Segregazione di una stampante nella mia rete aziendale

Naviga le tue risposte
4

Ho una rete EAP-TLS a casa che sono già da un po 'di tempo gestita. Ho appena ricevuto una nuova stampante Brother HL-5470, così posso finalmente stampare le cose a casa, il che è molto bello.

L'unico problema è che le stampanti sono notoriamente brave a essere enormi buchi di sicurezza.

La stampante è collegata alla mia rete EAP-TLS, che consente agli host di parlare tra loro, purché siano in quella rete o collegati direttamente a Ethernet. (cioè: sia il mio EAP-TLS WiFi che ethernet condividono la stessa LAN) Deve essere nella stessa LAN degli altri computer in modo che possano accedervi. Sono riuscito a portare la stampante Brother sulla rete EAP-TLS, ma quali misure posso prendere ora per proteggermi?

La rete è protetta da firewall in modo che non ci siano porte aperte che accettano connessioni dalla WAN. Qualsiasi dispositivo all'interno sarà in grado di "parlare" con qualsiasi altro dispositivo all'interno. La stampante offre anche Google Cloud Print, anche se non ho ancora fatto nulla per configurarlo.

Che cosa posso fare per irrigidire ulteriormente e bloccare la stampante da un punto di vista della rete? Ho configurato la password di accesso per la stampante in modo che gli altri utenti della mia rete non siano in grado di cambiare le cose, volenti o nolenti, ma il login è su HTTP e non c'è modo di disattivarlo. Se qualcuno è entrato nella mia rete EAP-TLS, generalmente dovrebbe essere lì, ma temo strongmente l'inferno di sicurezza che questa stampante potrebbe scatenare nella mia rete. Cosa posso fare?

    
posta Naftuli Kay 11.03.2015 - 06:44
fonte

3 risposte

2

Potresti considerare di mettere la stampante su una sottorete dedicata nella propria VLAN. In molte reti aziendali ci sono VLAN "Device" dedicate.

Poiché tutto il traffico avrà quindi bisogno di attraversare un router (e quindi probabilmente un firewall) per raggiungere la sottorete in cui si trovano gli utenti, hai la possibilità di inserire alcune regole del firewall per assicurarti che:

  1. La stampante non può effettuare alcuna connessione in uscita
  2. Gli utenti possono raggiungerlo solo tramite le porte e i protocolli di cui hanno bisogno (TCP / 9100 forse) piuttosto che l'amministratore HTTP (TCP / 80 probabilmente) ecc.

Puoi fare eccezioni al # 2 per consentire l'accesso alla gestione dall'indirizzo IP assegnato alla subnet Users o da un'altra subnet Management che potresti creare solo per l'uso.

    
risposta data 12.09.2015 - 19:06
fonte
0

Se ti fidi delle persone / computer che accedono alla tua rete, la tua stampante non è un grosso problema.

Il buco principale della sicurezza è l'accesso solo HTTP, il che significa che quando si gestisce la stampante che lo utilizza, qualcuno "può" acquisire le proprie credenziali. E poi ? Questo può essere ottenuto solo mentre lo gestisci attraverso il WiFi, non mentre sei connesso allo switch ethernet (a meno che non usi un hub di 20 anni) poiché i pacchetti vengono inviati direttamente da una porta all'altra su uno switch e non vengono trasmessi in tutto la rete.

Poiché non è consentita alcuna connessione dall'esterno e la tua rete Wi-Fi dovrebbe essere sicura (in caso contrario, la stampante non sarà il tuo problema principale), potresti considerare che hai fatto abbastanza protezione della stampante, in un " home "contesto.

    
risposta data 11.03.2015 - 10:00
fonte
0

Logicamente, e sto speculando qui, l'unico modo in cui posso vedere il servizio di cloud computing di Google funziona, è se la stampante invia pacchetti beacon a Google.

Questo raggiunge due cose. Consente ai lavori di stampa di arrivare alla stampante avendo questa consapevolezza della sua presenza in ogni momento. Inoltre sconfigge il tuo firewall. Collegandosi a un percorso in uscita, apre anche il traffico per il traffico in entrata.

Ancora una volta, non è sicuro che sia così e se sei davvero paranoico, puoi controllare il traffico dalla stampante per vedere se è così.

Se non hai voglia di annusare il traffico per primo, puoi semplicemente negare il traffico in uscita dalla stampante a Internet (forse avrai bisogno della funzionalità di controllo genitori sul router). Se questo impedisce a Google di funzionare, la stampa riduce drasticamente le minacce generate da Internet.

Ovviamente aggiusta anche la cosa.

    
risposta data 13.09.2015 - 13:13
fonte

Leggi altre domande sui tag

Differenza / Relazione tra analisi di perdita di dati e analisi di vulnerabilità? Le opzioni del compilatore sono rilevanti per la sicurezza C #? Se sì, quali opzioni?