Forum: PC Hard- und Software NSA-freier Switch gesucht


von Klaus (Gast)


Lesenswert?

Ich brauche einen Switch für normale Homeanwendung, 8port 100Mbit würde 
reichen. Eigentlich kein großes Ding, da fallen sofot ein paar Geräte 
von tplink, dlink, netgear aus der Suchmaschine.

Andererseits sind einige der Hersteller dadurch aufgefallen, dass sie 
gewollt oder ungewollt Hintertüren in ihre Hardware verbaut haben. Von 
welchem Hersteller kann man denn noch Hardware kaufen?

Es geht ja nicht nur darum, eventuell ausgespäht zu werden. Viel größer 
sehe ich die Gefahr, dass eingebaute Hintertüren früher oder später auch 
ein Einfallstor für Schadsoftware sind.

von Peter II (Gast)


Lesenswert?

Klaus schrieb:
> Von
> welchem Hersteller kann man denn noch Hardware kaufen?

kaufe einfach einen Switch ohne "smart" oder managanent, die sind so 
dumm das sie keine Hintertüren haben sollten.

von Lukas T. (tapy)


Lesenswert?

Bau selber oder lebe mit den Problemen.
Da du nur ein Switch brauchst, das im Normalfall ja nicht direkt am 
Internet hängt, solltest du dir darum keine Gedanken machen - macht nur 
paranoid.

von Der Andere (Gast)


Lesenswert?

Klaus schrieb:
> Andererseits sind einige der Hersteller dadurch aufgefallen, dass sie
> gewollt oder ungewollt Hintertüren in ihre Hardware verbaut haben. Von
> welchem Hersteller kann man denn noch Hardware kaufen?

Vorzugsweise russische und chinesische. Die haben garantiert keine NSA 
Hintertüren.

von Switchator (Gast)


Lesenswert?

Bei einem Switch ist ein recht komplizierter IC drin.

Man kann die kaufen, z.B. von Microchip.
Aber letztlich hast du keinen Einblick, was der wirklich tut. Ob die 
Chips von Microchip (früher Micrel) oder anderen Herstellern NSA-frei 
sind, kann dir keiner sagen.

Wenn du sicher sein willst, bau dir das selber.
Du brauchst:
- ein FPGA
- eine Handvoll PHY
- Ethernet-Trafos
Dann implementierst du den MAC in das FPGA und die Switchlogik schreibst 
du dir selber.

Einfacher ist ein Hub, das ist für einen Hobyisten durchaus zu schaffen.

Du siehst - einfach ist das nicht.

Ich persönlich glaube nicht, dass die NSA die Hintertürchen ausgerechnet 
in Switches für Privatanwender (!!!) *1) einbauen wird. Da gibts bessere 
Angriffspunkte. Das Betriebssystem, UEFI, Das Management-Interface von 
Intel, Firmware in diverser Peripherie und derartige Dinge.

*1) bei großen Switches ist das anders. Die haben da Potential. Siehe 
auch:
https://www.heise.de/security/meldung/Tausende-Cisco-Switches-offen-im-Internet-Angriffe-laufen-bereits-3882810.html

von (prx) A. K. (prx)


Lesenswert?

Der Andere schrieb:
> Vorzugsweise russische und chinesische. Die haben garantiert keine NSA
> Hintertüren.

Wenn amerikanische Produkte russische Hintertüren haben, wieso sollten 
russische dann nicht amerikanische haben? Und da sowieso allesamt in 
China hergestellt werden, egal was draufsteht...

von Sebastian H. (sebh)


Lesenswert?

Jemand Erfahrungen mit der Firma Lancom? Als deutscher Hersteller 
bestünde da ja noch die Möglichkeit das sie keine Nass-Hintertütchen 
haben. Und den BND halte ich für nicht in der Lage ausgereifte 
Hintertürchen zu produzieren, die würden wohl schnell auffallen.

von Der Andere (Gast)


Lesenswert?

Sebastian H. schrieb:
> Und den BND halte ich für nicht in der Lage ausgereifte
> Hintertürchen zu produzieren

Nö, die lassen das den NSA machen. Sind gute Kumpels.

von F. F. (foldi)


Lesenswert?

Windows, comsorrogate.exe. Suche die mal, wirst du aber nicht finden, 
weil sie nur zur Laufzeit im Taskmanager aufgetaucht ist. Vielleicht ist 
sie da nun auch wieder raus.
Da nützt dir keine Hardware etwas, wenn das Betriebssystem alles durch 
lässt.

von Switchator (Gast)


Lesenswert?

F. F. schrieb:
> Windows, comsorrogate.exe. Suche die mal, wirst du aber nicht finden,
> weil sie nur zur Laufzeit im Taskmanager aufgetaucht ist. Vielleicht ist
> sie da nun auch wieder raus.
> Da nützt dir keine Hardware etwas, wenn das Betriebssystem alles durch
> lässt.

Nein?
https://blogs.msdn.microsoft.com/oldnewthing/20090212-00/?p=19173

Du glaubst WIRKLICH, ein NSA-Spionage-Prozess würde im TASKMANAGER 
auftauchen? Muhahaha, zu geil.

Nein. Das "normale" Windows wird schon sauber sein. Sonst würde so eine 
Spionagesoftware schnell auffallen.
Wenn du die NSA im Rechner hast, dann über ein Hintertürchen, oder über 
ein manipuliertes Update.
Die Spyware hast dann nur du drauf, sonst keiner. Wenn man eine solche 
Spyware an Milliarden Installationen ausliefert, fällt sie irgenwann 
auf.

Ich würde mir mehr Sorgen um Microsoft und die Werbeindustrie und die 
ganz "legalen" und offenen Spionierereien machen. Das reicht durchaus 
auch schon aus...

von Klaus (Gast)


Lesenswert?

Also nochmal, es geht mir nicht vorrangig um NSA und deren Spionage und 
wie wahrscheinlich diese für Privatanwender ist.

Es geht mir darum, dass Hintertüren auch immer von dritten Stellen 
ausgenutzt werden können und ich Hersteller, die durch solche 
Hintertüren bereits aufgefallen sind vermeiden möchte.

von Peter II (Gast)


Lesenswert?

Klaus schrieb:
> Es geht mir darum, dass Hintertüren auch immer von dritten Stellen
> ausgenutzt werden können und ich Hersteller, die durch solche
> Hintertüren bereits aufgefallen sind vermeiden möchte.

dann kaufe eine möglichst dummen Switch - egal von welchen Hersteller.

von F. F. (foldi)


Lesenswert?

Switchator schrieb:
> Nein?
> https://blogs.msdn.microsoft.com/oldnewthing/20090212-00/?p=19173
>
> Du glaubst WIRKLICH, ein NSA-Spionage-Prozess würde im TASKMANAGER
> auftauchen?

Ich weiß was die Com Sorrogate Dienste machen.
Und ich glaube das nicht, ich habe es selbst gesehen.
Alle Beiträge, die ich zu dieser Zeit gepostet hatte, wurden überall 
(!) gelöscht.
Danach kamen alle Pakete aus China deutlich verspätet an und alle (!) 
mit dem gleichen durchsichtigen Paketband zugeklebt.
Einmal war es sogar so offensichtlich neu verpackt und ohne den Hinweis, 
dass es zollamtlich geöffnet wurde. Und das alles nur, weil ich auf der 
NSA Webseite nach Snowden geguckt hatte, als diese Affäre anfing.

von (prx) A. K. (prx)


Lesenswert?

F. F. schrieb:
> Und das alles nur, weil ich auf der
> NSA Webseite nach Snowden geguckt hatte, als diese Affäre anfing.

Da müssen sie aber mächtig viel Arbeit mit Paketen haben. Denn nach dem 
hast du nicht alleine gesucht.

Aber jetzt wo du es sagst... In letzter Zeit kam öfter was 1-2 Tage 
später als früher. Da muss ich mir wohl Sorgen machen.

: Bearbeitet durch User
von Sicher ist sicher (Gast)


Lesenswert?

Klaus schrieb:

> Es geht ja nicht nur darum, eventuell ausgespäht zu werden. Viel größer
> sehe ich die Gefahr, dass eingebaute Hintertüren früher oder später auch
> ein Einfallstor für Schadsoftware sind.

Trag nen USB-stick o.ä. in deiner Wohnung hin und her. Oder nimm einen 
Roboter der das herumtragen für Dich übernimmt.

von (prx) A. K. (prx)


Lesenswert?

Sicher ist sicher schrieb:
> Trag nen USB-stick o.ä. in deiner Wohnung hin und her.

Einer effektivsten Wege, ein geschlossenes Netz zu infiltrieren.

von Georg (Gast)


Lesenswert?

Peter II schrieb:
> dann kaufe eine möglichst dummen Switch - egal von welchen Hersteller

Meine vielleicht naive Ansicht: ein Switch leitet Ethernet-Pakete 
weiter, aber er hat nichts damit zu tun, ob und wie sicher diese Daten 
geschützt bzw. verschlüsselt sind. Also ändert sich an der Sicherheit 
des Netzwerks nichts, egal ob im Switch irgendwelche Hintertürchen 
eingebaut sind. Man könnte die höchstens benutzen, um den Datenverkehr 
mitzuhören, aber dazu braucht man nicht die NSA, sondern nur ein 
RJ45-Kabel.

Vielleicht liege ich ja daneben, dann bitte eine Beschreibung der 
möglichen Bedrohung.

Georg

von Jack (Gast)


Lesenswert?

Klaus schrieb:
> Es geht mir darum, dass Hintertüren auch immer von dritten Stellen
> ausgenutzt werden können und ich Hersteller, die durch solche
> Hintertüren bereits aufgefallen sind vermeiden möchte.

Noch nie aufgefallen? Ok, dann nimm einen 8-Port Switch von Kebidumei(R) 
https://de.aliexpress.com/item/8-Port-Network-Gigabit-Switch-10-100-1000Mbps-Fast-Ethernet-Switcher-Lan-Hub-Full-Half/32819568029.html

Kann fast nichts, kostet fast nichts.

Chinesischer Hersteller, Fantasie-Handelsname, wahrscheinlich 
taiwanischer Chipset (Ralink), Versand auf Wunsch über Singapur Post - 
was kann da schon schief gehen?

von (prx) A. K. (prx)


Lesenswert?

Georg schrieb:
> Meine vielleicht naive Ansicht: ein Switch leitet Ethernet-Pakete
> weiter, aber er hat nichts damit zu tun, ob und wie sicher diese Daten
> geschützt bzw. verschlüsselt sind.

Das ist bei einem Layer 3 Switch schon mal etwas anders, denn das ist 
auf logischer Ebene eine Kombination aus einem L2 Switch und einem 
Router. Das betrifft beispielsweise die oben verlinkten Ciscos, aber L3 
Switches gibts auch bezahlbar.

Bei reinen L2 Switches lässt sich eine implementierte Trennung von VLANs 
per Konfiguration aufheben. Das wäre dann ein Teil eines Angriffs: Ein 
gehackter PC im eigentlich unsicheren Bereich, oder ein Gerät des 
Angreifers in einem ziemlich offenen WLAN für Gäste, und ein gehackter 
Switch, der die Trennung zum sicheren Bereich aufhebt.

Gemanagte Switches auch der einfachen Klasse bieten oft Port-Mirroring. 
Du wolltest schon immer mal sehen, was der gesicherte Login-Server für 
Traffic hat? Spiegele den Traffic auf den Port eines Gerätes unter 
deiner Kontrolle (evtl. reicht schon ein WLAN-AP) und auf gehts.

: Bearbeitet durch User
von Klaus (Gast)


Lesenswert?

Peter II schrieb:
> dann kaufe eine möglichst dummen Switch - egal von welchen Hersteller.

Also Cisco, Linksys und Netgear sind raus, die haben zwar auch dumme 
Switches, aber Hersteller die nachgewiesenermaßen ihre Hardware mit 
Hintertüren versehen - auch wenn das hauptsächlich die Router betraf - 
muss man ja nicht unterstützen.

Wird dann wohl doch ein Chinese werden...

von Peter II (Gast)


Lesenswert?

Klaus schrieb:
> Also Cisco, Linksys und Netgear sind raus, die haben zwar auch dumme
> Switches, aber Hersteller die nachgewiesenermaßen ihre Hardware mit
> Hintertüren versehen - auch wenn das hauptsächlich die Router betraf -
> muss man ja nicht unterstützen.

ob du die Hersteller unterstützt oder nicht, wird den auch ziemlich egal 
sein. Du begrenzt damit aber deine Produktauswahl.

Es ist also mehr die Frage wer den größere Schaden davon hat.

von Sicher ist sicher (Gast)


Lesenswert?

A. K. schrieb:
> Sicher ist sicher schrieb:
>> Trag nen USB-stick o.ä. in deiner Wohnung hin und her.
>
> Einer effektivsten Wege, ein geschlossenes Netz zu infiltrieren.

Nur wenn man einen präperierten USB-Stick verwendet, den man auf dem 
Parkplatz gefunden hat. Und sonderlich effektiv ist das auch nicht, man 
muss erst mal
a) einen dummen Mitarbeiter finden der fremde Sachen einfach so in 
seinen rechner steckt.
b) einen Rechner finden dessen USB-Anschlüße nicht gegen den Gebrauch 
von nichtzertifzierten USB-sticks gesichert ist.

von (prx) A. K. (prx)


Lesenswert?

Peter II schrieb:
> ob du die Hersteller unterstützt oder nicht, wird den auch ziemlich egal
> sein. Du begrenzt damit aber deine Produktauswahl.

Je moderner die Technik, desto kritischer ist sie hinsichtlich Exploits. 
Wenn man Geräte physisch trennt, dann muss der Angreifer schon Strippen 
ziehen um was zu erreichen - oder er verteilt fiese USB-Sticks an die 
Mitarbeiter.

Heute freilich, mit Server-Virtualisierung, VLANs oder gar Software 
Defined Networking, verkommen einst grosse Serverräume zu Besenkammern 
und Vernetzungaufwand sinkt. Die Gegenrechnung ist, dass man die 
früheren Luftstrecken durch Software überbrücken kann, wenn man passende 
Exploits findet.

von Peter II (Gast)


Lesenswert?

A. K. schrieb:
> Je moderner die Technik, desto kritischer ist sie hinsichtlich Exploits

ja, deswegen einen dummen Switch - egal von welchen Hersteller.

von Peter II (Gast)


Lesenswert?

Nachtrag:

Schau lieber auf dem Stromverbrauch und Eventuell lauten Lüfter, das ist 
wichtiger als mögliche Hintertüren.

von (prx) A. K. (prx)


Lesenswert?

Sicher ist sicher schrieb:
> Nur wenn man einen präperierten USB-Stick verwendet, den man auf dem
> Parkplatz gefunden hat. Und sonderlich effektiv ist das auch nicht,

Schon von Stuxnet und der Zerstörung iranischer Urananreicherungsanlagen 
gehört? Das war zwar summarum sehr aufwendig, aber man kann es dennoch 
als überaus effektiv bezeichnen.

von jz23 (Gast)


Lesenswert?

8Port 100Mbit für den Heimbereich. Und da fängst du von Lüfter an?

Aber die Geräuschkulisse kann wirklich ein Punkt sein: Mein Switch 
(Netgear) fiept furchtbar. Im Flur allerdings egal.

von F. F. (foldi)


Lesenswert?

A. K. schrieb:
> Aber jetzt wo du es sagst... In letzter Zeit kam öfter was 1-2 Tage
> später als früher. Da muss ich mir wohl Sorgen machen.

Lach drüber, aber es war schon sehr seltsam.

von Peter II (Gast)


Lesenswert?

jz23 schrieb:
> 8Port 100Mbit für den Heimbereich. Und da fängst du von Lüfter an?

das ist das Minimum:

> 8port 100Mbit würde reichen.

bei Gigabit gab es schon Modelle mit Lüfter.

von (prx) A. K. (prx)


Lesenswert?

Peter II schrieb:
> bei Gigabit gab es schon Modelle mit Lüfter.

Logisch. Und je älter die Technik, desto lauter die Lüfter. Bei 10G 
Switches können dann 25-30W pro Port durch die Lüfter rauschen.

von Klaus (Gast)


Lesenswert?

Peter II schrieb:
> ob du die Hersteller unterstützt oder nicht, wird den auch ziemlich egal
> sein. Du begrenzt damit aber deine Produktauswahl.

Ja kann sein. Ist sicher auch Nestle oder Müller-Milch egal, wenn ich 
deren Produkte nicht kaufe. Und weil jeder so argumentiert, können die 
Konzerne weitermachen als wäre nichts geschehen.

Obwohl, so ganz egal scheint es nicht zu sein: 
https://www.srf.ch/news/international/die-us-it-branche-leidet-noch-immer-unter-dem-snowden-effekt

von Sicher ist sicher (Gast)


Lesenswert?

A. K. schrieb:
> Sicher ist sicher schrieb:
>> Nur wenn man einen präperierten USB-Stick verwendet, den man auf dem
>> Parkplatz gefunden hat. Und sonderlich effektiv ist das auch nicht,
>
> Schon von Stuxnet und der Zerstörung iranischer Urananreicherungsanlagen
> gehört? Das war zwar summarum sehr aufwendig, aber man kann es dennoch
> als überaus effektiv bezeichnen.

Effektiv heisst mit wenig viel erreichen, die Urananreicherungsanlagen 
wurden auch nicht zerstört sondern nur verlangsamt und wenn man die 
Siemens-Software ersetzt ist der Angriff auch für die Katz.

Abgesehen davon das für Stuxnet kein USB-Stick verwendet wurde und damit 
die Argumentation das erst die Verwendung von USB-Sticks effiziente 
Angriffe ermöglichen schon im Ansatz widerlegt ist: 
https://www.computerwoche.de/a/computerwurm-stuxnet-wurde-nicht-ueber-usb-stick-verbreitet,3071344

Beitrag #5205233 wurde vom Autor gelöscht.
von (prx) A. K. (prx)


Lesenswert?


von Sicher ist sicher (Gast)


Lesenswert?

A. K. schrieb:
> Sicher ist sicher schrieb:
>>
> 
https://www.computerwoche.de/a/computerwurm-stuxnet-wurde-nicht-ueber-usb-stick-verbreitet,3071344
>
> Thx.

Da noch ein Link wie man sich vor Bad-USB schützt
https://www.computerwoche.de/a/so-nutzen-sie-usb-weiter-sicher,3067048

Zitat:

•Strikte Mitarbeitervereinbarungen, was die Verwendung von 
USB-Endgeräten angeht, unterstützt von
•dem Einsatz von ebenso strengen wie technisch ausgereiften Produkten 
zur Gerätekontrolle mittels Whitelists und
•im Zweifelsfall der ausschließliche Einsatz von zertifizierten 
Crypto-Sticks mit ebenso zertifizierter Firmware.

Zitat - ende

Also nix, was man als Privatanwender auch nicht realisieren kann um 
USB-Sticks zum abhörsicheren Datentransfer einzusetzen.

Getreu dem Motto "wer sich übers Netzwerk nicht abhören lassen möchte, 
verwendet keine Netzwerke" Das ist IMHO zwar paranoid, aber wenigstens 
konsequent. Wenn also der TO pauschal Angst vor lauschenden Hubs hat, 
dann soll er nicht nach dem  Hub suchen der am wenigsten unsicher gilt, 
sondern das Übel an der Wurzel packen und keine geheimen Daten auf 
Netzwerken mit Fernzugriff speichern.

von (prx) A. K. (prx)


Lesenswert?

Sicher ist sicher schrieb:
> Also nix, was man als Privatanwender auch nicht realisieren kann um
> USB-Sticks zum abhörsicheren Datentransfer einzusetzen.

Keine Frage. Aber wenn ich lese, was die dafür berühmt gewordenen 
britischen Behörden alles an geheimen Datenträgern unter die Leute 
brachten... Soll heissen: Wenn alle sich minuziös an Regeln halten, ist 
alles gut. Wenn. Es gibt nicht nur Exploits in der Technik. Auch der 
Mensch selbst ist ein wandelnder Exploit. Ohne jede Aussicht auf einen 
Patch.

von Entspannungswandler (Gast)


Lesenswert?

Klaus schrieb:
> Also Cisco, Linksys und Netgear sind raus, die haben zwar auch dumme
> Switches, aber Hersteller die nachgewiesenermaßen ihre Hardware mit
> Hintertüren versehen - auch wenn das hauptsächlich die Router betraf -
> muss man ja nicht unterstützen.
>
> Wird dann wohl doch ein Chinese werden...

Dann hört dich halt ein Chinese ab...

von ●DesIntegrator ●. (Firma: FULL PALATINSK) (desinfector) Benutzerseite


Lesenswert?

Der TO nutzt natürlich auch kein Handy, richtig?

von Klaus (Gast)


Lesenswert?

● J-A V. schrieb:
> Der TO nutzt natürlich auch kein Handy, richtig?

Ach ja, das liebe ich an diesem Forum: Sinnfreie Beiträge ohne die 
Fragestellung gelesen zu haben.

von ●DesIntegrator ●. (Firma: FULL PALATINSK) (desinfector) Benutzerseite


Lesenswert?

tja wenn Du den Sinn meiner Antwort nicht erkennst - traurig traurig :)

von Michi (Gast)


Lesenswert?


Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.