Access Point ist EOL => Risiko und ggf. Neuanschaffung

[Celica]

Hallo,

ich betreibe seit ca. 6 Jahren in unserem EFH zwei Zyxel NWA1123ACv2 Access Points, mit denen ich hoch zufrieden bin.
Leider habe ich kürzlich gesehen, dass diese EOL sind und das letzte verfügbare Firmware Update auch schon ein paar Tage her ist.

Die beiden AP`s sind an einem Zyxel PoE Switch angeschlossen, der wiederum an einem DrayTek Router (ohne WLAN) hängt.
Die AP`s spannen jeweils im EG und OG das WLAN Netz auf und machen einen super Job.

Nun ist mir durchaus bewusst, dass es keine gute Idee ist solche Netzwerkgeräte mit EOL Status zu betreiben, bin mir aber bei dem realen Risiko nicht wirklich sicher.
Wir wohnen recht ländlich und ja, wir wohnen in einem EFH mit Abstand zu den Nachbarn, allerdings empfangen wir auch deren WLAN Signale. Damit wird das umgekehrt wohl auch so sein.
Potentielle Risiken könnten also m.M.n. nach sein, dass sich auf dem Land einer von außen in das WLAN hackt und eine evtl. Sicherheitslücke ausnutzt oder ein Angriff über das Internet, wo ein Angreifer durch die Firewall des Routers kommen müsste um dann inetzt zu kommen.
Ein Gast könnte ein Gefahrenpotential darstellen oder an irgend einer anderen Stelle über eMail, HW oder was auch immer.
Szenarien gibt es natürlich, aber wie wahrscheinlich ist so etwas?
Wie hoch schätzt ihr ein solches Risiko ein?
Ob in der letzten Firmware Sicherheitslücken sind, weiß ich nicht.

Bevor ich die Frage nach möglichen neuen AP`s stelle, möchte ich erst einmal ergründen, ob ich grob fahrlässig handel oder das Risiko vertretbar wäre die beiden AP`s noch ein wenig weiter zu betreiben.

[chrbr]

Ich würde mir da keine übermäßigen Sorgen machen und die Teile einfach weiter betreiben. Bei Geräten dieser Klasse kann man sich auf nichts verlassen. Wer garantiert denn, dass ein Firmware Update nur Löcher schließt?

[Livingston]

Ein neues Betriebssystem draufpacken? OpenWRT scheint aber leider auszufallen, da es Zyxel NWA1123AC ab Version 2 leider nicht schafft. Aber vielleicht gibt es andere.

[Celica]

Ich denke, dass du generell nicht wissen kannst, was Firmen dir unterschieben.
Auch Zyxel wurde schon der Backdoors bezichtigt.

OpenWRT wäre generell eine Möglichkeit für dieses Thema.
Allerdings hatte ich das Vergnügen bereits mit OpenWRT (war nicht das schlechteste!), aber das setzt die Bereitschaft und vor allem Zeit, voraus um sich mit dem Thema ernsthaft zu beschäftigen um keine eigens produzierten Lücken zu produzieren.
Ich würde aus Zeitgründen eher auf eine proprietäre Lösung setzen wollen.

[uname]

Dann müsste ich jetzt mein Smartphone wegwerfen. Und vor 7 Jahren mein Tablet.

[Celica]

Wobei Smartphones ohne Sicherheits Updates und Pflege geht mMn gar nicht.
Das lässt sich nur über Custum ROMs so gut es geht (ich nutze selber CalyxOS) aktuell halten.

Darf ich das mal so zusammen: Das potentielle und reale Risiko ist also überschaubar!

Ich würde die Geräte gerne noch 1 - 2 Jahre weiter nutzen (vielleicht auch noch länger) um dann vielleicht auf aktuelle DrayTek AP`s umzusteigen, da ich einen DrayTek Router nutze, mit dem ich ebenfalls sehr zufrieden bin.
Allerdings möchte ich Wifi 6 noch ein wenig reifen lassen und kein Gerät kaufen, was nahe EOL ist.

Ob das tatsächlich am Ende ein DrayTek würde (sind nicht ganz billig), steht aber noch in den Sternen. Da muss mir der Mehrwert es schon wert sein und den habe ich noch nicht ganz für mich ausgemacht. Vielleicht so ein Ding "ich hätte gerne" .
Könnte auch gut wieder Zyxel werden, da ich ja hoch zufrieden bin.

Anregungen schau ich mir aber gerne an (ohne genaue Spezifikationen hier zu lassen).

[MSfree]

Wir wohnen recht ländlich

Geringe Bevölkerungsdichte mag zwar die Wahrscheinlichkeit eine Einbruchs senken, ein Schutz ist es aber nicht. Einbrecher könnte hier sogar länger unentdeckt bleiben und mehr Zeit für ihren Einbruch haben.

Potentielle Risiken könnten also m.M.n. nach sein, dass sich auf dem Land einer von außen in das WLAN hackt und eine evtl. Sicherheitslücke ausnutzt oder ein Angriff über das Internet, wo ein Angreifer durch die Firewall des Routers kommen müsste um dann inetzt zu kommen.

Du solltest die einschlägigen Technikmedien im Auge behalten um über Sicherheitslücken informiert zu bleiben und ggfls. dann handeln.

Ein Hacker müßte ja erstmal den WPA-Schlüssel knacken, um in dein Netz einzudringen. Solange keine Lücken mit WPA bekannt werden, kann man so einen AP betreiben. Die letzte bekannt gewordene Lücke ist schon ein paar Jahre her, damals waren so gut wie alle WLAN-APs, -Router, Smartphones etc. betroffen und es wurden auch für viel EOL Produkte noch Updates verteilt.

Wer über deinen Router einbricht, braucht sich nicht mehr die (zusätzliche) Mühe machen, dein WLAN zu hacken. Es ist eine gute Idee, die Logfunktionen deines APs zu nutzen. Einige APs können Logs per Syslog-Protokoll auf einen Logserver auszugeben (z.B. ein dauernd laufender Linuxrechner). Ob jemand in dein System eingedrungen ist, kann dann anhand der Logs ermittelt werden.

[Celica]

Wachsamkeit sollte die oberste Regel sein.
Ich gebe aber zu, dass ich mir die Logs nur sporadisch ansehe.
Da wäre Potential

Dann lasse ich die mal weiter laufen und beobachte den Markt.
Wie gesagt: Irgendwann stehen neue an aber das darf gerne noch ein wenig dauern

[rjh]

Warum nicht einfach eine fritzbox mit aktueller Firmware?

[Celica]

Fritz Box, wofür?
Router habe ich (DrayTek) und ich benötige etwas für die Decke im EG + OG.
Da macht eine FB wenig Sinn.
Die ist auch nicht PoE fähig
Nee, Nee, die APs laufen noch ein bisserl und dann irgendwann tausche ich sie aus (sind aktuell im 7. Jahr).
...aber Danke für die Anregung.

[rjh]

Die ist auch nicht PoE fähig

Ok, das ist in der Tat ein Argument.

[Celica]

Uff, habe gerade gesehen was die Handy KI an Text produziert hatte und ich nicht gesehen habe. Sorry dafür
Du konntest es scheinbar trotzdem lesen.

Die APs hängen bei uns zentral auf der jeweiligem Etage an der Decke und decken daher die Etage gut ab, vor allem da, wo du dich häufig auf hältst.
Da würde ich im wahrsten Sinne des Wortes keine FB sehen wollen.

Ich finde, wenn die noch 1 - 2 Jahre zuverlässig laufen würden, dann wäre ich super zufrieden.
Dann ist auch ein technologisches Update (z.b. Wifi 6) angesagt.
Ich sag mal so: Die Miele Waschmaschine (wir haben eine ) hält vielleicht 20 Jahre, aber die Entwicklung geht weiter und dann ist nach 15/16 Jahren doch mal was neues fällig.

[uname]

Hast du schon mal die Reichweite des AP geprüft und das Risiko bewertet, dass wirklich jemand innerhalb der Reichweite nach einer potentiellen Sicherheitslücke sucht?

Bei der Waschmaschine kannst du froh sein, dass sie keine echte Elektronik und kein Internet hat und nicht nach Hause telefonieren muss oder kann. Wahrscheinlich gibt es mittlerweile auch schon "Waschen as a Service" mit monatlichen Lizenzkosten, regelmäßigen Sicherheitsupdates und EOL der Software.

[Celica]

Ich weiß in etwa bei welchem Nachbarn das Signal noch auf dem Grundstück aufschlägt.
Wir haben ein EFH und Grundstück drum herum.
Theoretisch ist das Signal auf öffentlichem Grund (Straße bzw. Gehweg) noch schwach vorhanden.
Da müsste sich aber einer gezielt hin stellen um sich dann gezielt einzuhacken.

Die APs werden Nachts vollständig abgestellt (die Radio Module und nicht der ganze AP).
Somit müsste das Tagsüber und Abends passieren. Das fällt in ländlicher Umgebung auf wenn hier fremde Fahrzeuge/Personen stehen.

Ich halte solche Szenarien für sehr unwahrscheinlich aber natürlich nicht ausgeschlossen.
Allerdings fliegen hier deutlich mehr Signale herum die teils sogar nicht verschlüsselt waren (heute glaube ich tatsächlich nicht mehr).

Risikobewertung ist hier eher recht gering.

Was die Waschmaschine angeht, so läuft unsere Miele tatsächlich bereits seit ca. 15 Jahren (vielleicht auch etwas mehr) und wir sind sehr froh darüber, dass die nicht zu der Generation gehört die telefoniert oder sich per App steuern lässt. Solche Sachen boykottiere ich komplett. Unsere Luft-/Wärmepumpe (Panasonic) lässt sich auch per App steuern. Kurzer Blick seiner Zeit auf das Thema und direkt in die Ecke geschoben.
Ist schon echt widerlich (da spreche ich aber nicht von Panasonic!), was einem die Hersteller und insbesondere auch die Banken mit Ihren tollen Banking Apps aufdrängen wollen.