Advies : 2de hands prof. VS nieuw thuisgebruik materiaal

Henry_X schreef op zondag 25 oktober 2020 @ 15:01:
[...]

Mijn vragen
- Is er een hoger security risico verbonden aan die oudere Cisco switch of aan de meeste thuisgebruik spullen ? Ik neem aan dat het materiaal van m'n provider toch al iets van bescherming biedt ?

In-support kun je er in het algemeen (maar zeker niet altijd en blind) vanuit gaan dat een merk als Cisco een hoger veiligheidsniveau handhaaft, maar out-of-support blijft het steken bij de laatste update die gedaan is. Daarna is het vrij spel op alle vulnerabilities die na dat moment ontdekt worden. Hier kan de naamsbekendheid van Cisco je nog bijten: de kans dat iemand vaag noname spul grondig gaat doorlichten op lekken is stukken lager dan van topmerken die op de meest interessante plekken in gebruik zijn.

Dat gezegd, provider-hardware is ook interessant omdat het met miljoenen tegelijk uitgerold wordt in specifieke gebieden. Als ik een Belg zou willen hacken zou ik focussen op Telenet of Proximus apparatuur... gelukkig zijn die partijen er ook terdege van bewust, maar de vraag is of hun apparatuur te allen tijde nog in support is bij hun vendors.

Lang verhaal kort: zowel bij providers als bij non-provider is het veel relevanter of apparaten nog actief in support zijn dan welk merk ze specifiek zijn. Bij Cisco kun je in ieder geval helder lezen tot wanneer apparaten supported zijn en zo ja wat je moet doen (betalen...) om toegang te krijgen tot die support.

- Worden die thuisgebruik spullen voldoende lang ondersteund met firmware updates e.d. ?

Dat zul je de leverancier moeten vragen. Ik zou in de regel meer verwachten van providerapparatuur (=van een bedrijf waar je nog na aanschaf een financiele relatie mee hebt) dan van random spullen bij de Mediamarkt.

- voorlopig zie ik geen nut in SFP ? Mis ik iets ?

Heb je het over SFP op WAN of LAN?

Bij WAN heb je er inderdaad niets aan zolang je bij zelfde provider blijft en Telenet geen glasvezel uitrolt. Mocht er glas op jouw locatie beschikbaar zijn/worden, dan kan het interessant zijn omdat je dan de mogelijkheid hebt over te stappen zonder van apparatuur te moeten wisselen.

Aan LAN-zijde is SFP de makkelijkste en goedkoopste manier om 10GbE te regelen. Heb je dat nodig? Dan is het een pre. Zo niet, niet.

- zijn die oudere switches energie verspillers ? ( los van PoE gebruik )

Ja. Sowieso geldt voor netwerkhardware net zo goed als voor PC-hardware de wet van Moore - apparatuur wordt steeds goedkoper en zuiniger voor dezelfde prestaties. Komt bij dat thuisgebruikers vaker letten op stroomverbruik en/of bezwaar hebben tegen ventilatorgeluid dan (klein)zakelijke gebruikers die dergelijke apparatuur vaak in afgesloten kamers hebben draaien.

Voorbeeld: ik heb het grote broertje van de switch die je noemt, de Cisco CS3650-48FS. Idle stroomverbruik zonder één aangesloten apparaat of enig verkeer is al 90.8W. Nu is dit een 48p bakbeest en dus niet met jouw 10-poort geval te vergelijken, maar op het werk heb ik een moderne 48p TP-Link switch die onder full load niet eens de helft daarvan verbruikt. De CS3650-48FS is uit 2015, de TP-Link uit 2019, dus in nog geen vier jaar gehalveerd.

Leeftijd is trouwens niet enige factor, sommige merken letten meer op zuinigheid dan anderen en Cisco is notoir grootverbruiker ongeacht leeftijd.

Als ik naar de 3560-12PC kijk (vermoedelijk de switch die jij bedoelt) verbruikt het bij 5% utilization (bij benadering idle) 20W. Pak ik bijvoorbeeld de Netgear GS116Ev2 erbij (die ik trouwens zelf heb en waar ik tevreden over ben), dan verbruikt hij bij "Worst case, all ports used, line-rate traffi c, max PoE (W)" wegeteld 10W.

10W is geen enorme verschil, maar komt neer op ongeveer EUR 22/jaar (afhankelijk van stroomkosten). Uitgaande van economische levensduur van 5 jaar scheelt dat dus EUR 100.


Om terug te komen op security - bedenk dat 90% daarvan verantwoordelijkheid van de router is. Je hebt het hier over een switch. Je hebt hiernaast nog een router nodig. De modemrouter van Telenet is voor normaal thuisgebruik afdoende, maar als je je thuisnetwerk wilt opdelen (lees: VLANS instellen) is dat er niet mee mogelijk. Je zult dus een eigen router nodig hebben voor je plannen, naast een managed switch.

Als ik heel eerlijk ben denk ik gezien je vraagstelling niet dat je de meerwaarde van Cisco-apparatuur gaat benutten, en gezien je nog niet scherp hebt wat het verschil is tussen een switch en een router denk ik dat Netgear ook te hoog gegrepen is. Enige vendor die dit soort spul dermate weet te versimpelen dat je (met grondig inlezen!) op korte termijn kans maakt dit succesvol te doen is Ubiquiti met haar UniFi-reeks.

Koop dan een Unifi Security Gateway (= router), een UniFi switch (=managed switch) en UniFi WiFi Access Points. Die zijn allemaal vanuit één interface te beheren zodat je makkelijk je twee (of later meer) VLANs kunt aanmaken en die vervolgens toe kunt wijzen naar apparaten en poorten.

Maar ongeacht wat je wilt doen: je ambitie reikt momenteel verder dan je parate kennis. Juist bij security is dat geen goed idee. Ik zou ofwel genoegen nemen met huidige kennis en ervan uitgaan dat je provider je voldoende afdekt voor gevaren van buitenaf (wat meestal zo is), danwel zorgen dat je je kennis dermate opkrikt dat je zelf verder kunt gaan dan wat je provider doet.

Henry_X schreef op zondag 25 oktober 2020 @ 15:01:
[...]

Mijn vragen
- Is er een hoger security risico verbonden aan die oudere Cisco switch of aan de meeste thuisgebruik spullen ? Ik neem aan dat het materiaal van m'n provider toch al iets van bescherming biedt ?

In-support kun je er in het algemeen (maar zeker niet altijd en blind) vanuit gaan dat een merk als Cisco een hoger veiligheidsniveau handhaaft, maar out-of-support blijft het steken bij de laatste update die gedaan is. Daarna is het vrij spel op alle vulnerabilities die na dat moment ontdekt worden. Hier kan de naamsbekendheid van Cisco je nog bijten: de kans dat iemand vaag noname spul grondig gaat doorlichten op lekken is stukken lager dan van topmerken die op de meest interessante plekken in gebruik zijn.

Dat gezegd, provider-hardware is ook interessant omdat het met miljoenen tegelijk uitgerold wordt in specifieke gebieden. Als ik een Belg zou willen hacken zou ik focussen op Telenet of Proximus apparatuur... gelukkig zijn die partijen er ook terdege van bewust, maar de vraag is of hun apparatuur te allen tijde nog in support is bij hun vendors.

Lang verhaal kort: zowel bij providers als bij non-provider is het veel relevanter of apparaten nog actief in support zijn dan welk merk ze specifiek zijn. Bij Cisco kun je in ieder geval helder lezen tot wanneer apparaten supported zijn en zo ja wat je moet doen (betalen...) om toegang te krijgen tot die support.

- Worden die thuisgebruik spullen voldoende lang ondersteund met firmware updates e.d. ?

Dat zul je de leverancier moeten vragen. Ik zou in de regel meer verwachten van providerapparatuur (=van een bedrijf waar je nog na aanschaf een financiele relatie mee hebt) dan van random spullen bij de Mediamarkt.

- voorlopig zie ik geen nut in SFP ? Mis ik iets ?

Heb je het over SFP op WAN of LAN?

Bij WAN heb je er inderdaad niets aan zolang je bij zelfde provider blijft en Telenet geen glasvezel uitrolt. Mocht er glas op jouw locatie beschikbaar zijn/worden, dan kan het interessant zijn omdat je dan de mogelijkheid hebt over te stappen zonder van apparatuur te moeten wisselen.

Aan LAN-zijde is SFP de makkelijkste en goedkoopste manier om 10GbE te regelen. Heb je dat nodig? Dan is het een pre. Zo niet, niet.

- zijn die oudere switches energie verspillers ? ( los van PoE gebruik )

Ja. Sowieso geldt voor netwerkhardware net zo goed als voor PC-hardware de wet van Moore - apparatuur wordt steeds goedkoper en zuiniger voor dezelfde prestaties. Komt bij dat thuisgebruikers vaker letten op stroomverbruik en/of bezwaar hebben tegen ventilatorgeluid dan (klein)zakelijke gebruikers die dergelijke apparatuur vaak in afgesloten kamers hebben draaien.

Voorbeeld: ik heb het grote broertje van de switch die je noemt, de Cisco CS3650-48FS. Idle stroomverbruik zonder één aangesloten apparaat of enig verkeer is al 90.8W. Nu is dit een 48p bakbeest en dus niet met jouw 10-poort geval te vergelijken, maar op het werk heb ik een moderne 48p TP-Link switch die onder full load niet eens de helft daarvan verbruikt. De CS3650-48FS is uit 2015, de TP-Link uit 2019, dus in nog geen vier jaar gehalveerd.

Leeftijd is trouwens niet enige factor, sommige merken letten meer op zuinigheid dan anderen en Cisco is notoir grootverbruiker ongeacht leeftijd.

Als ik naar de 3560-12PC kijk (vermoedelijk de switch die jij bedoelt) verbruikt het bij 5% utilization (bij benadering idle) 20W. Pak ik bijvoorbeeld de Netgear GS116Ev2 erbij (die ik trouwens zelf heb en waar ik tevreden over ben), dan verbruikt hij bij "Worst case, all ports used, line-rate traffi c, max PoE (W)" wegeteld 10W.

10W is geen enorme verschil, maar komt neer op ongeveer EUR 22/jaar (afhankelijk van stroomkosten). Uitgaande van economische levensduur van 5 jaar scheelt dat dus EUR 100.


Om terug te komen op security - bedenk dat 90% daarvan verantwoordelijkheid van de router is. Je hebt het hier over een switch. Je hebt hiernaast nog een router nodig. De modemrouter van Telenet is voor normaal thuisgebruik afdoende, maar als je je thuisnetwerk wilt opdelen (lees: VLANS instellen) is dat er niet mee mogelijk. Je zult dus een eigen router nodig hebben voor je plannen, naast een managed switch.

Als ik heel eerlijk ben denk ik gezien je vraagstelling niet dat je de meerwaarde van Cisco-apparatuur gaat benutten, en gezien je nog niet scherp hebt wat het verschil is tussen een switch en een router denk ik dat Netgear ook te hoog gegrepen is. Enige vendor die dit soort spul dermate weet te versimpelen dat je (met grondig inlezen!) op korte termijn kans maakt dit succesvol te doen is Ubiquiti met haar UniFi-reeks.

Koop dan een Unifi Security Gateway (= router), een UniFi switch (=managed switch) en UniFi WiFi Access Points. Die zijn allemaal vanuit één interface te beheren zodat je makkelijk je twee (of later meer) VLANs kunt aanmaken en die vervolgens toe kunt wijzen naar apparaten en poorten.

Maar ongeacht wat je wilt doen: je ambitie reikt momenteel verder dan je parate kennis. Juist bij security is dat geen goed idee. Ik zou ofwel genoegen nemen met huidige kennis en ervan uitgaan dat je provider je voldoende afdekt voor gevaren van buitenaf (wat meestal zo is), danwel zorgen dat je je kennis dermate opkrikt dat je zelf verder kunt gaan dan wat je provider doet.