Austausch von Netzwerkhardware nach EoL

End of Life bedeutet nicht immer gleich End of Support!! Es bestimmt nur den Zeitpunkt wann die Geräte nicht mehr zu kaufen sind. Hersteller bieten sehr oft nach EoL auch weiter noch Support für abgekündigte Hardware.
Relevant ist also immer das End of Support Datum!
Ob man sich daran hält ist immer eine individuelle Entscheidung die sicher auch abhängig von der Nutzung des Gerätes ist und ob man ggf. noch Spare Parts hat. Bei einem Drucker oder einfachen L2 Switch ist das sicher anders als bei einer Firewall. Siehe u.a. Risikoanalyse.
<edit>
Bezugnehmend auf den Post von @tikayevent. Der Punkt ist richtig. Bzw. zumindestens sollte man sich die Definitionen des Herstellers genau durchlesen. Bei den Cisco SG Switches ist als Beispiel der HW Support erst Ende 2026 zuende und EoL (was auch nicht immer gleich EoS sein muss) Ende 2022.
Fazit: Man sollte also in den Herstellerankündigungen zuerst immer aufs Kleingedruckte achten.
</edit>

Moin,

die Frage ist so zu allgemein gestellt. Das hängt sehr stark von dem Gerät ab:

Wir nutzen Watchguard. Die Lizenz läuft 3 Jahre, danach muss die Lizenz erneuert werden. Die neue Lizenz beinhaltet 2 neue Geräte. Lizenz ohne neue Hardware ist maximal 100 € günstiger. Deswegen wird die Firewall immer alle 3 Jahre getauscht, deutlich früher als EoL


Bin ich ehrlich. Nur wenn es Probleme gibt. Es gibt Drucker, die Drucken seit 12 Jahren, ohne dass hier jemals ein Firmwareupdate durchgeführt wurde. Switche werden ebenfalls regelmäßig getauscht, aber außerhalb des Tausches gibt es keine Updates. Ähnlich sieht es bei allen anderen Geräte aus, die du hier gelistet hast. Da gibt es nur Updates, wenn diese vom Hersteller als kritisch eingestuft wurde.

Gruß
Doskias

Ich bin der Meinung, da liegst du falsch.

Das End of Life ist das gesamte Konstrukt (End of Life-Lifecycle) und beginnt mit der Ankündigung, gefolgt vom ersten wichtigen Schritt, dem End of Sale und wird dann mit deinem End of Support (Cisco) oder dem End of Life (allgemein) abgeschlossen. Aber auch bei Cisco ist ein Gerät mit dem End of Support am End of Life angekommen.

Hallo,

bitte bedenken: Die Zeit über dem Supportende ist nicht das alleinige für die Bewertung des Sicherheitsrisikos. Hierzu gehört auch, wie exponiert das Gerät ist und wie das Gerät im Netzwerk platziert ist.

Gerade alte Drucker sind mir eigentlich suspekt, da sich da mit der Zeit dort massig Sicherheitslücken ansammeln. Daher stelle ich mir da auch die Frage, wie hoch das Risiko ist, dass der Drucker als Angriffsmittel missbraucht werden könnte. In manchen Konstellationen kann ein Router, der 1 Jahr über Supportende ist immer noch sicherer sein, als ein 10 Jahre alter Multifunktionsdrucker auf dem Schreibtisch des Domänenadmins .

Also nicht pro Gerätetyp, sondern für jedes Gerät individuell entscheiden (Risikoanalyse).

Grüße

lcer

Moin,

Drucker halten auch über 20 Jahre. Solange man Toner/Tinte/Verschleißteile bekommt, kann man die ohne weiteres nutzen, bis sie auseinanderfallen. Ggf. muß man die hat in ein separates Netz stecken und per Printserver ansteuern, wenn die Sicherheitskritische Bugs in der Firmware haben.


Switched, sofern sie unmanaged sind, kann man auch bis zum Zerfall nutzen. Ich habe hier nicht funktionierend HP- und 3com -Switche aus dem letzten Jahrtausend für "Spielzwecke"

Bei anderen Geräten muß man halt regelmäßig eine Risikoanalyse durchführen und das Risiko des weiteren Einsatzes bewerten. Dementsprechend kann man die Geräte ersetzen, anders, z.B. in unkritischen Bereichen, einsetzen ider einfach weiterbetreiben. Nicht alles muß sofort weggeworfen werden.

lks

In kleineren Betrieben ist es anders in großen Betrieben oder als Systemhaus / Dienstleister.

Auch spielt das Budget eine entscheidende Rolle.

Hallo,

ich sichere die Türen und eventuell noch ein paar Schubladen oder Schränke.

Aber sicher nicht deren Inhalt.

Gruß,
Jörg

Daumen hoch

Das unterstreiche ich auch. In vielen Umgebungen, die ich kennen gelernt habe, arbeiten die Domänen-Admins oft den ganzen Tag mit Domän-Admin-Rechten. Bei uns ist das glücklicherweise anders. Mein Account hat nur die gleichen Rechte wie jeder andere auch. Auch ich kann bei mir nicht alle Punkte der Systemsteuerung einsehen. Es gibt keinen Grund, wieso ich als Benutzer auf installierte Programme zugreifen muss. Wenn ich da rein will, dann muss ich mich als Admin anmelden bzw. "Ausführen als" nutzen. Wofür brauche ich an meinem Rechner dauerhafte Adminrechte, wenn ich 90% der Zeit in Server-RDP-Sitzungen arbeite?

Und auch hier gilt: Gerät = physisches Gerät. Ein lokal angeschlossener Drucker muss anders bewertet werden als ein Netzwerkgerät.

Hallo,

ich betreue hauptsächlich KMUs, da wird das meiste so lange verwendet, bis es auseinanderfällt.

Ich handhabe das so:

• Firewalls, Router usw., die Kontakt von außen haben: bis Supportende
• Infrastruktur wie gemanagte Switche, AP: bis Supportende oder, wenn nur intern (Testaufbauten usw.) bis kaputt
• ungemanagte Switche: bis kaputt
• Drucker: bis kaputt (was meist deutlich vor dem Supportende passiert), aber die gehören sowieso in ein eigenes VLAN gesperrt. Ich möchte nicht wissen, was in der Firmware gerade von günstigen Geräten rumdümpelt.

Ich habe noch ein paar Nadeldrucker, die deutlich über 20 Jahre alt sind, aber die haben nur parallelen oder seriellen Anschluss und der Angriffsvektor geht gegen 0.

Wie immer das Risiko abschätzen und notfalls den zu geizigen Geschäftsführern auch mal auf die Füße treten.


So stelle ich mir die Hölle vor. Tagein tagaus Drucker einrichten. *grusel*

Salut,

Die gibt es doch heute eigentlich nur noch mit "Lizenzen", also Laufzeit = "Wartung", danach
kann man verlängern oder der Hersteller teilt einem mit, dass das genutzte Produkt nicht mehr
unterstützt wird.
Bedeutet auch, dass ein Austausch hier relevant ist da es eine zentrale Sicherheitskomponente ist,
aber eben nur zwingend erforderlich wenn es nichts mehr gibt oder die Leistung den gewachsenen
Anforderungen nicht mehr genügt.

Alles andere ist immer eine Frage des Geschmacks.
Tauschst du einen PC aus, nur weil der OEM seit 1 Jahr kein BIOS mehr herausgebracht hat, oder weil
er der Meinung war seit Windows 10 2004 keine Treiber mehr zu veröffentlichen und somit neuere
Versionen nicht offiziell zu supporten?

Nur weil ein Gerät EOL geht heißt es ja nicht, dass es deinen Anforderungen nicht mehr genügt, ggf. hast
du sogar eine passende Ersatzkomponente im Schrank - was zum Austausch immer schneller ist als jegliches
Supportlevel was du irgendwo kaufen kannst.
...da spielen aber natürlich noch viele andere Faktoren eine Rolle.

Bei der Firewall stimme ich zu, Modem/Router liegt doch eher im Verantwortungsbereich des ISP und dahinter ist deine Firewall, also wayne...
Wie oben erwähnt finde ich das nicht sinnvoll hier eine allgemeine Jahresregel aufzustellen.
Das erinnert mich an meine Oma, die als sie noch lebte mit 75 mal sagte:

• Ich brauche noch mal ein neues Auto, denn 10 Jahre will ich noch fahren.

Sie bekam ein neues Auto hat es aber keine 10 Jahre gebraucht. Will sagen, der Blick in die Zukunft ist schwierig.

Grüße
ToWa

Full ACK! Unsichere Peripherie gehört in ein eigenes abgeschirmtes VLAN - und weiter geht's.
Netzwerkinfrastruktur, die Intelligenz besitzt, sollte raus. Im KMU darf aber auch hier abgewogen werden (auch hier wieder Kollege @icer00 treffend mit einem Wort: "Risikoanalyse".

Die Herstellerunterstützung ist ja nur eine Seite. Wer bitte schafft es, jedes Update seiner Peripherie mitzunehmen?

Viele Grüße, commodity

Hallo zusammen,

also entweder wird ausgetauscht wenn es von Nöten ist und/oder wenn die Vorschriften
es einem sagen!

Sehr viele Unternehmen und dazu gehören auch sehr viele KMUs "müssen" eben auf gewisse Sachen
achten, ob Sie das "toll" finden oder ob Sie das finanziell so eingeplant haben ist dann eben Nebensache.

- Firmen und/oder Mitarbeiterwunsch
- Vorschriften von Versicherungen
- Anfragen von Geschäftspartnern
- Unternehmensvorschriften
- Vorschriften vom Konzern
- Anfragen von Kunden
- Stand der Technik

Neue Hardware oder nur noch Hardware mit N/AC/AX WLAN Standard, warum dann nicht auch die WLAN
APs tauschen, ist das auch nichts wirklich schlechtes oder?

Der Firewall Hersteller X lässt seine Firewall nicht mehr ICSA zertifizieren, ist aber so von der Versicherung
vorgeschrieben worden, also muss eine neue Firewall her, ob das nun toll ist oder nicht, da fragt keiner nach.

Kunden oder Partner wollen etwas geändert haben und/oder fragen etwas an, dann wird eben etwas neues
besorgt und/oder abgeändert.

Plotter und Nadeldrucker die Ihren Dienst seit 20 Jahren tadellos verrichten, warum austauschen.

Das kann man so lange weiter beschreiben bis es nicht mehr "geht".

Dobby

In der Tat ! Und dann noch den ganzen Tag Druckertreiber installieren. Oder bei M-Markt Datenübernahmen von Privatkunden-Smartphones durchführen.

Trommel

Hey ihr,

sowas in der Art wollte der TO schon mal wissen ;)

Spielt man den exemplarischen Lebenszyklus eines Gerätes am Beispiel Cisco Catalyst 3750-X mal durch, gibt es EoL nur als einen von mehreren Punkten, die man als "Todestag" betrachten kann.
- Wenn man das Produkt nicht mehr neu erwerben kann (kein Ausbau / Erweiterung / Reserve mehr möglich) - End of Sale (EoS)
- Wenn man keinen Wartungsvertrag mehr neu abschließen oder verlängern kann (wie komme ich denn nun an Ersatz oder das Recht auf Downloads?) - End of New Service Attachment Date (EoNSA) bzw. End of Service Contract Renewal Date (EoSCR)
- Wenn das Produkt keine Bugfixes oder Features mehr bekommt (nur relevant, falls man zu den Geplagten gehört oder unbedingt eine bestimmte Funktion braucht) - End of Software Maintenance (EoSM)
- Wenn Sicherheitslücken nicht mehr geschlossen werden (die aber eher zufällig oder bei vergleichbaren Produkten gefunden werden) - End of Vulnerability/Security Support (EoVS)
- Wenn das Produkt verwaist ist - End of Life (EoL) -> Last Date of Support
Andere Hersteller gehen teils granularer, teils grobschlächtiger und manche auch "überraschend" mit dem Produktlebenszyklus um. Auch kann "refurbished" Ware durchaus eine Option sein, wenn es nicht zwingende Gründe für Neuware gibt.

Mittlerweile habe ich als Inhouse-IT vier Unternehmensgrößen durch, wobei man die jeweilige "Epoche" nicht vernachlässigen sollte:

Handwerksbetrieb mit 10 Personen: "Das hat zu laufen. Wir haben schon viel Geld dafür bezahlt." Solange kein Zulieferer oder eine Softwareschmiede dem einen Riegel in Form eines "wird nicht mehr unterstützt" oder "braucht mehr Ressourcen" vorgeschoben hat, gab es weder Budget noch Know-How. Alle Geräte und Software haben gefälligst bis zur Apokalypse zu funktionieren und sollte dem nicht so sein, ist Basteln (naja.. Pfuschen) die Devise.

KMU mit 600 Personen: "* EDV, nichts funktioniert." Die Budgetplanung war für Außenstehende nicht logisch nachvollziehbar. Sofern selbst betreut, wurde die Hardware (und teils auch Software) bis zum Zerfall oder einem signifikanten Schwund durch spontane Selbstzerstörung (wie beispielsweise versehentlich umgekippter Kaffee, Freilandhaltung nach erfolgreicher Luft durch das Fenster oder Suizid durch Kontakt mit aggresiven Wänden) und damit steigenden Kosten durch Ersatzhardware gleichen Typs betrieben. Falls das Produkt jedoch von einem externen Dienstleister betreut wurde, war dessen vorsichtiges Anraten stets als unmittelbare Arbeitsanweisung zur Beauftragung einer Maßnahme zu verstehen.

KMU mit 1200 Personen: "Menno, IT ist ja doch wichtig..." Anfangs nur bei geschäftskritischen Systemen, später aber auch allgemein, wurde Budget nach Bekanntgabe der hausinternen IT (respektive Prüfung eines externen Anratens) meist bewilligt. Interessanterweise war dort die Benutzererfahrung wichtiger als die Systemsicherheit.

Aktueller Arbeitgeber mit 16000 Personen: "IT und Security sind wichtig!" In der Branche wurden bereits mehrere Mitbewerber Opfer eines Hacks und haben teils empfindliche Blessuren bis hin zum Beinahe-Konkurs davon getragen. Zusätzlich mausert sich der Onlinevertrieb zur Haupteinnahmequelle. Weiterhin spielt die Größe eine Rolle, denn alle Geräte eines Typs auf einen Schlag auszutauschen ist nicht mehr realistisch.
Modem, UMTS, etc.: nicht vorhanden. Die ISPs liefern Ethernet an.
Firewall: Hängt an den Wartungsverträgen / Lizenzen. Zusätzlich geht die Hardware in zwei Jahren EoL. Mit dem aktuellen Produkt ist man nicht so zufrieden und nutzt die Zeit bis dahin für Markterkundung und voraussichtlich einer Migration auf ein anderes Produkt. Danach wird der Zyklus vermutlich wieder an den Lizenzen / Wartungsverträgen hängen. Wenn neue Lizenzen vergleichbar viel wie neue Hardware inkl. Lizenz kosten, gibt es halt zusätzlich noch neue Hardware (War beispielsweise bei Fortinet FortiGate 100E Lizenz vs. FortiGate 100F Hardware inkl. Lizenz so.)
Router, Switche, WLC, APs: Nur Cisco "wegen der Kompatibilität untereinander". Sobald ein Produkt EoVS erreicht hat (also keine Security Patches mehr bekommt), hat es bereits ausgetauscht zu sein.
Telefonie ist zum Glück woanders verortet und nicht meine Baustelle.
Drucker: kommen vom Dienstleister, haben ihr eigenes VLAN und werden auch sonst sehr separiert. Sobald der Dienstleister von seinem Mangementtool ein gewisses Druckvolumen gemeldet bekommt, ersetzt er das Gerät. Dabei kann es auch passieren, dass einfach ein neueres Modell angeliefert wird, weil das alte nicht mehr vertrieben wird (quasi End of Sale).
SPS / Industriesteuerung / "IoT": tja... komplette Abhängigkeit vom Hersteller. Daher isolieren wir die Dinger, so weit irgend möglich. Wenn es wirklich eklatante Mängel oder Lücken gibt, versuchen wir auf den Hersteller einzuwirken, sofern er nicht bereits mit uns eine Lösung entwickelt. Da bieten wir durchaus Unterstützung an, wenn wir können. Bis dahin versuchen wir in Kooperation mit dem restlichen Unternehmen, den corpus delicti noch stärker zu isolieren, ohne den Betrieb zu sehr einzuschränken.

Soviel zum konkreten betrieblichen Umfeld. Ich selbst vertrete die Meinung, dass es darauf ankommt, wie gut ein Produkt in unterschiedlich starker Isolation nutzbar ist. Die meisten Kollegen hier haben diesen Ansatz bereits erläutert. @108012 hat dabei die Zeilen geschrieben, die mir am besten gefielen.
Ein netzwerkfähiges Gerät, welches nur noch bedingt oder gar nicht ins Netz darf, kann ggf. mit Einschränkungen durchaus noch benutzbar / verwendbar sein. Das ist eben eine Abwägung, die jedes Unternehmen individuell treffen muss.
(Fingiertes Extrembeispiel: Ein quasi öffentlich zugängliches Multifunktionsgerät, welches aufgrund eines nicht behebbaren Bugs mit vier Tastendrücken das ganze Netz lahm legen kann? Tja... ein neues Gerät wäre zu teuer, aber es ist okay, wenn aufgrund der geringen Frequentierung die User mit einem Firmen-USB-Stick zum Gerät gehen, um darauf zu scannen oder davon zu drucken. Zur Sicherheit wird der RJ45-Anschluss auch noch mechanisch unbrauchbar gemacht und WLAN hat es eh nicht.)

Hallo,


Wenn ein Angreifer (oder Wurm / Virus / Trojaner) überhaupt erst mal so weit ist, dass er den Drucker IP-technisch erreichen kann, hat man ganz andere Probleme.

Und spätestens dürfte es auch attraktivere Ziele im Netzwerk geben als irgendeinen 5 Jahre alten Tinten### auf dem irgendwelche Klobürstenanleitungen und Kaffeetassenhinweise gedruckt werden.

VLAN hin oder her. Just my 2C.

Gruß,
Jörg

Das sollte für jede Geräteklasse und jede Situation einzeln bewertet werden.

Übrigens sind Drucker grundsätzlich gefährlich, auch in einem eigenen VLAN. Sehr interessant, wie falsch das hier eingeschätzt wird.
Wie auch immer VLANs Sicherheit schaffen habe ich nicht verstanden.
Etwas Bildung, wie man hackt und crackt schadet nicht.
Ich würde von VoIP- Geräten und Druckern meine Attacken starten.

Indem niemand auf die Drucker drauf kommt, ausser der zuständige Druckerserver.

Und das geht von VLANs aus?

Moin,

Ganz einfach:

Du sperrst die Delinquenten (Drucker) in Gefängniszellen (VLANs) und sorgst durch einen Pförtner (Firewall), daß nur der Gefängnisbote (Print-Server/-Spooler) Nachrichten (Druckjobs) übermitteln darf und die Gefangenen (Drucker) keine Nachrichten nach außen schicken dürfen. Wenn Dir egal ist, was die Gefangenen (Drucker) miteinander treiben, kannst Du sie alle in die gleiche Zelle (VLAN) sperren, Ansonsten nimmst Du mehrere, ggf. sogar Einzelhaft.

lks

Hallo,
Natürlich ist es völlig irrelevant, ob VLAN oder LAN. Die Sicherheit geht nicht vom (V)LAN aus sondern von der Firewall (oder Switch-ACLs), die das Routing begrenzt. Um im Gefängnisbild zu bleiben, vom Türwächter, der die Zugangsberechtigung prüft. VLANs alleine bringen wenig bis keine zusätzliche Sicherheit.

Ich befürchte, dass viele VLAN-motivierte nebenbei-Admins den Wege nicht bis zur Firewall zu Ende gehen, sondern froh sind, wenn nach der Switchkonfiguration die Hosts ihre neuen IP-Adressen haben. VLAN haben die dann, aber Sicherheit?

Grüße

lcer

VLANs alleine bringen die absolute Sicherheit. Die Drucker sind dann ganz allein im Netzwerk, ohne Internet, ohne Druckserver, ohne Clients, ohne DHCP, ohne DNS usw. aber auch ohne Zugriffsmöglichkeiten.
Der Router / die Firewall sorgt dann erst für den sicheren Zugriff.

Das kann man mit einer herkömmlichen Haushaltsschere meist noch wesentlich verbessern, indem man das Netzwerkkabel durchtrennt!

Grüße

lcer

Jup, das wäre dann "noLAN", dann sehen sich auch die Drucker untereinander nicht mehr.

Sei bitte so gut und investiere einen Hauch der von Dir zutreffend gelobten Bildung in Deine Netzwerkkentnisse.

Die (gebildeten) Kollegen haben ja schon herausgearbeitet, wie das mit dem VLAN und der Sicherheit geht. Und natürlich geht auch ein physikalisches Subnetz, wenn man genügend Kabel hat

Viele Grüße, commodity

Ja, dann hieß es, dass Switch ACLs oder eine Firewall die Sicherheit schafft.

Prima, wenn Du das verstanden hast. +1
Genau deshalb hieß es oben auch:
Nochmal: "abgeschirmtes"...
Gründliches Lesen spart so manch sinnlose Bemerkung. Passiert jedem mal, kein Problem.
Aber wenn's mit dem Lesen hapert, muss man ja nicht zugleich die (vermeintlich) mangelnde Bildung der Kollegen bemängeln. Schlechter Stil. Kannst Du sicher besser.

Viele Grüße, commodity