TP-Link managed LAN Switch Sicher betreiben?

Hallo,

ich habe mir nun einen managed bzw. Smart Switch von TP-Link gekauft.

Die Benutzer Oberfläche ist nur auf Englisch und einige Technische Fachbegriffe muss ich erst recherchieren.

Wie richte ich ihn trotzdem ein das ich ihn sicher betreiben kann ?

Habt ihr Tipps und Tricks aus eigener Erfahrung ?

Answer 1

[GrakaVII]

Wie schon erwähnt, Netzwerkgeräte in ein eigenes VLAN (brauchen idr. nichtmal zwangsweise Internetzugriff, außer für Updates). Dann Port Security, z.B. mit 802.1X. Damit hättest du schonmal einiges getan. Die Managed Switche von TP-Link sind, soweit ich das weiß über verschiedene Wege verwaltbar

• ssh
• Telnet
• Web Oberfläche
• Console Port

Egal welchen Weg man wählt, es sollte immer eine Authentifizierung notwendig sein, gut möglich, dass das per default bei manchen dieser Möglichkeiten nicht eingerichtet ist! Telnet würde ich grundsätzlich ausschalten, ssh mit Vorsicht genießen, wenn man die Config nicht so anpassen kann, dass das ganze abgesichert ist (Verschlüsselung Algorithmen usw.)

Beim Zugriff über die Weboberfläche darauf achten, dass veraltete Standards wie SSLv3.0 oder TLSv1.0 nicht unterstützt werden (eig. nur TLSv1.2 u. höher erlauben) und generell immer per https auf die Oberfläche zugreifen

Woher ich das weiß: Studium / Ausbildung – Studium in theoretischer Informatik (Master)

Comments

[flauski]

Würdest Du eine WebUi grundsätlich als sicherer als SSH einstufen?

Answer 2

[Xandros0506]

Der Switch ist dann sicher, wenn er innerhalb eines abgeschotteten Netzwerkes betrieben wird - sogar ganz ohne Konfiguration.

Und zum Abschotten ist die Firewall des Routers (oder eine nachgeschaltete Hardware-Firewall) anständig zu konfigurieren und alle unnötigen Ports von Aussen zu schliessen.

ich habe mir nun einen managed bzw. Smart Switch von TP-Link gekauft.

Da wäre die Frage im Raum, warum einen managed Switch? Hast du vor, deine Geräte innerhalb deines Netzwerkes über verschiedene VLANs zu trennen, ohne das Netzwerk physikalisch umbauen zu müssen?

Comments

[Navycisactor]

Vielen Dank für die zeitnahe Antwort.

 

Ich habe soweit keine offenen Ports.

 

Wieso Managed ?

Der war billiger als der „unmanaged“.

Ich bin gerade dabei mich in die VLAN Thematik einzulesen.

Kann das mehr Sicherheit bieten ?

[GrakaVII]

@Navycisactor

Kann das mehr Sicherheit bieten ?

Ja, wenn damit sinnvolle Firewall Regeln einhergehen

[flauski]

@GrakaVII

Also wenn nicht anders benötigt, würde ich 2 Regeln beachten:

1. Management ist ein eigenes VLAN, was nicht 1 ist.
2. Management hängt gar nicht im Internet.

Was willst Du mit Deinen Firewall-Regeln?

[GrakaVII]

@flauski

Wenn ich zwei Vlans erstelle, was hindert einen Host in vlan A mit Hosts in vlan B zu kommunizieren? Ah richtig, Firewall Regeln. Wie können Clients in Vlan A wichtige Serverdienste in Vlan B erreichen..? Wenn dann noch IOT ins Spiel kommt, wie realisiere ich mdns/Bonjour traffic zwischen vlans ..? usw.