Welche Sicherheitsleck können Switche sein?

bart1983

Commander
Registriert
Apr. 2008
Beiträge
2.894
Hallo,

ich habe mir auf Amazon zu Black Friday einen 2,5GBit/s Switch geholt, da ich wegen einem Proxmox-Cluster die höhere Datenraten bei Sicherungen/Replicationen und Datenraten auch ausnutzen kann (Meine Nodes haben auch 2,5Gbit/s NICs und mein Router hat überdies auch einen 2,5Gbit/s port).
Und mit dem neuen Switch ist die Geschwindigkeit auch auf 2,2Mbit/s gestiegen. Also vollkommen okay.

Dies ist der Switch:
https://www.tendacn.com/product/tem2010f.html

Es ist kein managed Switch, er hat auch keine eigene IP (im Router) oder Adminoberfläche. Nur einen Kippschalter für VLAN (bzw Port isolation) und Link Aggregation.

Da es sich aber um einen chinesischen Hersteller handelt, frage ich mich, welche Sicherheitsprobleme dieser bzw Switche überhaupt darstellen können. Durch diese Geräte laufen ja alle Pakete und boshafte (Regierungsspionage) könnten mit "man in the middle"-Attacken Unfug treiben.

Wie kann man nachschauen, ob ein Netzgerät (in meinem Fall eben der Switch) etwas verbotenes macht?
Einen Computer mit Kali-Linux anschließen und mti Wireshark mitsniffen? Kann man dann sowas sehen?

Dann aber am besten nur Switch, Internetzuleitung und nur das einzelne Kali-Gerät am Netzwerk verfügbar haben, sonst wird man vonTraffic erschlagen, oder?

Was meint ihr, würdet ihr so eine Netzwerkinfrstruktur bedenkenlos einsetzen?
 
Mit Wireshark könntest du es sehen, nur die Frage ist, erkennst du, was du siehst?
Da er ja unmanaged ist, würde ich das Ding einfach mal 24h an einen dedizierten Host anschließen und dort alles mitzeichnen lassen und dann mal schauen was da rauskommt. Alles ab OSI Layer 4 und höher dürfte interessant sein, 3 sicher teilweise.

Er dürfte ja nichtmal NTP oder so machen, von DNS oder WebRequest ganz zu schweigen.
 
  • Gefällt mir
Reaktionen: bart1983 und kamanu
bart1983 schrieb:
Wie kann man nachschauen, ob ein Netzgerät (in meinem Fall eben der Switch) etwas verbotenes macht?
Einen Computer mit Kali-Linux anschließen und mti Wireshark mitsniffen? Kann man dann sowas sehen?
Der Switch hängt ja hinter einem Router und der sollte ja ein Protokoll haben was er durchlässt und was nicht.
Der Switch selbst ist ohne management-Oberfläche ja kein aktives, sondern ein passives Gerät. Er hat demnach auch keine eigene IP-Adresse.

Der Weg mit Kali-Linux würde dann eigentlich nicht funktionieren, jedenfalls nicht mit Switch direkt...
 
  • Gefällt mir
Reaktionen: Katao
Wie willst du mit Wireshark mitsniffen? Du müsstest ja immer zwischen die Kommunikation, wo du einen Verdacht hast...
Und gleichzeitig am besten auch noch einmal vor dem Switch sniffen, damit du schauen kannst, ob sich was geändert hat.

Meine Empfehlung: Keinen Switch kaufen und generell keine Hard- und Software nutzen, bei der du nicht 100% des Codes (Software, Firmware) geprüft hast. Vor Updates natürlich auch immer alles erneut prüfen. Man weiß ja nie. Und dass du ein Experte für Sicherheitsfragen dabei bist, daran habe ich keine Zweifel.

Ach ja, gegen Man-in-the-Middle-Angriffe könnte man sich auch durch verschlüsselte Übertragung absichern.
 
  • Gefällt mir
Reaktionen: bart1983 und Raijin
tollertyp schrieb:
Wie willst du mit Wireshark mitsniffen? Du müsstest ja immer zwischen die Kommunikation, wo du einen Verdacht hast...
Und gleichzeitig am besten auch noch einmal vor dem Switch sniffen, damit du schauen kannst, ob sich was geändert hat.
Schauen ob "irgendetwas" nach bestimmte chinesische IPs was senden will? Ich weiß, mag für Experten wohl etwas naiv klingen ;)

Genau deshalb frage ich euch. Also Leute, die sich mit der Materie sicherlich deutlich besser auskennen als ich :)

tollertyp schrieb:
Meine Empfehlung: Keinen Switch kaufen und generell keine Hard- und Software nutzen, bei der du nicht 100% des Codes (Software, Firmware) geprüft hast. Vor Updates natürlich auch immer alles erneut prüfen. Man weiß ja nie. Und dass du ein Experte für Sicherheitsfragen dabei bist, daran habe ich keine Zweifel.

Da hast du schon recht. Aber wer kann man das heute wirklich machen?
Hat man eine Chance überhaupt rauszufinden, was alles so ein modernes Auto herumfunkt?
Und wenn man sieht, die die chinesischen Autohersteller so auf den europ. Markt drängen, bin ich mir da auch nicht so sicher.


tollertyp schrieb:
Ach ja, gegen Man-in-the-Middle-Angriffe könnte man sich auch durch verschlüsselte Übertragung absichern.
Vieles ist ja mittlerweile zum Glück by default Ende-zu-Ende verschlüsselt (zB. https), aber vieles innerhalb des eigenen Netzwerkes aber nicht.

Auch meine DNS-Anfragen werden erst verschlüsselt, wenn es den Router verlässt (mti DoT). Innerhalb des Netzwerks aber doch nicht, oder?

Wenn du ein Tipp hast, um die Sicherheit im eigenen Netzwerk zu steigern, gerne sagen. Alles was die Sicherheit steigert ist gerne gesehen :)
Ergänzung ()

Zer0DEV schrieb:
Der Switch hängt ja hinter einem Router und der sollte ja ein Protokoll haben was er durchlässt und was nicht.
Der Switch selbst ist ohne management-Oberfläche ja kein aktives, sondern ein passives Gerät. Er hat demnach auch keine eigene IP-Adresse.
Leider nur eine Fritzbox, da sind die Logs relativ überschaubar.

Zer0DEV schrieb:
Der Weg mit Kali-Linux würde dann eigentlich nicht funktionieren, jedenfalls nicht mit Switch direkt...
Ja, da muss noch ein DHCP-Server noch mit dran.

Dachte Internet-Router (von dem für den Test das restliche Netz entfernt wird) und nur der Kali-Client.
Dann mitschneiden ^^
 
Zuletzt bearbeitet:
bart1983 schrieb:
Wie kann man nachschauen, ob ein Netzgerät (in meinem Fall eben der Switch) etwas verbotenes macht?
Einen Computer mit Kali-Linux anschließen und mti Wireshark mitsniffen? Kann man dann sowas sehen?
Man kann vieles tun, aber entscheidend ist nicht das eigentliche Aufzeichnen von Traffic, sondern dessen Beurteilung. So wie du deine Frage formulierst, kann man schon ziemlich genau erahnen wie viel Erfahrung du im Umgang mit Kali und WireShark hast, nämlich mutmaßlich keine abgesehen davon, dass du irgendwann mal diese Begriffe aufgeschnappt und vielleicht sogar mal aus Jux und Dollerei Kali installiert hast, ohne zu wissen was du damit letztendlich anstellen sollst, geschweige denn wie ;)

Das ist kein Vorwurf, bitte nicht falsch verstehen. Es ist nur so, dass IT-Security ein sehr weites und hochkomplexes Feld ist, in dem selbst gestandene Informatiker abseits der Security-Fachwelt oftmals nur über Halbwissen verfügen - ob gefährlich oder fundiert sei mal dahingestellt.

Und jetzt fragst du in einem öffentlichen Forum was du wie tun kannst, um eine Sicherheitsanalyse eines chinesischen Switches durchzuführen? Ich denke es ist klar geworden, dass es eben nicht so einfach ist...



Gerade im Netzerk-/Internet-/Softwarebereich kann man pauschal sagen, dass der beste Schutz vor potentiell gefährlichen Produkten die Vermeidung selbiger ist. Wer befürchtet, dass ein chinesischer Switch ein Sicherheitsrisiko darstellt, eine Software aus "dubiosen Quellen" wie in einem parallelen Thread womöglich Viren enthält oder dies oder jenes, der sollte solche Situationen grundsätzlich meiden, egal wie günstig das Angebot für den Switch war oder wie gut man den Kumpel kennt, von dem man komischerweise einen USB-Stick mit dem neuesten AAA-Titel von Blizzard bekommen hat, etc.



Speziell auf den Switch bezogen: Wenn dieser keine IP-Adresse hat, ist er folglich nur auf Layer 2 (=MAC-Adresse) aktiv. Da müsste man jetzt noch tiefer einsteigen, um irgendwelche merkwürdigen Aktivitäten erkennen zu können.
 
  • Gefällt mir
Reaktionen: bart1983, Bob.Dig und proserpinus
bart1983 schrieb:
Schauen ob "irgendetwas" nach bestimmte chinesische IPs was senden will? Ich weiß, mag für Experten wohl etwas naiv klingen ;)
Und die können sich keinen Server in Irland mieten, der als Relay dient?
 
  • Gefällt mir
Reaktionen: bart1983 und Raijin
Wie Du siehst, könnte der Switch viel und Du hast quasi keine Chance, das herauszubekommen. Machen wir es mal anders herum: Tenda ist eine Tochter von TCL. Das sind die Fernseher, früher Alcatel Mobiltelefone bzw. eine zeitlang BlackBerry Mobiltelefone, jetzt auch unter eigenen Marke. Die machen Werbung in Fussball-Stadien bei DFB-, UEFA- und FIFA-Veranstaltungen und sind aktuell sogar der Namensgeber für das Chinese Theatre in Hollywood. Solltest Du was finden, werden die keine Werbung mehr machen (können).

:jumpin:
Wobei mir bis jetzt ausnahmslos nur Müll und Murks aus jenem Konzern-Konglomerat über den Weg gelaufen ist. Wüsste nicht, warum man die irgendwie unterstützen sollte.
 
  • Gefällt mir
Reaktionen: bart1983
Ich verstehe eines nicht:
Wie kann man bei einem Switch, den man BEREITS gekauft hat, im Nachhinein draufkommen, dass das Herstellerland eventuell bedenklich sein könnte? Das hättest du auch vorher im Auge haben können, wenn das so relevant ist.

Wenn du Bauchweh hast mit dem Teil, schick es zurück. Ist ja schließlich kein Problem bei Amazon.
Dann kauf dir halt was von Cisco.

Alles andere ist reine Zeitverschwendung und einfach vermeidbar.

Und nach wie vor gilt (daran wird sich wohl nie etwas ändern): Das größte Sicherheitsrisiko sitzt meist vor dem PC oder Switch -> schlechtes Userhandling, schlechte PWs, WLAN, Naivität usw.
 
proserpinus schrieb:
Ich verstehe eines nicht:
Wie kann man bei einem Switch, den man BEREITS gekauft hat, im Nachhinein draufkommen, dass das Herstellerland eventuell bedenklich sein könnte? Das hättest du auch vorher im Auge haben können, wenn das so relevant ist.
Zuerst auf den Preis & die Features geschaut.
Name war mir beim Kauf egal ;)


@norKoeri
Danke für die iNfos.
habe mich heute Nachmittag auch über Tenda informiert.
Sind doch länger am Markt, haben ne DE & den USA Tochterfirmen und verkaufen den erwähnten Switch auch in den USA. Selbst Smart-Home Devices (nein werde ich nicht kaufen ;))
Ich schätze in den USA können sie sich nicht so viel krumme Sachen "leisten", das wäre sofort ein Skandal (siehe huawei)

@Raijin Hast recht, kenne mich da wenig aus, auch wenn ich mit Kali schon etwas herumfrickel. Aber eben wenig mit Traffic-Analyse. Deshalb bin ich ja hier und frage euch :D
 
bart1983 schrieb:
Deshalb bin ich ja hier und frage euch
Verstehe ich und ist auch grundsätzlich gut, aber sowas lernt man nicht mal eben so. Wenn du einmal WireShark bei dir anmachst, rauschen da pro Sekunde Hunderte, Tausende von Paketen mit etlichen von Protokollen durch. 99% davon sind uninteressant bzw. unkritisch und es gilt dann, das restliche Prozent rauszufiltern und zu untersuchen. Da ist also nix mit "scharf hinsehen," sondern man muss genau wissen welchen Traffic man sucht und welchen nicht - und in einem Fall wie diesem hier weiß man ja gar nicht wonach man Ausschau halten soll ;)

Es ist etwas anderes, wenn man eben genau das von vornherein weiß. zB wenn man Probleme mit DHCP hat und sich die DHCP-Nachrichten anschauen will.
 
  • Gefällt mir
Reaktionen: bart1983
Bezüglich Sicherheitsprobleme:
Wenn es eine Schadsoftware bzw. ein Fremder schafft, den Switch irgendwie zu kompromittieren, welche Probleme hat Dein Netzwerk dann noch? Bestimmt mehr als eines.

Das mit dem möglichen Heimtelefonieren ist nochmal ein eigenes Thema. Ich vermute aber, dass sowas schon auffallen würde, aber kann mich auch täuschen.
 
Mal eine Frage: wieso kauft man sich ein China Switch und fürchtet sich danach vor spionage? ich steh glaub auf dem Schlauch.
eigentlich sollte der Router eventuelle Zugriffe blockieren, die nicht über Port 80/443 kommunizieren.
 
chrigu schrieb:
Mal eine Frage: wieso kauft man sich ein China Switch und fürchtet sich danach vor spionage? ich steh glaub auf dem Schlauch.
Impulskauf.

chrigu schrieb:
eigentlich sollte der Router eventuelle Zugriffe blockieren, die nicht über Port 80/443 kommunizieren.
Wenn eine Anfrage aus dem Internet auf Port 80 bei dem Router aufschlägt und es keine Portfreigabe gibt und es dazu auch keine Antwort auf eine Anfrage aus deinem Netzwerk ist: Dann blockt er ab.

Soltle es aber eine Antwort auf eine Anfrage asu deinem LAN sein, dann lässt er munter durch.

Deshalb ist ein "trojanisches" Pferd bzw. ein schon vom Hersteller kompromittiertes Gerät so gefährlich.
Ergänzung ()

thom53281 schrieb:
Wenn es eine Schadsoftware bzw. ein Fremder schafft, den Switch irgendwie zu kompromittieren, welche Probleme hat Dein Netzwerk dann noch? Bestimmt mehr als eines.
Ging mir ehrlich gesagt nicht um Hacker, sondern um eine vom Hersteller eingebaute Spionagefunktion.
 
Zuletzt bearbeitet:
bart1983 schrieb:
Ging mir ehrlich gesagt nicht um Hacker, sondern um eine vom Hersteller eingebaute Spionagefunktion.
und was genau hast du so spannendes in deinem Netzwerk, das china explizit Dich ausspionieren will?
 
Zurück
Oben