Sppak schreef op donderdag 11 november 2021 @ 19:08:
Fortinet is voor thuis way too much, dat gaat m niet worden. Dat ik op een onderdeel van de driehoek moet inleveren vind ik prima, maar op de een of andere manier lijk ik steeds tegen de merken zelf aan te blijven hikken.
Ubiquiti staat niet echt bekend om hun goede ondersteuning en beloften omtrent functionaliteiten en uitspraken/updates (phone-home, updates etc), wat dus een gebrek aan vertrouwen geeft. TP-Link loop ik als Chinees bedrijf ook niet echt warm van, hoewel ik me ervan bewust ben dat het waarschijnlijk een vooroordeel is. Bij Meraki, HPE en Netgear heb ik nog niet precies helder of er abonnementen aan hangen en wat ze aan firewall/router hebben.
Cisco/Meraki: ga maar uit van abonnementen
HPE: iig de meer SOHO/MKB gerichte Aruba dingen (Instant On) nog niet direct, maar voor support, zeker als je wat hoger in productportfolio gaat (ik denk hier aan mijn AP 534 op het werk) mag je wel een abo nemen. Netgear: geen abo nodig.
Verder mbt China: kijk eens waar genoemde andere merken hun spullen laten bouwen, je HPE en Cisco dingen komen er net zo goed vandaan. Als je echt paranoide wilt zijn is er uitermate weinig verschil tussen
Made in China door een Chinees merk en
Made in China door een Amerikaans merk. Bedenk ook dat China misschien geopolitek een groter risico is, maar jij bent niet de Pentagon of de AIVD, jij bent een particulier in NL, en hoogstwaarschijnlijk zijn RU ransomware eikeltjes een veel groter gevaar dan potentieel meeluisteren (maar verder niets doen) door de Chinese overheid.
IMHO veel relevanter: hoe beheer je die dingen en wie heeft er toegang toe?
Veel van de meer low-end consumenten/kleinzakelijk georienteerde apparaten zijn 'cloud managed', waarbij er dus een cloud service (9 van de 10 keer AWS of Azure) toegang heeft tot jouw apparatuur. Al vertrouw je zowel de service als wat je vendor erop doet, feit dat het toegang heeft vergroot de attack surface van jouw opstelling, en er hoeft maar een keer een finke inbraak te zijn bij je vendor een wie weet wie toegang heeft tot jouw zooi.
Keerzijde: je geeft aan 'klaar te zijn' met 'hobby geklooi'. Reality-check dan - tenzij je volledig bij bent op actuele security situatie en toepassing ervan op jouw apparatuur ben je waarschijnlijk zelf zwakste schakel in je beveiliging. Een en ander uit handen geven aan een partij die je vertrouwt is waarschijnlijk beter dan op jezelf vertrouwen als je er niet continu mee bezig wilt zijn.
Ik las nog dat niet elke fabrikant vlan op dezelfde manier implementeert, wat bij het mixen van merken mogelijk kan gaan irriteren. Nu zit ik waarschijnlijk ook in het kamp van eenmalig goed configureren en dan niet (veel) meer nodig hebben, maar als ik daar nu rekening mee kan houden is dat natuurlijk mooi meegenomen.
Makkelijkste is en blijft beheer van alles uit zelfde omgeving. Dat is niet voor niets wat nagenoeg alle partijen je aanbieden. Is natuurlijk ook mooi vanuit oogpunt van vendor lock-in dus ze hebben er zelf ook alle belang bij
[
Voor 6% gewijzigd door
dion_b op 12-11-2021 16:33
]