Blogerator.org

× Версия для печати

Это — заключительная статья из всей серии посвященной безопасности сетевых принтеров и МФУ, здесь я постарался кратко сформулировать базовый алгоритм безопасной настройки типичного сетевого принтера. Не забываем, что у каждого из вас — своя конкретная модель принтера, поэтому дополнительно и обязательно читаем родные инструкции по конкретно вашему устройству, у которого как пить дать может быть своя опасная специфика, не учтенная в этой обобщенной инструкции (пример литературы-ссылок для принтеров HP я привел в конце этого поста).

Напомню, что для лучшего понимания материала более удобно начать ознакомление с начала этой дискуссии, которое можно найти здесь.

12 простых правил

Чтобы в многообразии примеров и разнородных советов не потерялась столь драгоценная конкретика, предлагаю в заключение этой статьи свой краткий пошаговый план-алгоритм для проверки и настройки каждого принтера/МФУ, настроив который однажды по данной схеме — больше его не опасаться.

1. Рекомендую как исходную точку всех операций — собственноручную перепрошивку своего принтера штатными средствами, предоставляемыми компанией-производителем принтера/МФУ.

Как правило, после выхода любой новой прошивки очень многие проблемы с безопасностью всё-таки находятся и, как правило, очень неспешно исправляются. Поэтому выполнив такой апгрейд самостоятельно, вы как минимум превентивно закроете какие-то самые известные дыры, тем более что такое обновление штатным образом обычно очень не сложно сделать и это доступно любому среднестатистическому пользователю компьютера. Например, для принтеров от фирмы HP можно предложить практически полностью автоматические в принципе своей работы фирменные утилиты: HP Download Manager или HP Web Jetadmin.

Узнать свой текущий номер прошивки можно опять же через telnet-сеанс, введя там команду текущих настроек «/» (как правило, в первой же ответной строке и будет указана её версия), например, так:

> /
===JetDirect Telnet Configuration===
Firmware Rev. : H.08.32

2. Установка собственного, сложного telnet-пароля к принтеру (как правило, он же общий пароль и для всех других служб).

3. Третий важный шаг — настроить запрет доступа к вашим принтерам на шлюзе из внешних сетей.

И хотя мы живем уже в 21 веке, я все же продолжаю считать, как наши дедушки и бабушки, что принтеры нужны «лишь для того чтобы печатать». Также позволю в этом пункте сделать более общее замечание: необходимо при возможности использовать стандартные и хорошо проверенные схемы обеспечения безопасности по взаимодействию с внешним интернетом, например, такие как DMZ или Reverse Proxy.

4. Следующее — это настройка правил доступа ACL  на самом принтере через его штатное меню (иногда эта его встроенная функция может называться как «брандмайер»). Запретите доступ к принтеру отовсюду, а затем милостиво разрешите доступ лишь к требуемым рабочим станциям + к вашему контроллеру домена в локальной сети.

В начале этой статьи я приводил пример простейшей настройки ACL через telnet , здесь же хочу лишь дополнительно к нему заметить, что допустимое количество подобных правил ограничено десятью. Также нужно учесть, что, иногда в web-панели есть галочки типа «Allow Web Server (HTTP) access or Allow http connections to bypass ACL» — сразу определитесь с подобными неявными исключениями из действующих правил ACL , часто разбросанными по разным меню, учитывая наш следующий пункт.

5. Отключите на принтере/МФУ все дополнительные сервисы, и начните это делать сразу со штатной web-панели управления принтером (приучайте себя пользоваться telnet-сеансом). Внимательно просмотрите и отключите прочие не нужные в принципе сервисы: возможно я патологически старомоден, но я почему-то очень настороженно отношусь к людям, которые используют smtp-релей принтеров для отправки своей email-почты.

В самом крайнем случае, включите доступ к управляющей web-панели исключительно по протоколу SSL/TLS (как правило, в современных принтерах можно настроить принудительный редирект на этот защищённый протокол при любом входе в web-панель), чтобы позволить тешить себя иллюзией «некоей защищенности».

Вот пример подобных настроек:

ews-config: 0
ipp-printing: 0
ftp-printing: 0
ftp-config: 0
lpd-printing:
slp-config: 0
ipx/spx: 0
dlc/llc: 0
snmp-config: 0
dhcp-config: 0
9100-printing:1
ssl-state: 1

Второй шаг — внимательное и вдумчивое отключение всех лишних возможностей непосредственно службы печати.

6. Отключите встроенный Wi-Fi, либо поставьте на него сложный пароль и одновременно понизьте уровень мощности сигнала до минимума (как правило других опций в настройках Wi-Fi в принтере нет), если используете SNMP  — сразу задайте имя сообщества (community name). Как правило, это делается так:

wifi: 0
default-get-cmnty: 0
set-cmnty-name: your_snmp_string

где your_snmp_string  — имя сообщества, и длина этой строки должна быть максимум в 32 знака. Будет вообще здорово, если вы включите при этом работу только по новой версии протокола SNMP v3.

7. Если у вас есть выбор при построении логики работы вашей локальной сети, всегда делайте выбор в пользу печати через выделенные серверы печати, нежели чем разрешая любую прямую печать на рабочие принтеры.

8. У сетевого принтера в идеале должен быть статический IP-адрес из диапазона вашей локальной сети (отключите на нём dhcp ), а прописанный в нем интернет-шлюз должен обязательно соответствовать требованиям пункта 3.

9. После всего проделанного включаем и настраиваем SysLog Server на принтере:

Syslog-svr:  128.255.*.*
Syslog-max: 100
Syslog-priority: 5

Здесь сверху вниз мы задаем контролируемый диапазон, затем указываем максимальное количество записываемых сообщений в минуту (максимальное значение — 1000), и наконец, устанавливаем фильтр для приоритетов всех генерируемых событий (приоритет нарастает от 0 до 7, значение 8 — отключает вообще контроль приоритета фиксируемых событий). Естественно, периодически проверяйте сгенерированный лог на наличие каких-то подозрительных действий и активности.

10. Для безопасности хранимых документов на внутренних винчестерах (в современных МФУ и некоторых сетевых принтерах в качестве источника хранения данных используются винчестеры или карты памяти (Compact Flash Card), либо и то и другое одновременно), отключите протоколы PJM, PML, а также NFS — всё вместе в совокупности это делает невозможным внешний доступ к файловой системе принтера.

Также включите параметры Secure Fast Erase и Secure File Erase Mode — если первое запрещает принтеру хранить уже обработанные (распечатанные) документы в своем внутреннем хранилище, то второй параметр удаляет все эти документы действительно безвозвратно. В более новых МФУ есть отдельная возможность выставлять пароль на любой доступ к файловой системе устройства — обязательно воспользуйтесь этим.

11. Никогда не сохраняйте в принтере или МФУ каких-либо значимых паролей для его интеграции с возможностями вашей локальной сети. Я понимаю, что там и в LDAP можно красиво всё встроить и так далее, но... приведу только один пример: обычный и штатный экспорт в бэкап всех настроек принтера позволяет получить все ваши пароли и даже немного больше, потому как в бэкапах они почти всегда хранятся в виде открытого текста:

Повторюсь ещё раз: относитесь к принтеру, как к максимально простому устройству, предназначенном исключительно для печати, отсекая всё лишнее и непотребное, и тогда в ответ вы не получите от него непредсказуемых космических проблем, когда однажды к вам внезапно вломится полиция, потому что с IP вашего принтера был взломан библиотечный сервер Лувра.

12. И, наконец, понадобится вдумчивое чтение специализированной инструкции по безопасности к вашему конкретному принтеру.

Согласен, не часто в жизни застанешь современного системного администратора поглощенного упоительным чтением инструкций к своему принтеру. Но это всё же нужно делать, так как эта техника стремительно усложняется и её возможности становятся уже не такими очевидными и безобидными, как это было ещё совсем недавно.

~

Не нужно воспринимать описанное в цикле из этих двух статей как абсолютную истину, на каждой конкретной модели принтера что-то из описанного может работать, а что-то — нет. Я не преследовал цель собрать здесь безупречный список актуальных уязвимостей, но описать в иллюстративных целях лишь отдельные интересные и типичные опасности и уязвимости. Кроме того, понятно, что я намеренно оставил за бортом нашего рассмотрения более традиционные вопросы безопасности принтеров, из серии «как расшарить принтер в локальной сети только для меня и моего шефа», — всё это прекрасно изложено в стандартной учебное литературе для начинающих.

Главная цель этой серии заметок — в задаче привлечь внимание администраторов к часто игнорируемой ими проблеме принтеров и МФУ, дать базовые понятия в этом комплексе проблем, ибо как говорил один великий грек:

«Быстрее всего настигает та опасность, которой постоянно пренебрегают. »

~

Оглавление и начало всей этой серии статей — здесь. Дополнительные внешние ссылки по теме: Хак для JetDirect: уязвимы миллионы принтеров + дополнения к ней.

Игорь Савчук ©  Системный Администратор, 2012