Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Zyxel GS1920 - SNMP?
- Ersteller bandchef
- Erstellt am
niteaholic
Commander
- Registriert
- Okt. 2018
- Beiträge
- 2.067
SNMP ausschalten.
Tja, das hatte ich auch gedacht. Ich hab auf den blauen Link in dieser Warning geklickt und in der Tat diese Maske erhalten:Don_2020 schrieb:Einfach den Anweisungen folgen, also Passwort ändern.
Darin habe ich dann das Administrator-Passwort abgeändert, aber beim nächsten Login kam die Meldung wieder.
Ich glaube daher, dass SNMP abschalten zielführender ist, also so wie @niteaholic auch meint.
Frage: Was ist SNMP und für was brauche ich das, dass das standardmäßig aktiviert ist?
niteaholic
Commander
- Registriert
- Okt. 2018
- Beiträge
- 2.067
Mit dem SNM Protokoll kannst du dir Aktivitäten deiner Geräte welche sich im Netzwerk befinden abfragen. CPU/Auslastung/HDD Temp usw. usf.
Also nichts was du als Privatperson ohne Homeserver je wirklich brauchen solltest.
Daher kannst du SNMP getrost abschalten und dich freuen die Meldung nicht mehr sehen zu müssen.
Edit: die Meldung kommt wieder weil in den unteren Felder alles auf Public gesetzt ist. Setze es auf private und die Meldung sollte weggehen. Nachdem du es auf private gesetzt hast, kannst du anschließend SNMP deaktivieren.
Also nichts was du als Privatperson ohne Homeserver je wirklich brauchen solltest.
Daher kannst du SNMP getrost abschalten und dich freuen die Meldung nicht mehr sehen zu müssen.
Edit: die Meldung kommt wieder weil in den unteren Felder alles auf Public gesetzt ist. Setze es auf private und die Meldung sollte weggehen. Nachdem du es auf private gesetzt hast, kannst du anschließend SNMP deaktivieren.
Vielen vielen Dank! Ich hab's genauso gemacht und die Meldung ist nun weg.niteaholic schrieb:Edit: die Meldung kommt wieder weil in den unteren Felder alles auf Public gesetzt ist. Setze es auf private und die Meldung sollte weggehen. Nachdem du es auf private gesetzt hast, kannst du anschließend SNMP deaktivieren.
Ich habe zum Menü "Management" noch eine Frage. Es gibt da den Punkt "Service Access Control". Dort werden alle Möglichkeiten aufgelistet, über welche man an die Einstellungen des Switches "rankommt".
Welche sollte man ausschalten? Ich habe bisher nix anderes zum Konfigurieren des Switches benutzt außer HTTP und HTTPS, also Zugriff über Browser. Wäre es deshalb ratsam nur die beiden zu aktivieren?
Und noch weitere abschließende Fragen:
Im Punkt Account Security könnte ich eine "Password Encryption" aktivieren. Ist dies sinnvoll?
Zum Menüpunkt "Logins": Aktuell logge ich mich immer mit dem vorangelegten Adminstrator-Account (aber mit verändertem Passwort!) ein. Ist es genauso wie bei meinem NAS, ratsam, den vorangelegten Admin-Account so zu belassen (bzw. wenn es geht diesen zu deaktivieren) und einen neuen Account anzuelegen?
Und dann gibt es noch "Remote Management":
Ich gehe davon aus, dass ich den ersten Eintrag auch deaktivieren kann, weil "Remote" werde ich den Switch auch nicht bedienen wollen...
Ergänzung ()
Den Punkt finde ich in meiner Ansicht nicht.Masamune2 schrieb:Configuration -> Management -> SNMP -> Global -> Disable setzen.
madmax2010
Fleet Admiral
- Registriert
- Juni 2018
- Beiträge
- 31.123
SSH wuerde ich an lassen.bandchef schrieb:Welche sollte man ausschalten? Ich habe bisher nix anderes zum Konfigurieren des Switches benutzt außer HTTP und HTTPS, also Zugriff über Browser. Wäre es deshalb ratsam nur die beiden zu aktivieren?
ICMP auch, wennd er auf Pings antworten soll
Bei der Community handelt es sich um so etwas ähnliches wie ein Passwort.bandchef schrieb:Vielen vielen Dank! Ich hab's genauso gemacht und die Meldung ist nun weg.
"public" ist normalerweise der Default um Daten auszulesen (SNMP get) und mit "private" kann man auch Daten verändern (SNMP set)
d.h. ein potenzieller Angreifer würde als erstes "private" verwenden um ein System zu manipulieren. Daher bitte alle Werte auf ein zufälliges Kennwort ändern, sofern sich SNMP nicht abschalten lässt.
0x8100
Admiral
- Registriert
- Okt. 2015
- Beiträge
- 9.611
wenn man es richtig machen will: alles was nicht verschlüsselt ist und alles was man nicht benutzt. icmp für ping kann aktiviert bleiben.bandchef schrieb:Welche sollte man ausschalten?
alles, was du übers netzwerk machst (und nicht mit einem seriellen kabel), ist "remote". deaktivierst du den ersten eintrag, kommst du gar nicht mehr rauf. man könnte hier das interne netz angeben oder nur die ip eines dedizierten rechners.bandchef schrieb:Ich gehe davon aus, dass ich den ersten Eintrag auch deaktivieren kann, weil "Remote" werde ich den Switch auch nicht bedienen wollen...
noch zu snmp: die community von "public" auf "private" zu setzen mag zwar die warnung deaktivieren, bringt aber sicherheitstechnisch nichts, da "private" genauso well-known wie "public" ist (die community ist wie ein passwort und wenn jeder "private" benutzt bringt das auch nichts) und ein angreifer das unverschlüsselte snmp einfach mitlesen könnte. erst mit snmp v3 wird es sicher(er). generell gilt, dass man services, die man nicht braucht, abschaltet.
niteaholic
Commander
- Registriert
- Okt. 2018
- Beiträge
- 2.067
Ok. Weiter oben hat ein Kollege einen Screenshot gepostet das zeigt, dass man SNMP auch komplett abschalten kann (was mir auch am liebsten wäre!), aber entweder im Screenshot wird eine andere Firmware/anderes Gerät gezeigt, oder ich finde bei mir den Eintrag zum Deaktivieren des SNMP nicht?!0x8100 schrieb:noch zu snmp: die community von "public" auf "private" zu setzen mag zwar die warnung deaktivieren, bringt aber sicherheitstechnisch nichts, da "private" genauso well-known wie "public" ist (die community ist wie ein passwort und wenn jeder "private" benutzt bringt das auch nichts) und ein angreifer das unverschlüsselte snmp einfach mitlesen könnte. erst mit snmp v3 wird es sicher(er). generell gilt, dass man services, die man nicht braucht, abschaltet.
Ok. Dann deaktiviere ich alles bis auf ICMP und https.0x8100 schrieb:wenn man es richtig machen will: alles was nicht verschlüsselt ist und alles was man nicht benutzt. icmp für ping kann aktiviert bleiben.
Ja ich habe einen GS1900 und nicht den 1920, bin mal davon ausgegangen, dass die Firmware sehr ähnlich ist.
Du kannst bei dir aber den Zugriff auf SNMP einfach deaktivieren und die Community tauschen dann kommt die Warnung nicht mehr und der Dienst ist auch nicht mehr erreichbar.
Du kannst bei dir aber den Zugriff auf SNMP einfach deaktivieren und die Community tauschen dann kommt die Warnung nicht mehr und der Dienst ist auch nicht mehr erreichbar.
Unter "Service Control" kann man SNMP deaktivieren. Manchmal bin ich deppert und über sehe den Wald vor lauter Bäumen...bandchef schrieb:[IMG]https://www.computerbase.de/forum/attachments/1667925812289-png.1281159/[/IMG]
Und noch eine Frage zum Service Control:
Wenn ich nun http, https und icmp aktiviert lasse und alle anderen Möglichkeiten deaktiviere, funktioniert aber der Zugriff auf die GUI des Swtiches nach wie vor über meine Browser, oder?
Ich spreche im Browser den Switch direkt mit seiner IP-Adresse an. In meinem Fall gebe ich einfach "192.168.178.2/login.html" ein und drücke Enter.
So würde ich es konfigurieren, aber wie gesagt, wichtig ist mir, dass ich nach wie vor über den am LAN angebundenen Laptop und einem Browser (IE, Chrome) auf den Switch drauf komme:
Könnt ich dann vielleicht sogar noch http deaktivieren und nur https und icmp aktiviert lassen und ich komme mit 192.168.178.2/login.html über den Browser auf den Switch drauf?
Zuletzt bearbeitet:
HTTPs-only macht Deinen Switch nicht sicherer. Das Abschalten von HTTP verhindert nur, dass Du es nicht versehentlich nutzt. Wenn jemand in Deinem Netz schnüffelt, könnte er wegen HTTP das Passwort abgreifen und den Switch übernehmen. Ich würde neben ICMP auch HTTP an lassen, weil sich bei HTTPs bzw. TLS laufend Dinge ändern und dann auf einmal kein (aktueller) Web-Browser mehr kompatibel ist. Stattdessen darauf achten, immer HTTPs zu verwenden.
bandchef schrieb:
- Aus reiner Neugierde: Weswegen nutzt Du einen konfigurierbaren Switch konkret?
- Aus reiner Neugierde: Weswegen die GS1920-Series und nicht die GS1900-Series?
Wegen Magenta TV weil mir der Elektriker einen mit konfigurierbaren IGMPv3 empfohlen hat, weil es wegen Multicast zu Problemen kommt.norKoeri schrieb:Aus reiner Neugierde: Weswegen nutzt Du einen konfigurierbaren Switch konkret?
Das weiß ich nicht. Irgendein Thema konnte die 1920er Serie anscheinend nicht. Ich habe vor über 3 Jahren einen Switch gebraucht, der für mindestens 16 Kanäle 1GBit bereithält, POE für mindestens 4 davon bereitstellt (3x Unify Access Points, 1x Unify Außenkamera) sowie IGMPv3 beherrscht. Irgendwann bin ich eben darauf gestoßen, dass es zum damaligen Zeitpunkt keinen unmanaged Switch gegeben hat, der dieses Anforderungsprofil erfüllt hat!norKoeri schrieb:Aus reiner Neugierde: Weswegen die GS1920-Series und nicht die GS1900-Series?
Gerade bezogen auf Sicherheit und Stromsparmodus wäre ich dabei ein zu konfigurieren. Welche Themen müsste ich da abarbeiten? Kannst du mir da weiterhelfen @norKoerinorKoeri schrieb:Ich kenne jetzt die Zyxel GS1920-Series zu wenig, aber früher hatten deren Switche nicht nur merkwürdige Voreinstellungen bei der Sicherheit – man musste alles Unmögliche erst Abschalten – sondern auch bei den Strom-Spar-Optionen – man musste alles Unmögliche erst einschalten.
Ergänzung ()
Ok. ich deaktiviere dann Telnet, SSH, FTP, HTTPS und SNMP.norKoeri schrieb:HTTPs-only macht Deinen Switch nicht sicherer. Das Abschalten von HTTP verhindert nur, dass Du es nicht versehentlich nutzt. Wenn jemand in Deinem Netz schnüffelt, könnte er wegen HTTP das Passwort abgreifen und den Switch übernehmen. Ich würde neben ICMP auch HTTP an lassen, weil sich bei HTTPs bzw. TLS laufend Dinge ändern und dann auf einmal kein (aktueller) Web-Browser mehr kompatibel ist. Stattdessen darauf achten, immer HTTPs zu verwenden.
Edit:
Die Frage warum ich nicht den 1900 gekauft habe: Es gab in schlicht Mitte 2019 noch gar nicht!
Zuletzt bearbeitet:
Leider nein, weil ich keine GS1920-Serie hier habe.bandchef schrieb:Kannst du mir da weiterhelfen @norKoeri
Die Konfigurationsoberfläche ist bei jedem Hersteller anders – teilweise bereits bei unterschiedlichen Hardware-Generationen bzw. Modell-Serien, siehe oben 1900. Ich müsste wissen, welche Voreinstellungen wie sitzen und wo diese sitzen, um konkret helfen zu können. Vielleicht kommt noch wer vorbei, der einen GS1920er hat.
Die Telekom wechselt seit Mitte diesen Jahres (nach 15 Jahren) von Multicast auf Unicast.bandchef schrieb:Magenta TV
Daher: Wenn Du die Telekom Media-Receiver zurückgibst und die neuen Möglichkeiten nutzt (Apple TV, MagentaTV One, MagentaTV Stick, App, …), dann brauchst Du kein IGMPv3-Snooping mehr.
Wenn Du alle Telekom Media-Receiver nicht indirekt über WLAN oder einen Switch sondern direkt in den Router steckst, brauchst Du kein IGMPv3-Snooping im Switch.bandchef schrieb:Magenta TV
Extra Switch nur für PoE, nur darauf achten, ob PoE oder PoE+ oder PoE++ nötig ist und dass das Gesamt-Budget ausreicht … dann reicht für den Rest vielleicht schon ein 8er-Switch … Du wärst für 60 € Deine Probleme los. Vermutlich verbraucht ein solches Setup auch noch weniger Strom – also niedrigere laufenden Kosten. Und Du könntest Deinen jetzigen Switch verkaufen … leider bringt das fast kein Geld und vielleicht auch nur neuen Ärger. Schwierige Entscheidung. Nur als Gedankenexperiment.bandchef schrieb:POE für mindestens 4 davon bereitstellt (3x Unify Access Points, 1x Unify Außenkamera)
Also den Switch verkaufen kommt aktuell nicht in Frage, weil ich da auf jeden Fall drauf zahle. Und für das was ich drauf zahle, kann ich den switch lange laufen lassen. Noch dazu muss ich den Strom für die 5 POE Devices ja sowieso zahlen. Und klar, der Switch selber (unabhängig von POE) braucht auch Energie.
Schade ist, dass man zwar die aktuell konsumierte Energie der einzelnen POE Devices einsehen kann, nicht aber die gesamte vom Switch aufgenommenen Watt. Hier ein Screenshot einer aktuellen Stromaufnahme der POE Devices:
In Summe aktuell 20,4W + das was der Switch an sich noch braucht. Das weiß ich aber nicht. Ich kann mir aber nicht vorstellen, dass das nochmal deutlich mehr als 20W sind.
Hier hab ich jetzt übrigens in der TechTalk Section von Zyxel selbst einen Eintrag gefunden, der sagt, dass der Switch mit inaktiven POE Clients 14,46W benötigt. Bedeutet also, dass mein Switch ca. 34,86W benötigt; das wären dann auf das Jahr gesehen knapp 100€, was mich der Betrieb von Switch, einer Außen-Kamera, 3 Access Points und dem Unify Cloud Key (benötigt man wegen der Außenkamera) kostet.
Schade ist, dass man zwar die aktuell konsumierte Energie der einzelnen POE Devices einsehen kann, nicht aber die gesamte vom Switch aufgenommenen Watt. Hier ein Screenshot einer aktuellen Stromaufnahme der POE Devices:
Hier hab ich jetzt übrigens in der TechTalk Section von Zyxel selbst einen Eintrag gefunden, der sagt, dass der Switch mit inaktiven POE Clients 14,46W benötigt. Bedeutet also, dass mein Switch ca. 34,86W benötigt; das wären dann auf das Jahr gesehen knapp 100€, was mich der Betrieb von Switch, einer Außen-Kamera, 3 Access Points und dem Unify Cloud Key (benötigt man wegen der Außenkamera) kostet.
Zuletzt bearbeitet:
Mein Tipp: Strom-Messgerät beim örtlichen Strom-Lieferanten oder Verbraucherzentrale ausleihen. Das steckst Du dann zwischen Netzteil des Switch und Steckdose(n-Leiste).bandchef schrieb:nicht aber die gesamte vom Switch aufgenommenen Watt
Ähnliche Themen
- Antworten
- 6
- Aufrufe
- 1.150
- Antworten
- 10
- Aufrufe
- 1.584
- Antworten
- 4
- Aufrufe
- 599
- Antworten
- 3
- Aufrufe
- 5.320
- Antworten
- 3
- Aufrufe
- 1.663