Geräten und Druckern meine Attacken starten.
Mitglied: NordicMike
NordicMike 28.04.2022 um 06:13:04 Uhr
Goto Top
Wie auch immer VLANs Sicherheit schaffen habe ich nicht verstanden.
Indem niemand auf die Drucker drauf kommt, ausser der zuständige Druckerserver.
Mitglied: 2423392070
2423392070 28.04.2022 um 07:47:33 Uhr
Goto Top
Zitat von @NordicMike:

Wie auch immer VLANs Sicherheit schaffen habe ich nicht verstanden.
Indem niemand auf die Drucker drauf kommt, ausser der zuständige Druckerserver.

Und das geht von VLANs aus?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.04.2022 aktualisiert um 09:03:47 Uhr
Goto Top
Zitat von @2423392070:

Übrigens sind Drucker grundsätzlich gefährlich, auch in einem eigenen VLAN. Sehr interessant, wie falsch das hier eingeschätzt wird.
Wie auch immer VLANs Sicherheit schaffen habe ich nicht verstanden.

Moin,

Ganz einfach:

Du sperrst die Delinquenten (Drucker) in Gefängniszellen (VLANs) und sorgst durch einen Pförtner (Firewall), daß nur der Gefängnisbote (Print-Server/-Spooler) Nachrichten (Druckjobs) übermitteln darf und die Gefangenen (Drucker) keine Nachrichten nach außen schicken dürfen. Wenn Dir egal ist, was die Gefangenen (Drucker) miteinander treiben, kannst Du sie alle in die gleiche Zelle (VLAN) sperren, Ansonsten nimmst Du mehrere, ggf. sogar Einzelhaft.

lks
Mitglied: lcer00
lcer00 28.04.2022 um 09:16:23 Uhr
Goto Top
Hallo,
Zitat von @2423392070:

Zitat von @NordicMike:

Wie auch immer VLANs Sicherheit schaffen habe ich nicht verstanden.
Indem niemand auf die Drucker drauf kommt, ausser der zuständige Druckerserver.

Und das geht von VLANs aus?
Natürlich ist es völlig irrelevant, ob VLAN oder LAN. Die Sicherheit geht nicht vom (V)LAN aus sondern von der Firewall (oder Switch-ACLs), die das Routing begrenzt. Um im Gefängnisbild zu bleiben, vom Türwächter, der die Zugangsberechtigung prüft. VLANs alleine bringen wenig bis keine zusätzliche Sicherheit.

Ich befürchte, dass viele VLAN-motivierte nebenbei-Admins den Wege nicht bis zur Firewall zu Ende gehen, sondern froh sind, wenn nach der Switchkonfiguration die Hosts ihre neuen IP-Adressen haben. VLAN haben die dann, aber Sicherheit?

Grüße

lcer
Mitglied: NordicMike
NordicMike 28.04.2022 um 10:00:31 Uhr
Goto Top
VLANs alleine bringen wenig bis keine zusätzliche Sicherheit.
VLANs alleine bringen die absolute Sicherheit. Die Drucker sind dann ganz allein im Netzwerk, ohne Internet, ohne Druckserver, ohne Clients, ohne DHCP, ohne DNS usw. aber auch ohne Zugriffsmöglichkeiten.
Der Router / die Firewall sorgt dann erst für den sicheren Zugriff.
Mitglied: lcer00
lcer00 28.04.2022 um 10:09:00 Uhr
Goto Top
Zitat von @NordicMike:

VLANs alleine bringen wenig bis keine zusätzliche Sicherheit.
VLANs alleine bringen die absolute Sicherheit. Die Drucker sind dann ganz allein im Netzwerk, ohne Internet, ohne Druckserver, ohne Clients, ohne DHCP, ohne DNS usw. aber auch ohne Zugriffsmöglichkeiten.
face-smile face-smile
Das kann man mit einer herkömmlichen Haushaltsschere meist noch wesentlich verbessern, indem man das Netzwerkkabel durchtrennt!

Grüße

lcer
Mitglied: NordicMike
NordicMike 28.04.2022 aktualisiert um 10:12:28 Uhr
Goto Top
Haushaltsschere
Jup, das wäre dann "noLAN", dann sehen sich auch die Drucker untereinander nicht mehr.


1
Mitglied: commodity
commodity 28.04.2022 um 18:16:50 Uhr
Goto Top
Zitat von @2423392070:
Wie auch immer VLANs Sicherheit schaffen habe ich nicht verstanden.
Etwas Bildung, ...
Sei bitte so gut und investiere einen Hauch der von Dir zutreffend gelobten Bildung in Deine Netzwerkkentnisse.

Die (gebildeten) Kollegen haben ja schon herausgearbeitet, wie das mit dem VLAN und der Sicherheit geht. Und natürlich geht auch ein physikalisches Subnetz, wenn man genügend Kabel hat face-wink

Viele Grüße, commodity
Mitglied: 2423392070
2423392070 28.04.2022 um 18:54:05 Uhr
Goto Top
Ja, dann hieß es, dass Switch ACLs oder eine Firewall die Sicherheit schafft.
Mitglied: commodity
commodity 28.04.2022 aktualisiert um 21:36:57 Uhr
Goto Top
Zitat von @2423392070:
Ja, dann hieß es, dass Switch ACLs oder eine Firewall die Sicherheit schafft.
Prima, wenn Du das verstanden hast. +1
Genau deshalb hieß es oben auch:
Zitat von @commodity:
... abgeschirmtes VLAN
Nochmal: "abgeschirmtes"...
Gründliches Lesen spart so manch sinnlose Bemerkung. Passiert jedem mal, kein Problem.
Aber wenn's mit dem Lesen hapert, muss man ja nicht zugleich die (vermeintlich) mangelnde Bildung der Kollegen bemängeln. Schlechter Stil. Kannst Du sicher besser.

Viele Grüße, commodity
Mitglied: aqui
aqui 27.06.2022 um 15:12:17 Uhr
Goto Top
Wenn es das denn nun war bitte dann auch deinen Thread hier als erledigt schliessen!