ComputerBase Menü
Aktuelles

Zyxel GS1920 - SNMP?

B

bandchef

Lt. Commander
🎅Rätsel-Elite ’24
Registriert
Juli 2016
Beiträge
1.714
Hallo,

ich hab einen Zyxel GS1920-24HPv2 in meinem Heimnetzwerk in Betrieb. Bei jedem login bekomme ich diese Meldung:
1667924947773.png


Kann mir jemand sagen, wie ich diese Meldung wegbekomme, bzw. was ich dort für SNMP einstellen sollte?
 
Einfach den Anweisungen folgen, also Passwort ändern.
 
  • Gefällt mir
Reaktionen: madmax2010 und kartoffelpü
Don_2020 schrieb:
Einfach den Anweisungen folgen, also Passwort ändern.
Zum Vergrößern anklicken....
Tja, das hatte ich auch gedacht. Ich hab auf den blauen Link in dieser Warning geklickt und in der Tat diese Maske erhalten:
1667925227025.png

Darin habe ich dann das Administrator-Passwort abgeändert, aber beim nächsten Login kam die Meldung wieder.

Ich glaube daher, dass SNMP abschalten zielführender ist, also so wie @niteaholic auch meint.

Frage: Was ist SNMP und für was brauche ich das, dass das standardmäßig aktiviert ist?
 
Mit dem SNM Protokoll kannst du dir Aktivitäten deiner Geräte welche sich im Netzwerk befinden abfragen. CPU/Auslastung/HDD Temp usw. usf.
Also nichts was du als Privatperson ohne Homeserver je wirklich brauchen solltest.

Daher kannst du SNMP getrost abschalten und dich freuen die Meldung nicht mehr sehen zu müssen.

Edit: die Meldung kommt wieder weil in den unteren Felder alles auf Public gesetzt ist. Setze es auf private und die Meldung sollte weggehen. Nachdem du es auf private gesetzt hast, kannst du anschließend SNMP deaktivieren.
 
  • Gefällt mir
Reaktionen: madmax2010
Configuration -> Management -> SNMP -> Global -> Disable setzen.
Wenn du SNMP nutzen willst die Community anpassen das es nicht mehr "public" ist.
1667925634964.png
 
  • Gefällt mir
Reaktionen: Meckerkopp
niteaholic schrieb:
Edit: die Meldung kommt wieder weil in den unteren Felder alles auf Public gesetzt ist. Setze es auf private und die Meldung sollte weggehen. Nachdem du es auf private gesetzt hast, kannst du anschließend SNMP deaktivieren.
Zum Vergrößern anklicken....
Vielen vielen Dank! Ich hab's genauso gemacht und die Meldung ist nun weg.

Ich habe zum Menü "Management" noch eine Frage. Es gibt da den Punkt "Service Access Control". Dort werden alle Möglichkeiten aufgelistet, über welche man an die Einstellungen des Switches "rankommt".

Welche sollte man ausschalten? Ich habe bisher nix anderes zum Konfigurieren des Switches benutzt außer HTTP und HTTPS, also Zugriff über Browser. Wäre es deshalb ratsam nur die beiden zu aktivieren?
1667925812289.png


Und noch weitere abschließende Fragen:
Im Punkt Account Security könnte ich eine "Password Encryption" aktivieren. Ist dies sinnvoll?
1667925982794.png



Zum Menüpunkt "Logins": Aktuell logge ich mich immer mit dem vorangelegten Adminstrator-Account (aber mit verändertem Passwort!) ein. Ist es genauso wie bei meinem NAS, ratsam, den vorangelegten Admin-Account so zu belassen (bzw. wenn es geht diesen zu deaktivieren) und einen neuen Account anzuelegen?
1667926109157.png


Und dann gibt es noch "Remote Management":
1667926176751.png

Ich gehe davon aus, dass ich den ersten Eintrag auch deaktivieren kann, weil "Remote" werde ich den Switch auch nicht bedienen wollen...
Ergänzung ()

Masamune2 schrieb:
Configuration -> Management -> SNMP -> Global -> Disable setzen.
Zum Vergrößern anklicken....
Den Punkt finde ich in meiner Ansicht nicht.
 
bandchef schrieb:
Welche sollte man ausschalten? Ich habe bisher nix anderes zum Konfigurieren des Switches benutzt außer HTTP und HTTPS, also Zugriff über Browser. Wäre es deshalb ratsam nur die beiden zu aktivieren?
Zum Vergrößern anklicken....
SSH wuerde ich an lassen.
ICMP auch, wennd er auf Pings antworten soll
 
bandchef schrieb:
Vielen vielen Dank! Ich hab's genauso gemacht und die Meldung ist nun weg.
Zum Vergrößern anklicken....
Bei der Community handelt es sich um so etwas ähnliches wie ein Passwort.
"public" ist normalerweise der Default um Daten auszulesen (SNMP get) und mit "private" kann man auch Daten verändern (SNMP set)
d.h. ein potenzieller Angreifer würde als erstes "private" verwenden um ein System zu manipulieren. Daher bitte alle Werte auf ein zufälliges Kennwort ändern, sofern sich SNMP nicht abschalten lässt.
 
bandchef schrieb:
Welche sollte man ausschalten?
Zum Vergrößern anklicken....
wenn man es richtig machen will: alles was nicht verschlüsselt ist und alles was man nicht benutzt. icmp für ping kann aktiviert bleiben.
bandchef schrieb:
Ich gehe davon aus, dass ich den ersten Eintrag auch deaktivieren kann, weil "Remote" werde ich den Switch auch nicht bedienen wollen...
Zum Vergrößern anklicken....
alles, was du übers netzwerk machst (und nicht mit einem seriellen kabel), ist "remote". deaktivierst du den ersten eintrag, kommst du gar nicht mehr rauf. man könnte hier das interne netz angeben oder nur die ip eines dedizierten rechners.

noch zu snmp: die community von "public" auf "private" zu setzen mag zwar die warnung deaktivieren, bringt aber sicherheitstechnisch nichts, da "private" genauso well-known wie "public" ist (die community ist wie ein passwort und wenn jeder "private" benutzt bringt das auch nichts) und ein angreifer das unverschlüsselte snmp einfach mitlesen könnte. erst mit snmp v3 wird es sicher(er). generell gilt, dass man services, die man nicht braucht, abschaltet.
 
0x8100 schrieb:
noch zu snmp: die community von "public" auf "private" zu setzen mag zwar die warnung deaktivieren, bringt aber sicherheitstechnisch nichts, da "private" genauso well-known wie "public" ist (die community ist wie ein passwort und wenn jeder "private" benutzt bringt das auch nichts) und ein angreifer das unverschlüsselte snmp einfach mitlesen könnte. erst mit snmp v3 wird es sicher(er). generell gilt, dass man services, die man nicht braucht, abschaltet.
Zum Vergrößern anklicken....
Ok. Weiter oben hat ein Kollege einen Screenshot gepostet das zeigt, dass man SNMP auch komplett abschalten kann (was mir auch am liebsten wäre!), aber entweder im Screenshot wird eine andere Firmware/anderes Gerät gezeigt, oder ich finde bei mir den Eintrag zum Deaktivieren des SNMP nicht?!
0x8100 schrieb:
wenn man es richtig machen will: alles was nicht verschlüsselt ist und alles was man nicht benutzt. icmp für ping kann aktiviert bleiben.
Zum Vergrößern anklicken....
Ok. Dann deaktiviere ich alles bis auf ICMP und https.
 
Ja ich habe einen GS1900 und nicht den 1920, bin mal davon ausgegangen, dass die Firmware sehr ähnlich ist.
Du kannst bei dir aber den Zugriff auf SNMP einfach deaktivieren und die Community tauschen dann kommt die Warnung nicht mehr und der Dienst ist auch nicht mehr erreichbar.
 
bandchef schrieb:
[IMG]https://www.computerbase.de/forum/attachments/1667925812289-png.1281159/[/IMG]
Zum Vergrößern anklicken....
Unter "Service Control" kann man SNMP deaktivieren. Manchmal bin ich deppert und über sehe den Wald vor lauter Bäumen...

Und noch eine Frage zum Service Control:
Wenn ich nun http, https und icmp aktiviert lasse und alle anderen Möglichkeiten deaktiviere, funktioniert aber der Zugriff auf die GUI des Swtiches nach wie vor über meine Browser, oder?
Ich spreche im Browser den Switch direkt mit seiner IP-Adresse an. In meinem Fall gebe ich einfach "192.168.178.2/login.html" ein und drücke Enter.

So würde ich es konfigurieren, aber wie gesagt, wichtig ist mir, dass ich nach wie vor über den am LAN angebundenen Laptop und einem Browser (IE, Chrome) auf den Switch drauf komme:
1667987623337.png


Könnt ich dann vielleicht sogar noch http deaktivieren und nur https und icmp aktiviert lassen und ich komme mit 192.168.178.2/login.html über den Browser auf den Switch drauf?
 
Zuletzt bearbeitet:
HTTPs-only macht Deinen Switch nicht sicherer. Das Abschalten von HTTP verhindert nur, dass Du es nicht versehentlich nutzt. Wenn jemand in Deinem Netz schnüffelt, könnte er wegen HTTP das Passwort abgreifen und den Switch übernehmen. Ich würde neben ICMP auch HTTP an lassen, weil sich bei HTTPs bzw. TLS laufend Dinge ändern und dann auf einmal kein (aktueller) Web-Browser mehr kompatibel ist. Stattdessen darauf achten, immer HTTPs zu verwenden.
bandchef schrieb:
Zyxel GS1920-24HPv2
Zum Vergrößern anklicken....
  1. Aus reiner Neugierde: Weswegen nutzt Du einen konfigurierbaren Switch konkret?
  2. Aus reiner Neugierde: Weswegen die GS1920-Series und nicht die GS1900-Series?
Ich weiß, dass man gebraucht für einen Switch quasi nichts mehr bekommt, aber wenn Du keinen konfigurierbaren Switch bräuchtest, warum nicht ein normaler Switch? Ich kenne jetzt die Zyxel GS1920-Series zu wenig, aber früher hatten deren Switche nicht nur merkwürdige Voreinstellungen bei der Sicherheit – man musste alles Unmögliche erst Abschalten – sondern auch bei den Strom-Spar-Optionen – man musste alles Unmögliche erst einschalten. Für einen Laien ohne entsprechende Berufs- bzw. Fachausbildung kaum beherrschbar.
 
norKoeri schrieb:
Aus reiner Neugierde: Weswegen nutzt Du einen konfigurierbaren Switch konkret?
Zum Vergrößern anklicken....
Wegen Magenta TV weil mir der Elektriker einen mit konfigurierbaren IGMPv3 empfohlen hat, weil es wegen Multicast zu Problemen kommt.
norKoeri schrieb:
Aus reiner Neugierde: Weswegen die GS1920-Series und nicht die GS1900-Series?
Zum Vergrößern anklicken....
Das weiß ich nicht. Irgendein Thema konnte die 1920er Serie anscheinend nicht. Ich habe vor über 3 Jahren einen Switch gebraucht, der für mindestens 16 Kanäle 1GBit bereithält, POE für mindestens 4 davon bereitstellt (3x Unify Access Points, 1x Unify Außenkamera) sowie IGMPv3 beherrscht. Irgendwann bin ich eben darauf gestoßen, dass es zum damaligen Zeitpunkt keinen unmanaged Switch gegeben hat, der dieses Anforderungsprofil erfüllt hat!
norKoeri schrieb:
Ich kenne jetzt die Zyxel GS1920-Series zu wenig, aber früher hatten deren Switche nicht nur merkwürdige Voreinstellungen bei der Sicherheit – man musste alles Unmögliche erst Abschalten – sondern auch bei den Strom-Spar-Optionen – man musste alles Unmögliche erst einschalten.
Zum Vergrößern anklicken....
Gerade bezogen auf Sicherheit und Stromsparmodus wäre ich dabei ein zu konfigurieren. Welche Themen müsste ich da abarbeiten? Kannst du mir da weiterhelfen @norKoeri
Ergänzung ()

norKoeri schrieb:
HTTPs-only macht Deinen Switch nicht sicherer. Das Abschalten von HTTP verhindert nur, dass Du es nicht versehentlich nutzt. Wenn jemand in Deinem Netz schnüffelt, könnte er wegen HTTP das Passwort abgreifen und den Switch übernehmen. Ich würde neben ICMP auch HTTP an lassen, weil sich bei HTTPs bzw. TLS laufend Dinge ändern und dann auf einmal kein (aktueller) Web-Browser mehr kompatibel ist. Stattdessen darauf achten, immer HTTPs zu verwenden.
Zum Vergrößern anklicken....
Ok. ich deaktiviere dann Telnet, SSH, FTP, HTTPS und SNMP.


Edit:

Die Frage warum ich nicht den 1900 gekauft habe: Es gab in schlicht Mitte 2019 noch gar nicht!
 
Zuletzt bearbeitet:
bandchef schrieb:
Kannst du mir da weiterhelfen @norKoeri
Zum Vergrößern anklicken....
Leider nein, weil ich keine GS1920-Serie hier habe.
Die Konfigurationsoberfläche ist bei jedem Hersteller anders – teilweise bereits bei unterschiedlichen Hardware-Generationen bzw. Modell-Serien, siehe oben 1900. Ich müsste wissen, welche Voreinstellungen wie sitzen und wo diese sitzen, um konkret helfen zu können. Vielleicht kommt noch wer vorbei, der einen GS1920er hat.
bandchef schrieb:
Magenta TV
Zum Vergrößern anklicken....
Die Telekom wechselt seit Mitte diesen Jahres (nach 15 Jahren) von Multicast auf Unicast.
Daher: Wenn Du die Telekom Media-Receiver zurückgibst und die neuen Möglichkeiten nutzt (Apple TV, MagentaTV One, MagentaTV Stick, App, …), dann brauchst Du kein IGMPv3-Snooping mehr.
bandchef schrieb:
Magenta TV
Zum Vergrößern anklicken....
Wenn Du alle Telekom Media-Receiver nicht indirekt über WLAN oder einen Switch sondern direkt in den Router steckst, brauchst Du kein IGMPv3-Snooping im Switch.
bandchef schrieb:
POE für mindestens 4 davon bereitstellt (3x Unify Access Points, 1x Unify Außenkamera)
Zum Vergrößern anklicken....
Extra Switch nur für PoE, nur darauf achten, ob PoE oder PoE+ oder PoE++ nötig ist und dass das Gesamt-Budget ausreicht … dann reicht für den Rest vielleicht schon ein 8er-Switch … Du wärst für 60 € Deine Probleme los. Vermutlich verbraucht ein solches Setup auch noch weniger Strom – also niedrigere laufenden Kosten. Und Du könntest Deinen jetzigen Switch verkaufen … leider bringt das fast kein Geld und vielleicht auch nur neuen Ärger. Schwierige Entscheidung. Nur als Gedankenexperiment.
 
Also den Switch verkaufen kommt aktuell nicht in Frage, weil ich da auf jeden Fall drauf zahle. Und für das was ich drauf zahle, kann ich den switch lange laufen lassen. Noch dazu muss ich den Strom für die 5 POE Devices ja sowieso zahlen. Und klar, der Switch selber (unabhängig von POE) braucht auch Energie.

Schade ist, dass man zwar die aktuell konsumierte Energie der einzelnen POE Devices einsehen kann, nicht aber die gesamte vom Switch aufgenommenen Watt. Hier ein Screenshot einer aktuellen Stromaufnahme der POE Devices:
1667997628227.png
In Summe aktuell 20,4W + das was der Switch an sich noch braucht. Das weiß ich aber nicht. Ich kann mir aber nicht vorstellen, dass das nochmal deutlich mehr als 20W sind.
Hier hab ich jetzt übrigens in der TechTalk Section von Zyxel selbst einen Eintrag gefunden, der sagt, dass der Switch mit inaktiven POE Clients 14,46W benötigt. Bedeutet also, dass mein Switch ca. 34,86W benötigt; das wären dann auf das Jahr gesehen knapp 100€, was mich der Betrieb von Switch, einer Außen-Kamera, 3 Access Points und dem Unify Cloud Key (benötigt man wegen der Außenkamera) kostet.
 
Zuletzt bearbeitet:
bandchef schrieb:
nicht aber die gesamte vom Switch aufgenommenen Watt
Zum Vergrößern anklicken....
Mein Tipp: Strom-Messgerät beim örtlichen Strom-Lieferanten oder Verbraucherzentrale ausleihen. Das steckst Du dann zwischen Netzteil des Switch und Steckdose(n-Leiste).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Zyxel GS1200-8 Konfiguration
Antworten
6
Aufrufe
1.288
der-junge
D
B
Zyxel NWA130BE verhält sich seltsam
Antworten
10
Aufrufe
1.947
norKoeri
N
J
Zyxel NWA50AX Konfigurationsproblem
Antworten
4
Aufrufe
666
chrigu
chrigu
D
Zyxel GS1920-24 aktuelle Firmware
Antworten
3
Aufrufe
5.533
drothmaler
D
T
Zyxel GS1920 Oberfläche
Antworten
3
Aufrufe
1.766
Trixer84
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz