Cisco SG300 word EOS, vervangen?

Of je het moet vervangen is een eigen keus. Wij hebben verschillende klanten met SG250/300/500 series en de meesten vervangen we. Meestal ook omdat ze al tegen de 8+ jaar diensttijd aan lopen. Technisch gezien kun je die dingen nog wel 20 jaar laten snorren. Maar hoe groot is het risico dat verouderde firmware op een switch voor een lek in je netwerk zorgt ? De kans dat men gewoon inprikt en alles op 1 vlan zit is een veel groter veiligheids issue. Dus als jij je netwerk goed afgeschermd hebt durf ik het nog wel een paar jaar in. Eventueel de remote access uitzetten en alleen cli nog toestaan.

Cbs250/cbs350 serie van Cisco is de vervanger die je zoekt. Beetje afhankelijk wat je exacte eisen zijn welke je serie je neemt. En gelukkig zonder die cloud 'meuk'.

Als je poe nodig hebt zal ik maar alvast beginnen met bestellen. Vrijwel geen enkel merk in dit segment is poe goed te krijgen.

Ach we hebben nog CX3750’s liggen uit het jaar kruik, ze switchen nog steeds.

Het is idd beter om elke poort die je niet gebruikt uit te zetten of in een quarantaine vlan te pleuren en de ruimte waar ze staan met een sleutel af te sluiten, dan is de kans op misbruik vrijwel nihil.

Uiteraard wel een vervanger plannen, alleen al om de leeftijd, maar vanuit support oogpunt is dat voor een switch niet het meest relevante. Als je firewall of router EOL gaat is dat vervelender.

Ik zou hem zeker vervangen aangezien je geen patches meer krijgt. Je switch is onderdeel van je core network en dient net als je firewall / router prioriteit te hebben m.b.t je patch management,

Als ik zo snel gluur op https://www.opencve.io/cv...8pp_firmware&vendor=cisco
Dan hebben ze in 2023 al 8x een Vulnerabilities (CVE) met het level Critical 9,8.

Patchen dat ding en blijven patchen en anders vervangen.

Damic schreef op vrijdag 14 juli 2023 @ 08:11:
Ja dat vlan gedoe is nogal een probleem bij ons (moet ik eens deftig bekijken). We hebben gelukkig een goede firewall waarbij de meeste poorten toestaan (behalve die we nodig hebben).

@Jan-man wij kopen waar we willen dus waar het goedkoop en er stock is = bestellen (na beraad natuurlijk)

@nelizmastr onze fw/router is een paar jaar geleden nog vervangen en dat was alleen omdat de toenmalige de extra opties niet aankon, voor de rest was ie wel uptodate.

@HKLM_ crap en nu is dan nog maar de vraag of er nog een patch voor uitkomt.

Eigenlijk is het gewoon heel simpel, hardware & software dient vervangen te worden als deze de EOS status bereikt.

Wat denk je dat er gebeurt als je bedrijf gehackt wordt en na onderzoek blijkt dat ze binnen zijn gekomen en via het device wat EOL/EOS is dus niet gepatcht terwijl dit mogelijk wel had gekunt als je je zaakjes op orde had? En dit had kunnen voorkomen door goed patch management en up-to-date hardware / software?

Een eventuele verzekeraar keert dan gewoon niet uit als je pech hebt.

[ Voor 4% gewijzigd door HKLM_ op 14-07-2023 08:18 ]

Het is natuurlijk ook hier weer vooral belangrijk om eerst jullie risico te bepalen. Hoe gebruiken jullie deze switch? Als je geen Vlan's gebruikt en alles open hebt staan maakt het eigenlijk niet zoveel uit en zou ik ze laten staan. Wat is het risico van ongecontroleerde toegang en hoe groot is de kans. Kan iedereen zo naar binnen lopen of zitten de deuren dicht en wordt een vreemde aangesproken en begeleid.
Kortom doe eerst een risico assessment liefst met verschillende disciplines hoeft geen uren te duren maar het maakt het risico helder, budget is dan meestal simpel.

Damic schreef op vrijdag 14 juli 2023 @ 09:59:
We gebruiken momenteel 1 vlan voor het gasten netwerk, maar daar gaat waarschijnlijk nog een 2de bijkomen voor het telefoon verkeer en een derde voor "gewoon" verkeer.

en een vierde voor je back-up verkeer

Damic schreef op vrijdag 14 juli 2023 @ 09:59:
We gebruiken momenteel 1 vlan voor het gasten netwerk, maar daar gaat waarschijnlijk nog een 2de bijkomen voor het telefoon verkeer en een derde voor "gewoon" verkeer.

Als je verder geen mac adres beveiliging en andere poort beveiliging gebruikt dan zou ik me er niet druk over maken. Zeker niet omdat je andere beveiligingsmaatregelen niet eens benoemd. Kortom je hebt ernstiger lekken om je druk over te maken.

Damic schreef op vrijdag 14 juli 2023 @ 12:16:
@HKLM_
@Frogmen mmmmh great.

Heeft er iemand een goede tutorial

Het is geen grap

Damic schreef op vrijdag 14 juli 2023 @ 12:56:
[...]

Meh, back-up verkeer is 's nachts als er normaal niemand is. en duurt ongeveer 4h

Je back-up verkeer volledig isoleren en laten lopen over een apparte Vlan van je kantoor netwerk is niet zo'n slecht idee. Je wilt immers niet dat ze bij je backup kunnen komen mocht het mis gaan

Damic schreef op vrijdag 14 juli 2023 @ 08:11:
Ja dat vlan gedoe is nogal een probleem bij ons (moet ik eens deftig bekijken). We hebben gelukkig een goede firewall waarbij de meeste poorten toestaan (behalve die we nodig hebben).

@Jan-man wij kopen waar we willen dus waar het goedkoop en er stock is = bestellen (na beraad natuurlijk)

@nelizmastr onze fw/router is een paar jaar geleden nog vervangen en dat was alleen omdat de toenmalige de extra opties niet aankon, voor de rest was ie wel uptodate.

@HKLM_ crap en nu is dan nog maar de vraag of er nog een patch voor uitkomt.

We zijn zelfs in buitenland geweest om switches te bestellen maar ook daar zeer slechte te krijgen. Non poe is wel prima te krijgen.