Segregando una impresora en la red de mi empresa

Question

Segregando una impresora en la red de mi empresa

#1 de alifen (2 votos)
#2 de Benjamin MALYNOVYTCH (0 votos)
#3 de user1325457 (0 votos)

4

Tengo una red EAP-TLS en casa que he administrado desde hace algún tiempo. Acabo de recibir una nueva impresora Brother HL-5470, por lo que finalmente puedo imprimir cosas en casa, lo que es realmente bueno.

El único problema es que las impresoras son notoriamente buenas en ser enormes agujeros de seguridad.

La impresora está conectada a mi red EAP-TLS, lo que permite a los hosts comunicarse entre sí, siempre que estén en esa red o conectados directamente a Ethernet. (es decir, tanto mi EAP-TLS WiFi como Ethernet comparten la misma LAN) Tiene que estar en la misma LAN que las otras computadoras para que puedan acceder a ella. He logrado que la impresora Brother ingrese a la red EAP-TLS, pero ¿qué pasos puedo tomar ahora para protegerme?

La red tiene cortafuegos para que no haya puertos abiertos que acepten conexiones desde la WAN. Cualquier dispositivo interno podrá "hablar" con cualquier otro dispositivo interno. La impresora también cuenta con Google Cloud Print, aunque todavía no he hecho nada para configurarlo.

¿Qué puedo hacer para fortalecer y bloquear aún más la impresora desde un punto de vista de red? He configurado la contraseña de inicio de sesión para la impresora para que otros usuarios de mi red no puedan cambiar las cosas de forma involuntaria, pero el inicio de sesión es HTTP y no hay forma de desactivarlo. Si alguien ha ingresado a mi red EAP-TLS, generalmente debería estar allí, pero temo mucho el infierno de seguridad que esta impresora podría desatar en mi red. ¿Qué puedo hacer?

firewalls network tls printers wpa2-eap

pregunta Naftuli Kay 11.03.2015 - 06:44

fuente

3 respuestas

Lea otras preguntas en las etiquetas firewalls network tls printers wpa2-eap

Brute forzando LUKS Full Disk Encryption - Time? Problema de dependencia de arquitectura asociado con cargas útiles maliciosas

score 2 · Answer 1

Podría considerar colocar la impresora en una subred dedicada en su propia VLAN. En muchas redes empresariales hay VLAN de 'Dispositivo' dedicadas.

Debido a que todo el tráfico tendrá que atravesar un enrutador (y, por lo tanto, probablemente un firewall) para llegar a la subred en la que se encuentran los usuarios, tiene la opción de poner algunas reglas de firewall para asegurarse:

La impresora no puede realizar conexiones salientes
Los usuarios solo pueden acceder a él a través de los puertos y protocolos que necesitan (TCP / 9100 tal vez) en lugar del administrador HTTP (TCP / 80 probablemente), etc.

Puede hacer excepciones al # 2 para permitir el acceso de administración desde la dirección IP asignada a usted en la subred de Usuarios o desde otra subred de Administración que puede crear solo para su uso.

score 0 · Answer 2

Mientras confíe en las personas / computadoras que acceden a su red, su impresora no es un gran problema.

El agujero de seguridad principal es el acceso solo HTTP, lo que significa que cuando administra la impresora que lo usa, alguien puede "agarrar" sus credenciales. Y entonces ? Esto solo podría lograrse mientras lo gestiona a través de WiFi, no mientras esté conectado a su conmutador Ethernet (a menos que use un concentrador de 20 años), ya que los paquetes se envían directamente de puerto a puerto en un conmutador y no se envían a todos. la red.

Como no se permite la conexión desde el exterior y se supone que su red WiFi es segura (de lo contrario, la impresora no será su principal problema), puede considerar que ya ha hecho lo suficiente para asegurar la impresora, contexto "de inicio.

score 0 · Answer 3

Lógicamente, y estoy especulando aquí, la única forma en que puedo ver el funcionamiento del servicio de impresión en la nube de Google es si la impresora envía paquetes de balizas a Google.

Esto logra dos cosas. Permite que los trabajos de impresión lleguen a la impresora al tener conciencia de su presencia en todo momento. También derrota tu firewall. Al conectarse en una primera ruta de salida, también abre el tráfico para el tráfico entrante.

Nuevamente, no estoy seguro de si este es el caso y si eres realmente paranoico, podrías detectar el tráfico de la impresora para ver si ese es el caso.

Si no tiene ganas de oler el tráfico primero, puede negar el tráfico saliente de la impresora a Internet (quizás necesite la función de control parental en el enrutador). Si eso impide que todas las impresiones de Google funcionen, se reducirá drásticamente cualquier amenaza originada en Internet.

Obviamente parchea la cosa también.