Kaufberatung 8-Port Switch

[Lauch86]

Hallo zusammen,

mein 12 Jahre alter dummer ProCurve 8-Port Switch ist leider defekt und ich brauche einen Neuen. Praktisch reicht unmanaged ohne PoE. Wenn P/L stimmt nehme ich aber auch gerne ein paar Features mit. Was mich bei der ganzen recherchiererei schockiert hat, sind die Sicherheitsbedenken was einige Hersteller betrifft. Es gibt ja praktisch zu jedem negative Aussagen im Bezug auf Sicherheitslücken und Backdoors (Netgear, D-Link, Cisco etc.). Als Quelle reicht hier schon Wikipedia.

Bei einem Layer 2 Switch vielleicht nicht so relevant aber ich finde es schon bedenklich. Als einziger Hersteller der da (ggf.) von befreit ist, scheint Lancom zu sein. 110 € für einen einfachen 8-Port Switch finde ich aber etwas zu viel.

Habt ihr eine Empfehlung was man bedenkenlos kaufen könnte bzw. was ist das geringere Übel? Ich hatte zuerst vor meine ganze Infra durch Ubiquiti zu ersetzen, aber da lese ich nun auch irgendwelche Sicherheitslücken. Und es ist ein US Hersteller, welcher dann ggf. auch Backdoors inne hat.

 

[Asghan]

ich hab mehrere Netgear GS308 im Einsatz. Laufen tadellos.

 

[till69]

Bei unmanaged würde ich Netgear nehmen.

 

[Nilson]

Unmanaged: TL-SG108
Managed: TL-SG108E

und mach dich wegen den "Lücken" nicht verrückt. Selbst wenn die Modelle welche haben, so müssen die erstmal auch bei dir relevant und ausnutzbar sein.

 

[Raijin]

Ich drücke es mal so aus: Du musst nur lange genug suchen und jeder Hersteller wird irgendwann mal durch die Presse gegangen sein. Nichts wird so heiß gegessen wie es gekocht wird.

Wenn dir ein unmanaged Gigabit-Switch mit 8 Ports reicht, kannst du beliebig ins Regal greifen. Etwaige Empfehlungen sind dahingehend nichtssagend, weil unmanaged Switches dumme Geräte sind, die stur von Port x nach Port y durchreichen.

 

[nebulein]

Moin,

die Sicherheitslücken betreffen doch aber eher die Firewalls,Router oder Managed Switches, bei einem unmanaged Switch ist das in meinen Augen eher zu vernachlässigen, der schaltet ja einfach nur das Signal weiter, mehr nicht. Wirkliche Sicherheitsfeatures haben die nicht. Nimm einen x beliebigen 8 Port unmanaged Switch z.B. von Netgear oder HP, die halten ewig.

 

[Cool Master]

Ich fahre seit Jahren mit TP-Link super. Ich selber habe den T2600G-18TS 2.0, allerdings gibt es den nicht mehr. Kannst dir ja mal die zwei anschauen:

https://geizhals.de/tp-link-tl-sg10...itch-tl-sg1016de-a958998.html?hloc=at&hloc=de

https://geizhals.de/tp-link-tl-sg100-desktop-gigabit-switch-tl-sg116-a1898199.html?hloc=at&hloc=de

 

[conf_t]

Je weniger Funktionen ein Switch hat, desto weniger Funktionen können Sicherheitslücken beinhalten. Keep it simple.

Ein Switch, der nicht mal eine eigene (Management-) IP hat (unmanaged Switch), wird auch schwer auf IP Ebene mit dem Internet kommunizieren können. Solange nicht gerade ein Mobilfunkmodem integriert ist, siehst du im ARP des Routers immer alle aktiven IP-Teilnehmer und selbst "Router" wie die Fritzbox lassen einen Einblick den den Arp-Cache haben.... Baust du einen Unmanaged Switch ein, sollte er für den Router transparent sein. Wenn nicht Backdoor Alarm . Oder er war dann doch managed.

 

[Jasmin83]

achte zumindestens drauf, das die Backplane min. die Geschwindigkeit aller Ports gleichzeitig besitzt, also bei einem 8 Port Switch mit 1Gbit/s pro Port, min. 8Gbit/s auf der Backplane möglich sind.

ich selber nutze Netgear managed und unmanaged Switches zu Hause.

 

[conf_t]

Eigentlich können alle Switche schon seit 20 Jahren Full-Duplex in der Backplane. Das Problem ist dabei die Paketgröße. Also ob die bei 60 bytes noch auf allen Ports Full-Duplex @ 1Gbit/s forwarden könnenm also bei 8 Ports, ob 16 Gbit/s in 60 bytes geschafft werden. Da trennt sich die Spreu vom Weizen, aber wie realistisch ist dieser Fall und wird das benötigt? Im Normalfall heißt ja voller Datendurchsatz ja mindestens eine Framelänge von 1520 bytes. Das schaffen alle.

 

[aemonblackfyre]

achte zumindestens drauf, das die Backplane min. die Geschwindigkeit aller Ports gleichzeitig besitzt, also bei einem 8 Port Switch mit 1Gbit/s pro Port, min. 8Gbit/s auf der Backplane möglich sind.

weiß nichtmal ob das nötig ist. man lastet ja extremst selten alles aus. Dafür müssten ja alle 8 geräte gleichzeitig in paaren die leitung auslasten. denke selbst bei der hälfte fährt man noch komplett sicher. meist hat man ja eher ein szenario bei dem es einen port als flaschenhals gibt zb. den uplink zum router oder zum NAS. das gigabit müssen sich dann die anderen geräte teilen. eine wirkliche p2p kommunikation kommt ja in den seltensten fällen vor und vorallem nicht mit der vollen bandbreite.

 

[Lauch86]

Danke für die vielen Antworten. Mir ist klar, dass die Sorge bei so einem Switch unnötig ist. Wie gesagt, würde ich mir wenn der Preis stimmt auch einen managed kaufen. Der TL-SG1000 sieht da ja schon mal ganz gut aus. Warum ich unsicher bin liegt vielleicht auch daran, dass ich meine Infra gerne Homogen halte. Sprich, falls möglich, alles von einem Hersteller. Router bleibt zwar eine Fritz aber gerade bei Ubiquiti hätte ich mir dann schon auch eine Dream Machine sowie APs und Cams gegönnt.

Schnell TP-Link gegoogelt findet man sowas:
https://www.heise.de/security/meldung/Heimtueckische-Hintertuer-in-TP-Link-Routern-1822434.html
Ist zwar von 2013 aber dennoch ist das Vertrauen doch getrübt oder? Bei Borns IT gibts auch was von 2020 zu so einem Thema bei einem TP-Link Router.

Wie sehen denn eure Erfahrungen mit ZyXEL oder Mikrotik aus?
Der CSS610-8G-2S+IN sieht spannend aus

 

[Cool Master]

Wenn es um ZyXEL geht findet man das:

https://t3n.de/news/sicherheitsluecke-zyxel-backdoor-firewall-1347854/

Für Ubiquiti das:

https://stadt-bremerhaven.de/ubiquiti-aufgrund-neuer-unifi-firmware-in-der-kritik/

Du siehst jeder Hersteller hat schon etwas "böses" getan Wie gesagt ich fahre seit Jahren mit TP-Link Routern super weil man da ohne Probleme DD-WRT und co. installieren kann und die Switche laufen ebenfalls 1a, allerdings mit der Stock FW. Ich würde mir daher bei einem Switch keine großen Gedanken machen.

Wenn man es sicher haben will baut man sich selber via pfSense etwas.

 

[conf_t]

Ich nutze selbst Mikrotik seit einigen Wochen (MikroTik Cloud Router Switch CRS312). Ich habe schon das Gefühl, dass die Software von denen gut gepflegt ist, nur als Cisco IOS CLI gewohnter Admin, muss man sich erst an die andere Bedienung gewöhnen. Mikrotik bietet massig Features...... ob da die CPU noch mit kommt, wenn alles an ist und alle Features an sind? Zu Backdoors kann ich nicht sagen und schließe mich da Cooolmaster an. Natürlich sollte man nicht die Cloud-Admin Funktion nutzen.....

 

[seluce]

Ich verstehe ehrlich gesagt nicht ganz worauf du hinaus willst. Ich dachte, du suchst einen einfachen Layer2-Switch? Nimm einfach irgendeinen, weil die aktuellen Geräte die notwendigen Spezifikationen sowieso bringen.

Warum suchst du nach einer Router Lücke von 2013, wenn du aber nach etwas anderem suchst? Bei Switches, basierend auf Layer2, ist es egal. Du kannst irgendeinen nehmen, falls du dich mit Hersteller XY besser fühlst.

Nutze schon länger nur Switches von TP-Link und die laufen ohne Probleme.

 

[Mickey Mouse]

also...
selbst bei einem managed Switch "offen wie ein Scheunentor" ist es doch völlig egal.
Bei Netgear z.B. kann man per Broadcast Admin Rechte bekommen, das Passwort gilt NUR für die Web/App Management Oberfläche!

aber mir ist KEIN Switch bekannt, der den "normalen" Traffic über das Management nach remote abfließen lassen kann. Der kann Pakete oder Collisions zählen aber eben nicht den normalen Verkehr "detailierter analysieren".

also was kann im allerschlimmsten Fall passieren? Jemand hat Zugriff auf deine Management Console, in diesem Fall hast du eh schon ein ganz anderes Problem "vor dem Switch" und nicht im Switch selber.
der kann dir den dann lahm legen oder sehen wie viele Ports aktiv sind oder Traffic machen. So what...

 

[conf_t]

Weitesgehend stimmt ich dir zu, aber immer mehr Switche, wie mein Mikrotik oder die Fritzboxen, bietet die Möglichkeit des Packetcaptures, mit dessen Hilfe man bei unverschlüsseltem Traffic Zugangsdaten oder unsichere Verschlüsselungen knacken und dann zu anderen Systemen im LAN den Zugang ergaunern kann. Daher besser immer, auch im LAN, auf Verschlüsselung nach aktuellem Standard setzen.

 

[Lauch86]

Ihr habt alle recht. Mir ging es bei der Argumentation auch gar nicht so sehr um den Switch selbst sondern um den Hersteller. Denn wenn ich die Infra um andere Geräte (des gleichen Herstellers) erweiter kommen für mich persönlich schon diese Bedenken zum tragen.

Um mein Switch Problem zu lösen werde ich mir jetzt wahrscheinlich mal den TL-SG1000 besorgen. Der kostet ja nicht die Welt.

Danke.

 

[seluce]

Dachte du brauchst kein POE? Dann hätte es auch ein TL-SG108 v3 getan.

 

[Cool Master]

@seluce

Der TL-SG1000 hat kein POE, siehe den Link von mir. Es gibt mehrere "TL-SG1000" man muss den Zusatz bzw. vollen Name beachten.