Просмотров: 8302

Принтер, как источник угрозы. Выводы


Это — заключительная статья из всей серии посвященной безопасности сетевых принтеров и МФУ, здесь я постарался кратко сформулировать базовый алгоритм безопасной настройки типичного сетевого принтера. Не забываем, что у каждого из вас — своя конкретная модель принтера, поэтому дополнительно и обязательно читаем родные инструкции по конкретно вашему устройству, у которого как пить дать может быть своя опасная специфика, не учтенная в этой обобщенной инструкции (пример литературы-ссылок для принтеров HP я привел в конце этого поста).

Напомню, что для лучшего понимания материала более удобно начать ознакомление с начала этой дискуссии, которое можно найти здесь.

HP printer принтер угрозы взлом компрометация уязвимость перепрошивка PJL HP Canon Samsung МФУ MFU атака сетевые принтеры безопасность защита угрозы секьюрити

12 простых правил

Чтобы в многообразии примеров и разнородных советов не потерялась столь драгоценная конкретика, предлагаю в заключение этой статьи свой краткий пошаговый план-алгоритм для проверки и настройки каждого принтера/МФУ, настроив который однажды по данной схеме — больше его не опасаться.

1. Рекомендую как исходную точку всех операций — собственноручную перепрошивку своего принтера штатными средствами, предоставляемыми компанией-производителем принтера/МФУ.

Как правило, после выхода любой новой прошивки очень многие проблемы с безопасностью всё-таки находятся и, как правило, очень неспешно исправляются. Поэтому выполнив такой апгрейд самостоятельно, вы как минимум превентивно закроете какие-то самые известные дыры, тем более что такое обновление штатным образом обычно очень не сложно сделать и это доступно любому среднестатистическому пользователю компьютера. Например, для принтеров от фирмы HP можно предложить практически полностью автоматические в принципе своей работы фирменные утилиты: HP Download Manager или HP Web Jetadmin.

Узнать свой текущий номер прошивки можно опять же через telnet-сеанс, введя там команду текущих настроек «/» (как правило, в первой же ответной строке и будет указана её версия), например, так:

> /
===JetDirect Telnet Configuration===
Firmware Rev. : H.08.32

2. Установка собственного, сложного telnet-пароля к принтеру (как правило, он же общий пароль и для всех других служб).

3. Третий важный шаг — настроить запрет доступа к вашим принтерам на шлюзе из внешних сетей.

Обращаю внимание, доступ нужно запретить как на вход пакетов на адрес вашего сетевого принтера (-ров), так и на отправку пакетов с его адреса вовне. Никакого интернета для принтеров не должно быть в принципе, хватит проблем с людьми, сидящими в рабочее время в интернете.

И хотя мы живем уже в 21 веке, я все же продолжаю считать, как наши дедушки и бабушки, что принтеры нужны «лишь для того чтобы печатать». Также позволю в этом пункте сделать более общее замечание: необходимо при возможности использовать стандартные и хорошо проверенные схемы обеспечения безопасности по взаимодействию с внешним интернетом, например, такие как DMZ или Reverse Proxy.

4. Следующее — это настройка правил доступа ACL  на самом принтере через его штатное меню (иногда эта его встроенная функция может называться как «брандмайер»). Запретите доступ к принтеру отовсюду, а затем милостиво разрешите доступ лишь к требуемым рабочим станциям + к вашему контроллеру домена в локальной сети.

В начале этой статьи я приводил пример простейшей настройки ACL через telnet , здесь же хочу лишь дополнительно к нему заметить, что допустимое количество подобных правил ограничено десятью. Также нужно учесть, что, иногда в web-панели есть галочки типа «Allow Web Server (HTTP) access or Allow http connections to bypass ACL» — сразу определитесь с подобными неявными исключениями из действующих правил ACL , часто разбросанными по разным меню, учитывая наш следующий пункт.

5. Отключите на принтере/МФУ все дополнительные сервисы, и начните это делать сразу со штатной web-панели управления принтером (приучайте себя пользоваться telnet-сеансом). Внимательно просмотрите и отключите прочие не нужные в принципе сервисы: возможно я патологически старомоден, но я почему-то очень настороженно отношусь к людям, которые используют smtp-релей принтеров для отправки своей email-почты.

В самом крайнем случае, включите доступ к управляющей web-панели исключительно по протоколу SSL/TLS (как правило, в современных принтерах можно настроить принудительный редирект на этот защищённый протокол при любом входе в web-панель), чтобы позволить тешить себя иллюзией «некоей защищенности».

Вот пример подобных настроек:

ews-config: 0
ipp-printing: 0
ftp-printing: 0
ftp-config: 0
lpd-printing:
slp-config: 0
ipx/spx: 0
dlc/llc: 0
snmp-config: 0
dhcp-config: 0
9100-printing:1
ssl-state: 1

Второй шаг — внимательное и вдумчивое отключение всех лишних возможностей непосредственно службы печати.

В некоторых принтерах есть архиполезная функция «Disable all features from features list except for 9100 Printing» — это именно то, чему посвящен весь этот пункт. На месте производителей я бы предусмотрел на панели таких устройств большую красную кнопку именно с такой функциональностью для предельно простого отключения всех не нужных (и попутно опасных) сервисов сетевого принтера/МФУ.

6. Отключите встроенный Wi-Fi, либо поставьте на него сложный пароль и одновременно понизьте уровень мощности сигнала до минимума (как правило других опций в настройках Wi-Fi в принтере нет), если используете SNMP  — сразу задайте имя сообщества (community name). Как правило, это делается так:

wifi: 0
default-get-cmnty: 0
set-cmnty-name: your_snmp_string

где your_snmp_string  — имя сообщества, и длина этой строки должна быть максимум в 32 знака. Будет вообще здорово, если вы включите при этом работу только по новой версии протокола SNMP v3.

7. Если у вас есть выбор при построении логики работы вашей локальной сети, всегда делайте выбор в пользу печати через выделенные серверы печати, нежели чем разрешая любую прямую печать на рабочие принтеры.

8. У сетевого принтера в идеале должен быть статический IP-адрес из диапазона вашей локальной сети (отключите на нём dhcp ), а прописанный в нем интернет-шлюз должен обязательно соответствовать требованиям пункта 3.

9. После всего проделанного включаем и настраиваем SysLog Server на принтере:

Syslog-svr:  128.255.*.*
Syslog-max: 100
Syslog-priority: 5

Здесь сверху вниз мы задаем контролируемый диапазон, затем указываем максимальное количество записываемых сообщений в минуту (максимальное значение — 1000), и наконец, устанавливаем фильтр для приоритетов всех генерируемых событий (приоритет нарастает от 0 до 7, значение 8 — отключает вообще контроль приоритета фиксируемых событий). Естественно, периодически проверяйте сгенерированный лог на наличие каких-то подозрительных действий и активности.

10. Для безопасности хранимых документов на внутренних винчестерах (в современных МФУ и некоторых сетевых принтерах в качестве источника хранения данных используются винчестеры или карты памяти (Compact Flash Card), либо и то и другое одновременно), отключите протоколы PJM, PML, а также NFS — всё вместе в совокупности это делает невозможным внешний доступ к файловой системе принтера.

Также включите параметры Secure Fast Erase и Secure File Erase Mode — если первое запрещает принтеру хранить уже обработанные (распечатанные) документы в своем внутреннем хранилище, то второй параметр удаляет все эти документы действительно безвозвратно. В более новых МФУ есть отдельная возможность выставлять пароль на любой доступ к файловой системе устройства — обязательно воспользуйтесь этим.

11. Никогда не сохраняйте в принтере или МФУ каких-либо значимых паролей для его интеграции с возможностями вашей локальной сети. Я понимаю, что там и в LDAP можно красиво всё встроить и так далее, но... приведу только один пример: обычный и штатный экспорт в бэкап всех настроек принтера позволяет получить все ваши пароли и даже немного больше, потому как в бэкапах они почти всегда хранятся в виде открытого текста:

HP printer принтер угрозы взлом компрометация уязвимость перепрошивка PJL HP Canon Samsung МФУ MFU атака сетевые принтеры безопасность защита угрозы секьюрити

Повторюсь ещё раз: относитесь к принтеру, как к максимально простому устройству, предназначенном исключительно для печати, отсекая всё лишнее и непотребное, и тогда в ответ вы не получите от него непредсказуемых космических проблем, когда однажды к вам внезапно вломится полиция, потому что с IP вашего принтера был взломан библиотечный сервер Лувра.

12. И, наконец, понадобится вдумчивое чтение специализированной инструкции по безопасности к вашему конкретному принтеру.

Например, для HP в качестве хорошей отправной точки можно посоветовать 3 PDF-руководства: это HP Jetdirect Security Guidelines, HP Security Solutions FAQ, а также не менее полезное Nist MFP Security Checklist. На худой конец есть очень краткая и поверхностная шпора по быстрой настройке свежекупленного сетевого принтера. В этих документах содержатся ссылки на многие важные детали и подробности, которые были вынуждено опущены в этой ознакомительной серии статей. Для более серьёзного изучения основ рекомендую проштудировать возможности интерпретатора PCL/PJL (мануал можно скачать здесь: часть 1, часть 2)

Согласен, не часто в жизни застанешь современного системного администратора поглощенного упоительным чтением инструкций к своему принтеру. Но это всё же нужно делать, так как эта техника стремительно усложняется и её возможности становятся уже не такими очевидными и безобидными, как это было ещё совсем недавно.

~

Не нужно воспринимать описанное в цикле из этих двух статей как абсолютную истину, на каждой конкретной модели принтера что-то из описанного может работать, а что-то — нет. Я не преследовал цель собрать здесь безупречный список актуальных уязвимостей, но описать в иллюстративных целях лишь отдельные интересные и типичные опасности и уязвимости. Кроме того, понятно, что я намеренно оставил за бортом нашего рассмотрения более традиционные вопросы безопасности принтеров, из серии «как расшарить принтер в локальной сети только для меня и моего шефа», — всё это прекрасно изложено в стандартной учебное литературе для начинающих.

Главная цель этой серии заметок — в задаче привлечь внимание администраторов к часто игнорируемой ими проблеме принтеров и МФУ, дать базовые понятия в этом комплексе проблем, ибо как говорил один великий грек:

«Быстрее всего настигает та опасность, которой постоянно пренебрегают. »

~

Оглавление и начало всей этой серии статей — здесь. Дополнительные внешние ссылки по теме: Хак для JetDirect: уязвимы миллионы принтеров + дополнения к ней.

Игорь Савчук ©  Системный Администратор, 2012
twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , , , , , , , ,
Эта запись опубликована: Четверг, 2 августа 2012 в рубрике Обзоры.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз