Neue Switch Hardware gesucht (nicht aus USA oder China)

Hallo ihr lieben Piraten...

... und deshalb denke ich, für dieses Thema genau die richtigen Experten!

Ich brauche Hilfe um mehrere vorhandene Netzwerkgeräte des Typs:



auszutauschen, da wie man sehen kann (wenn man den Links folgt), sich die Geräte bereits im EndOfLife befinden.

Nun hätte ich gerne ähnliche Geräte mit den gleichen Eigenschaften:
- passive Kühlung (Gehäusegrößen in ähnlichen Ausmaßen)
- Einstellungen per Web vornehmen (hieß damals Web Managed)
- POE (am Besten auch mit POE PassThru bzw. POE PD oder wie es jetzt heißt)
- Unterstützte Standard Geschwindigkeit mit 2,5GBPS (die vorherigen konnten nur 1GBPS)
- USB-C Netzteil wäre auch gut

Allerdings, und jetzt kommt die Krux, nicht von Netgear oder einem anderen Hersteller aus den USA!

Hintergrund ist einfach, Netgear hat in der Vergangenheit Sicherheitslücken nicht geschlossen, sondern nur besser versteckt(!), um der Regierung weiterhin Zugriffe/Manipulationen zu ermöglichen.

Bei Firmen die sowas machen habe ich komplett das Vertrauen verloren und da die nicht die einzigen waren (laut Synacktiv), möchte ich daher die USA komplett boykottieren.

Leider habe ich bei meinen Recherchen bisher nur Geräte von Ubiquiti gefunden, da am dichtesten an die Anforderungen herankamen, aber leider USA....

Geräte aus China müssen auch nicht sein, ich möchte nicht den einen Staatsüberwachungsspion gegen einen anderen Austauschen.

Ich hoffe ihr könnt mir helfen etwas ordentliches zu finden!

Wat!?

Erst einmal: Warum einen Switch austauschen, weil er "End of Life" ist!? Betreibst du daheim ein Rechenzentrum und sind deren Web-Consolen im Internet verfügbar!? Wer soll da dran kommen hinter einem NAT? Und selbst wenn: Was soll man dann tun damit!?
Mir scheint hier wird das Konzept Netzwerksicherheit missverstanden...

Das andere ist: USA: Nö!, China: Nö! ... ja was jetzt? Wo glaubst du denn kommt so Hardware her? Aus dem Schwarzwald!?
Selbst die Geräte mit den wohlklingenden US-Namen, stammen insbesondere in diesem Consumer- bzw. Prosumer-Bereich allesamt aus China. Selbst mein 15 Jahre alte CISO Managed Switch ist eine Auftragsfertigung eines chinesischen Zulieferers für die...

Kommt noch hinzu, dass 2,5Gbit Ethernet ein Exot für den Consumer-Bereich ist und damit ein Standard ist, der von etwas professionelleren Geräten (wie hier gefordert), mehrheitlich überhaupt nicht abgedeckt wird. Die machen dann eher 5Gbit und 10Gbit, wenige supporten den 2.5Gbit Modus. 2.5G war eigentlich als Standard nie vorgesehen.

Ich würde an dem Setup da gar nichts machen. Hat keinen Wert, außer Geld los werden.

@xNecromindx:
Danke schon einmal für deinen Einwand!

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Öh naja, sollte man nicht generell Hardware verwenden die noch supportet wird, um Sicherheitslücken zu verhindern oder Fehlerbehebungen in der Funktionsweise?

Wenn du sagst das die noch "sicher" sind und ausreichen kann ich damit auch erstmal noch weiter fahren.

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Das ist mir ja schon klar, deswegen ja die Krux! "Zyxel" z.B. kommt aus Taiwan, das würde mir ja schon reichen, einfach ein anderes Land außer China oder USA.

2,5GBPS war eher für den internen Datenaustausch gedacht, da mal ein Upgrade zu machen. Gibt es ja auch schon z.B. von "Ubiquiti":


Wäre jetzt aber auch nicht zwingend erforderlich, ansonsten würde auch 1Gig reichen mit einem Switch der noch supported wird. Nur ich dachte, wenn es das schon gibt mit der Geschwindigkeit, denn könnte man das schon gleich mitnehmen.

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Das ist eben das Ding, ich möchte nicht gleich über professionell werden, sondern eher im Einsteigerbereich bleiben. Aber irgendwie sind die Switches die ich sonst so finde, dann immer gleich zwei Stufen mehr.
Zum Beispiel:

Aber sowas möchte ich ja gar nicht.

Ich möchte sonst doch nur eigentlich das bestehende Setup auf einen aktuellen Stand bringen.

Wär cool wenn ihr mir da helfen könntet.

diso-daso schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Gut, "Sicherheitslücken":
Würdest du übermorgen ins Krankenhaus gehen, um dich am Herzen operieren zu lassen? Ich mein: Statistisch betrachtet besteht ab 40 ein erhöhtes "Sicherheitsrisiko" auf Herzinfakt...
Macht doch keiner.
Sicherheitsrisiken hat man immer, es gilt ja diese zu bewerten und zu entscheiden, wie man die handhabt. Den Fuß aus der Tür zu setzen birgt das Risiko vom Bus überfahren zu werden. Also wie handhabe ich das jetzt?
Selbst wenn dein Switch auf Grund irgend einer Lücke offen wie ein Scheunentor ist, hat das jetzt was für eine Konsequenz? Der Switch ist in deinem INTRANET, das heißt davor hängt ein Router. Dieser Router macht NAT. Pauschal gesagt, kommt damit schon einmal von außen keiner in dein Intranet. Also wo müsste ein Angriff auf deinen Switch ansetzen? Ja, richtig: In deinem Intranet. Hast du einen Angreifer aber schon in deinem Intranet, ist die Sicherheitslücke in deinem Switch die geringste Sorge...

Kommen wir zu Fehlerbehebung:
Welche Problem liegt denn derzeit mit dem Gerät vor? Ah ja, keins? Also welches Problem!?
Es gibt keine fehlerfreie Software. Jede Software hat Fehler. Das ist der Grund für Sicherheitslücken und eben das Patchen jener. Manche dieser Fehler existieren aber schon Jahrzehnte in der Software. Waren deswegen jetzt Jahrzehnte Leute nicht in der Lage das Produkt zu nutzen!? Natürlich nicht! Denen ist der Fehler nämlich gar nicht aufgefallen, weil die diese Funktion oder Kombination von Funktionen einfach nicht benutzt haben - sonst wäre der Fehler ja nicht Jahrzehnte versteckt geblieben.

Fazit:
Die Sicherheitsbewertung für den Switch ist einfach: Es gibt ein lediglich marginales Risiko. Man müsste irrwitzige Dinge annehmen, um hier für Angreifer brauchbare Szenarien heraus zu holen, die aber erfordern, das weit vor dem Switch schon zahlreiche Dinge mächtig schief laufen müssen. Als Heimanwender bist du Herr über dein Netz und auch in Kenntnis darüber, wer da wie drin herumoperiert. Du unterliegst nicht der Gefahr, dass da täglich Hans und Franz in deinem Netzwerk anonym und auch mit bösem Willen herumschnüffeln.

diso-daso schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Und Taiwan gehört nun einmal offiziell zur Volksrepublik China. Deswegen lassen auch die auf Festland-China Produkte fertigen.
Daneben hat Taiwan auch noch als Schutzmacht die USA an ihrer Seite, die mit ihrem Polit-Arm dort mächtig auf der Insel herumfingern.
So gesehen hast du sogar beide Spieler, die du nicht willst, hier am Drücker...

@xNecromindx:
Danke für deine Worte. Okay, also kurz gesagt es ist kein akutes Problem, hab ich verstanden.

Aber ich brauche dennoch Hilfe für Hardwarevorschläge.

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Siehste, deswegen Frage ich ja hier. Weil mir die Zusammenhänge zwischen Herstellern und Ländern nicht bekannt sind und ihr da vielleicht mehr wisst.

Dann mal anders gefragt, was würdest du dir denn aktuell für Hardware zulegen mit den obigen Eigenschaften?

Ich bin zum Beispiel über sowas gestolpert, taugen die Geräte etwas?


Aber so richtig Vertrauenserweckend sehen die auch nicht aus.

Hast du sonst einen Tipp für Herstellernamen die eher semi-professionell unterwegs sind, oder zumindest solche unterstützen?

Ich würde überhaupt keine politischen Einschränkungen machen. Denn sie sind Quatsch.
Man kann im Netzwerk nicht nur den Internetzugriff für die Geräte unterbinden, man kann ihn auch sehen.
Diese "Backdoor-Idee" ist deswegen einfach Unsinn.

Es gibt faktisch keine Consumer-Hardware in dem Bereich, die nicht aus diesen beiden Destinationen kommt. Wo vor allem China absolut dominiert.
Auch das worüber du "gestolpert" bist, was glaubst du denn, wo das herkommt!? Das ist alles Made in China.

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Gesagt getan, dann bitte hier längs

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Wenn dem so ist müsste ich es dann hinnehmen, aber ich kanns mir nicht so richtig vorstellen.
Was ist denn z.B. mit den folgenden Herstellern (bezogen auf Hardware)?
Buffalo (Japan)-> hat leider den Vertrieb in Europa eingestellt (aber hab ich da gesehen)
Teltonika (Littauen)
Mikrotik (Lettland)

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Am Ende geht es mir nicht um die Bauteile oder das alles in einem Land gefertigt wird. Ich möchte einfach, dass die Software oder die verantwortliche Firma dahinter nicht staatlich durch irgendwas gesteuert wird (siehe Truecrypt->National Security Letter).
Ich dachte gerade bei euch Piraten wäre ich da gut beraten, weil ihr ja auch nicht gefunden (durch die Behörden) oder gehackt/gedoxxt (durch andere Gruppen oder sonst wen) werden wollt. (Ich habe dein Eingangstext verstanden, ist anscheinend bei Switches nicht so relevant, allerdings müsste ich mich bei mir schon von innen heraus absichern, auch wenn die Wahrscheinlichkeit gering ist)

Falls irgendwem in diese Richtung irgendetwas einfällt bin ich über Hardware-Vorschläge dankbar.

diso-daso schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Teltonik fertig tatsächlich selber, an ihrem Standort in Litauen.
Nur was steckt da drin? Ein SoC, der nicht bei jedem Produkt aus Europa kommt. Der SoC hat Firmware vom Hersteller. Das Betriebssystem (die nutzen Linux), brauch Firmware-Blobs für gewisse SoC-Bestandteile und/oder externe Chips.
Wo kommt diese Firmware her? Natürlich vom Chip-Hersteller. Also war läuft denn da nun für Code im Chip, wenn man, sagen wir nen Allwinner SoC aus China einsetzt? Hm?
Es ist doch am Ende völlig wumpe wo es zusammengelötet wird, wenn man in der Argumentation mitgeht, dass da "jemand" böse Absichten hat.

Ich erinnere an den Eklat, der mal bei Bloomberg aufploppte, dass in China gefertigte Supermicro-Mainboards womöglich eine "schadhafte" Spionage-Firmware im BMC Chip enthalten, die "Dinge" erlauben sollte.
Einen Nachweiß dafür gab es nie und der ist dank Firmwaresignierung sogar ziemlicht einfach zu erbringen gewesen. Trotz aller hastig gescannten Server bei Amazon und Co. konnte man aber nie etwas finden.

diso-daso schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Es besteht ein Unterschied zwischen Vorsicht und Paranoia.
Es ist die Vorsicht, die einem einen Schirm mitnehmen lässt, wenn dunkle Wolken am Himmel aufziehen.
Es ist Paranoia, in den Himmel zu schauen und angesichts der Wolken dort von Chemtrails zu faseln.

Wie jetzt schon mehrfach erwähnt: TCP/IP Netze sind sehr transparent bzgl. ihrer Datenflüsse.
Sollte China den Gedanken hegen die vorhandene Technik für sich anderweitig für Spionagezwecke zu nutzen, ist das eine Karte die auf der ganzen Welt nur ein einziges mal gezogen werden. Das ist quasi die IT-technisch nukleare Option.
Das fällt binnen weniger Stunden irgendwem auf, vor allem angesichts der heute massiven Durchleuchtung von Traffic in jeder kleinen Wald- und Wiese-Firma.
In dem Moment ist diese Option komplett verbrannt. Denn jeder weiß dann was Sache ist und die Gegenmaßnahmen sind verheerend: Politischer Druck bis hin zu Vergeltungsschlägen, verlorenes Vertrauen in chinesische Produkte und die konsequente Aussortierung jeder chinesischen IT-/Elektro-Produkte im gesamten Rest der Welt.

Diese Option ist also so gottlos dumm, das deren Realisierung einem Selbstmord gleichkommt.
Weswegen diese Option auch bei keinem Geheimdienst des Planeten als Möglichkeit der Datenexfiltration betrachtet wird, sondern als einmalige Sabotage um z.B. einen konventionellen Angriff vorzubereiten, indem man die IT-Infrastruktur kollabieren lässt. Das ist analog zu den Pagern die der Mossard mit Sprengstoff bestückt hat. Es wäre doch viel "schlauer" gewesen, diese Dinger so zu modifizieren, um an Daten zu kommen. An die Infos kommen sie aber anders - dazu brauchen die so einen Unsinn nicht. Das war bewusst als Einmal-Option angelegt, aus besagten Gründen. Und es ist auch Analog zu dem triggern einer Sicherheitslücke in Kommunikationssatelliten, die Russland nutze quasi Minuten vor dem Einmarsch in die Ukraine.
So etwas nutzt man zur Sabotage, nicht zur Spionage.

Und selbst wenn jemand so blöd wäre, es zur Spionage zu benutzen, reicht ein simpler VPN-Kanal um sich komplett der Spionage auf seinem Switch zu entziehen. Was soll das denn jetzt für eine "geniale" Strategie sein!? Die ist lächerlich.
Bevor man sich also in seiner Suppenküche lustige Geheimdienst-Konspirationen ausdenkt, sollte man die Zeit besser dafür nutzen, sich mit der Funktion dieser Technik auseinander zu setzen. Dann fällt einem nämlich auf, dass die Idee ziemlicher Blödsinn ist.

diso-daso schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ich glaube ich spreche für die meisten hier wenn ich sage: Ich bin so unwichtig in dieser Welt ich könnte jeden Tag eine Fahne im Garten hissen mit Trompeten und alledem und trotzdem würde sich keine Sau für mich interressieren
Ausser wenn ich meinen Nachbar dabei aufwecke dann bin ich plötzlich von bedeutung. Aber "hacken" will mich der dann nicht.....

Der nächste Punkt in deiner Paranoia: Was ist bei dir so wichtiges in deiner Infrastruktur dass du denkst du bist nur ansatzweise für irgendjemanden ein Ziel? Ist deine Haustüre im ach so glorreichem Smart Home integriert? Wäre noch das einzige woran ich interresse hätte wenn ich Einbrecher wäre und gleichzeitig IT Spezialist. Wobei ich dann auch keine Zeit mehr hätte als Einbrecher zu fungieren da ich wahrscheinlich bis zum Hals in Laptops und PCs von Verwandten und Bekannten stecken würde um die zu "reparieren"

@WolfKakashi:
Ja ein direktes Ziel werde ich nicht sein (global gesehen), dass ist mir schon klar.

Aber ich möchte halt nicht, dass irgendein möchtegern Häcker von innen heraus (oder von außen), irgendwas machen kann.

Quasi so in die Richtung:

Als Beispiel, es gibt genug (auch private) IP-Kameras die durch spezielle Suchmaschinen gefunden und darauf zugegriffen werden kann (vorallem wenn nur die Default-Passwörter der Hersteller verwendet werden). Teilweise bis hin zur Manipulation der Smart-Home Geräte.

@xNecromindx:
Vielen Dank für die Ausführungen!

Ich möchte halt niemandem eine Plattform bieten, um irgendwas zu machen zu können. Am Besten kann ich das halt (als nicht professioneller IT-Profi), wenn ich Geräte auf dem aktuellen Stand verwende und ich den Firmen dahinter vertrauen kann. Der Staatstrojaner ist immerhin auch noch nicht ganz vom Tisch: