Мережевий принтер експлуатується (читається: зламано) для друку антисемітських документів. Як виправити?

Я не впевнений, чи потрібно це запитувати тут або знову на security.stackexchange.com ...

Протягом великодніх вихідних Великодня у невеликому нашому офісі відбулось порушення мережі, оскільки старий принтер HP використовувався для друку деяких дуже образливих антисемітських документів. Це , схоже, сталося з рядом університетів в західних культурах в усьому світі .

У будь-якому випадку ... Я читав, що це насправді досить базовий експлуатаційний захист із більшістю мережевих принтерів. Щось стосується TCP-порту 9100 та доступу до Інтернету. Мені не вдалося знайти багато інформації про особливості того, як всі, здається, занадто стурбовані тим, чому.

Налаштування мережі досить просте для офісу, на який постраждали. Він має 4 ПК, 2 мережеві принтери, 8-портовий комутатор та житловий модем / маршрутизатор, що працює підключення ADSL2 + (зі статичним Інтернет-IP та гарною конфігурацією ванілі).
Чи є слабкість у модемі / маршрутизаторі чи принтері?

Я ніколи не розглядав принтер як ризик для безпеки, який потрібно налаштувати, тому, прагнучи захистити мережу цього офісу, я хотів би зрозуміти, як використовуються принтери. Як я можу зупинити або заблокувати експлуатацію? І перевірити чи перевірити на експлуатацію (чи правильний блок експлуатації) в інших наших значно більших офісах?

Ця атака непропорційно вплинула на університети, оскільки з історичних причин багато університетів використовують загальнодоступні IPv4-адреси для більшості або всієї своєї мережі, а з академічних причин мають мало або взагалі не фіксують (або виходять!) Фільтрації. Таким чином, до багатьох індивідуальних пристроїв в університетській мережі можна дістатися безпосередньо з будь-якої точки Інтернету.

У вашому конкретному випадку, невеликий офіс із ADSL-з'єднанням та домашнім / SOHO-маршрутизатором та статичною IP-адресою, швидше за все, хтось в офісі явно пересилає TCP-порт 9100 з Інтернету на принтер. (За замовчуванням, оскільки використовується NAT, вхідний трафік нікуди не йде, якщо не передбачено певного положення, щоб його кудись направити.) Щоб переадресувати це, ви просто видалите правило переадресації порту.

У великих офісах із належним вхідним брандмауером, як правило, не буде дозволених правил цього порту на кордоні, за винятком можливо VPN-з'єднань, якщо вам потрібні люди, які зможуть друкувати через вашу VPN.

Щоб убезпечити принтер / сервер друку, скористайтеся вбудованим списком дозволів / списком контролю доступу, щоб вказати діапазон (и) IP-адрес, дозволених для друку на принтері, і відхилити всі інші IP-адреси. (Зв'язаний документ також містить інші рекомендації щодо захисту ваших принтерів / серверів друку, які також слід оцінити.)

Щоб продовжити відповідь Майкла Гемптона. Так, це, ймовірно, правило переадресації порту. Але зазвичай це не те, що хтось навмисно викривав би. Однак це може бути додано пристроями UPnP. Швидше за все, включивши UPnP на маршрутизаторі житлового рівня.

У університетах, ймовірно, свої принтери зламали з інших причин, оскільки маршрутизатори корпоративного класу зазвичай не підтримують UPnP, і якщо вони це зробили, він буде відключений за замовчуванням. У таких ситуаціях університети є великими, мають багато публічних ІР та дуже складні мережі, а іноді і багато ІТ-кафедр із численними підшкільними школами та кампусами. І не забудьте студентських хакерів, які люблять кидатись.

Але повернусь до моєї теорії UPnP, яка може відповідати вашому випадку.

Навряд чи хтось навмисно відкриє порт 9100 на вашому маршрутизаторі, щоб ваш принтер був відкритий для світу. Не неможливо, але дещо малоймовірно.

Ось деяка інформація про найбільш ймовірного винуватця UPnP:

Недоліки UPnP піддають десятки мільйонів мережевих пристроїв віддаленим атакам, вважають дослідники

Ось як у нас зламалися тисячі IP-камер, незважаючи на те, що вони стояли позаду маршрутизаторів NAT.

Більше тут: Використання протоколу Universal Plug-n-Play, незахищених камер безпеки та мережевих принтерів Цим статтям є кілька років, але вони все ще актуальні. UPnP просто пробитий і навряд чи виправлений. Вимкніть це.

Остання частина першого абзацу другої статті справді резюмує його:

Нарешті, ваш мережевий принтер просто чекає, щоб його зламати.

І нарешті, дотримуйтесь порад Майкла Хамптона та додайте список контролю доступу, якщо це можливо.