Это — заключительная статья из всей серии посвященной безопасности сетевых принтеров и МФУ, здесь я постарался кратко сформулировать базовый алгоритм безопасной настройки типичного сетевого принтера. Не забываем, что у каждого из вас — своя конкретная модель принтера, поэтому дополнительно и обязательно читаем родные инструкции по конкретно вашему устройству, у которого как пить дать может быть своя опасная специфика, не учтенная в этой обобщенной инструкции (пример литературы-ссылок для принтеров HP я привел в конце этого поста).
Напомню, что для лучшего понимания материала более удобно начать ознакомление с начала этой дискуссии, которое можно найти здесь.
Чтобы в многообразии примеров и разнородных советов не потерялась столь драгоценная конкретика, предлагаю в заключение этой статьи свой краткий пошаговый план-алгоритм для проверки и настройки каждого принтера/МФУ, настроив который однажды по данной схеме — больше его не опасаться.
1. Рекомендую как исходную точку всех операций — собственноручную перепрошивку своего принтера штатными средствами, предоставляемыми компанией-производителем принтера/МФУ.
Как правило, после выхода любой новой прошивки очень многие проблемы с безопасностью всё-таки находятся и, как правило, очень неспешно исправляются. Поэтому выполнив такой апгрейд самостоятельно, вы как минимум превентивно закроете какие-то самые известные дыры, тем более что такое обновление штатным образом обычно очень не сложно сделать и это доступно любому среднестатистическому пользователю компьютера. Например, для принтеров от фирмы HP можно предложить практически полностью автоматические в принципе своей работы фирменные утилиты: HP Download Manager или HP Web Jetadmin.
Узнать свой текущий номер прошивки можно опять же через telnet-сеанс, введя там команду текущих настроек «/» (как правило, в первой же ответной строке и будет указана её версия), например, так:
> / ===JetDirect Telnet Configuration=== Firmware Rev. : H.08.32
2. Установка собственного, сложного telnet-пароля к принтеру (как правило, он же общий пароль и для всех других служб).
3. Третий важный шаг — настроить запрет доступа к вашим принтерам на шлюзе из внешних сетей.
И хотя мы живем уже в 21 веке, я все же продолжаю считать, как наши дедушки и бабушки, что принтеры нужны «лишь для того чтобы печатать». Также позволю в этом пункте сделать более общее замечание: необходимо при возможности использовать стандартные и хорошо проверенные схемы обеспечения безопасности по взаимодействию с внешним интернетом, например, такие как DMZ или Reverse Proxy.
4. Следующее — это настройка правил доступа ACL
на самом принтере через его штатное меню (иногда эта его встроенная функция может называться как «брандмайер»). Запретите доступ к принтеру отовсюду, а затем милостиво разрешите доступ лишь к требуемым рабочим станциям + к вашему контроллеру домена в локальной сети.
В начале этой статьи я приводил пример простейшей настройки ACL
через telnet
, здесь же хочу лишь дополнительно к нему заметить, что допустимое количество подобных правил ограничено десятью. Также нужно учесть, что, иногда в web-панели есть галочки типа «Allow Web Server (HTTP) access or Allow http connections to bypass ACL» — сразу определитесь с подобными неявными исключениями из действующих правил ACL
, часто разбросанными по разным меню, учитывая наш следующий пункт.
5. Отключите на принтере/МФУ все дополнительные сервисы, и начните это делать сразу со штатной web-панели управления принтером (приучайте себя пользоваться telnet-сеансом). Внимательно просмотрите и отключите прочие не нужные в принципе сервисы: возможно я патологически старомоден, но я почему-то очень настороженно отношусь к людям, которые используют smtp-релей принтеров для отправки своей email-почты.
В самом крайнем случае, включите доступ к управляющей web-панели исключительно по протоколу SSL/TLS (как правило, в современных принтерах можно настроить принудительный редирект на этот защищённый протокол при любом входе в web-панель), чтобы позволить тешить себя иллюзией «некоей защищенности».
Вот пример подобных настроек:
ews-config: 0 ipp-printing: 0 ftp-printing: 0 ftp-config: 0 lpd-printing: slp-config: 0 ipx/spx: 0 dlc/llc: 0 snmp-config: 0 dhcp-config: 0 9100-printing:1 ssl-state: 1
Второй шаг — внимательное и вдумчивое отключение всех лишних возможностей непосредственно службы печати.
6. Отключите встроенный Wi-Fi, либо поставьте на него сложный пароль и одновременно понизьте уровень мощности сигнала до минимума (как правило других опций в настройках Wi-Fi в принтере нет), если используете SNMP
— сразу задайте имя сообщества (community name). Как правило, это делается так:
wifi: 0 default-get-cmnty: 0 set-cmnty-name: your_snmp_string
где your_snmp_string
— имя сообщества, и длина этой строки должна быть максимум в 32 знака. Будет вообще здорово, если вы включите при этом работу только по новой версии протокола SNMP v3.
7. Если у вас есть выбор при построении логики работы вашей локальной сети, всегда делайте выбор в пользу печати через выделенные серверы печати, нежели чем разрешая любую прямую печать на рабочие принтеры.
8. У сетевого принтера в идеале должен быть статический IP-адрес из диапазона вашей локальной сети (отключите на нём dhcp
), а прописанный в нем интернет-шлюз должен обязательно соответствовать требованиям пункта 3.
9. После всего проделанного включаем и настраиваем SysLog Server
на принтере:
Syslog-svr: 128.255.*.* Syslog-max: 100 Syslog-priority: 5
Здесь сверху вниз мы задаем контролируемый диапазон, затем указываем максимальное количество записываемых сообщений в минуту (максимальное значение — 1000), и наконец, устанавливаем фильтр для приоритетов всех генерируемых событий (приоритет нарастает от 0 до 7, значение 8 — отключает вообще контроль приоритета фиксируемых событий). Естественно, периодически проверяйте сгенерированный лог на наличие каких-то подозрительных действий и активности.
10. Для безопасности хранимых документов на внутренних винчестерах (в современных МФУ и некоторых сетевых принтерах в качестве источника хранения данных используются винчестеры или карты памяти (Compact Flash Card), либо и то и другое одновременно), отключите протоколы PJM, PML, а также NFS — всё вместе в совокупности это делает невозможным внешний доступ к файловой системе принтера.
Также включите параметры Secure Fast Erase и Secure File Erase Mode — если первое запрещает принтеру хранить уже обработанные (распечатанные) документы в своем внутреннем хранилище, то второй параметр удаляет все эти документы действительно безвозвратно. В более новых МФУ есть отдельная возможность выставлять пароль на любой доступ к файловой системе устройства — обязательно воспользуйтесь этим.
11. Никогда не сохраняйте в принтере или МФУ каких-либо значимых паролей для его интеграции с возможностями вашей локальной сети. Я понимаю, что там и в LDAP можно красиво всё встроить и так далее, но... приведу только один пример: обычный и штатный экспорт в бэкап всех настроек принтера позволяет получить все ваши пароли и даже немного больше, потому как в бэкапах они почти всегда хранятся в виде открытого текста:
Повторюсь ещё раз: относитесь к принтеру, как к максимально простому устройству, предназначенном исключительно для печати, отсекая всё лишнее и непотребное, и тогда в ответ вы не получите от него непредсказуемых космических проблем, когда однажды к вам внезапно вломится полиция, потому что с IP вашего принтера был взломан библиотечный сервер Лувра.
12. И, наконец, понадобится вдумчивое чтение специализированной инструкции по безопасности к вашему конкретному принтеру.
Согласен, не часто в жизни застанешь современного системного администратора поглощенного упоительным чтением инструкций к своему принтеру. Но это всё же нужно делать, так как эта техника стремительно усложняется и её возможности становятся уже не такими очевидными и безобидными, как это было ещё совсем недавно.
~
Не нужно воспринимать описанное в цикле из этих двух статей как абсолютную истину, на каждой конкретной модели принтера что-то из описанного может работать, а что-то — нет. Я не преследовал цель собрать здесь безупречный список актуальных уязвимостей, но описать в иллюстративных целях лишь отдельные интересные и типичные опасности и уязвимости. Кроме того, понятно, что я намеренно оставил за бортом нашего рассмотрения более традиционные вопросы безопасности принтеров, из серии «как расшарить принтер в локальной сети только для меня и моего шефа», — всё это прекрасно изложено в стандартной учебное литературе для начинающих.
Главная цель этой серии заметок — в задаче привлечь внимание администраторов к часто игнорируемой ими проблеме принтеров и МФУ, дать базовые понятия в этом комплексе проблем, ибо как говорил один великий грек:
«Быстрее всего настигает та опасность, которой постоянно пренебрегают. »
~
Оглавление и начало всей этой серии статей — здесь. Дополнительные внешние ссылки по теме: Хак для JetDirect: уязвимы миллионы принтеров + дополнения к ней.
2 комментария
[url=http://theprettyguineapig.com/amoxicillin/]Amoxicillin Without Prescription[/url] Amoxicillin http://theprettyguineapig.com/amoxicillin/
http://theprettyguineapig.com/amoxicillin/ - 18 Amoxicillin Online http://theprettyguineapig.com/amoxicillin/