14
Drucker isolieren in Windows Domäne
Hallo zusammen,
habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die Firmware der Druckerhersteller. Es gibt immer mehr Zugriffsvarianten - gefühlt sind 2 Dutzend Protokolle möglich, die Zugriff auf die Drucker ermöglichen.
Ich würde gerne die Drucker in ein separates VLAN verbannen und dann nur die zum Drucken erforderlichen Protokolle zulassen. Der Druckerserver soll / muss im Domänennetzwerk bleiben. Eigentlich muss ich doch dazu (abgesehen von der VLAN und Routing-Konfiguration) nur die Anschlüsse am Druckerserver bearbeiten. Gibt es da Probleme die ich übersehe? Es wäre eine kleine Katastrophe, wenn plötzlich "nicht mehr Druckt".
Und als Stimmungsbildfrage
- bin ich der einzige der sowas macht oder ist das vielleicht grundsätzlich zu empfehlen?
Grüße
lcer
habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die Firmware der Druckerhersteller. Es gibt immer mehr Zugriffsvarianten - gefühlt sind 2 Dutzend Protokolle möglich, die Zugriff auf die Drucker ermöglichen.
Ich würde gerne die Drucker in ein separates VLAN verbannen und dann nur die zum Drucken erforderlichen Protokolle zulassen. Der Druckerserver soll / muss im Domänennetzwerk bleiben. Eigentlich muss ich doch dazu (abgesehen von der VLAN und Routing-Konfiguration) nur die Anschlüsse am Druckerserver bearbeiten. Gibt es da Probleme die ich übersehe? Es wäre eine kleine Katastrophe, wenn plötzlich "nicht mehr Druckt".
Und als Stimmungsbildfrage
- bin ich der einzige der sowas macht oder ist das vielleicht grundsätzlich zu empfehlen?Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 361072
Url: https://administrator.de/contentid/361072
Printed on: April 19, 2024 at 03:04 o'clock
14 Comments
Latest comment
Hi.
Vorweg mal die Frage: warum nicht am Drucker alle unnötigen Protokolle abschalten und dann de Einstellungen mit Kennwort sichern?
Was führt denn zu dem Vertrauensverlust und was genau befürchtest Du, was ein VLAN dann verbessern soll?
Vorweg mal die Frage: warum nicht am Drucker alle unnötigen Protokolle abschalten und dann de Einstellungen mit Kennwort sichern?
Was führt denn zu dem Vertrauensverlust und was genau befürchtest Du, was ein VLAN dann verbessern soll?
Hallo!
Wenn man bedenkt, dass du Windows installiert hast, kostet mich dieser Satz ein sanftes Lächeln
Welche Ängste quälen dich, wenn du an deine Drucker denkst?
Wenn wir die Ursache finden, könnten wir evtl. Lösungen finden
Gruß
eisbein
Mittlerweile verliere ich das Vertrauen in die Firmware der Druckerhersteller.
Wenn man bedenkt, dass du Windows installiert hast, kostet mich dieser Satz ein sanftes Lächeln
Welche Ängste quälen dich, wenn du an deine Drucker denkst?
Wenn wir die Ursache finden, könnten wir evtl. Lösungen finden
Gruß
eisbein
Na die Druckerhersteller scheinen mir nicht die Weltmeister im Patchen ihrer Firmware zu sein (gefühlt, und wenn man die IOT-Diskussion verfolgt). Dazu kommt, das die End-of-Life Zyklen nicht mit so richtig zu den real-life Druckerüberlebensraten passen. (bei uns hauptsächlich Laserdrucker von Brother). Für manche Drucker gibt z.B. keine Aktualisiserungen mehr sei Windows 8.1-Zeiten. Das fängt an mit Problemen bei smb v1 und geht über ssl und snmp weiter. Standartauslieferung ist meist: alles aktiviert und ungeschützt.
Die machen halt nicht den Eindruck dass sie sich vornehmlich um die Sicherheit ihrer Drucker kümmern, eher um die Funktionsvielfalt. Bevor ich alles an den Druckern einzeln abschalte, war meine Idee halt, nur zuzulassen was unbedingt erforderlich ist.
Und eine zentrale Verwaltung der Drucker über einen "Sicherheitsrichtlinenmechanismus" gibt es nicht. Maximal ein proprietäres Verwaltungsprogramm, was alle Drucker eines Herstellers auflistet und als Startpunkt für die Konfiguration dient.
Das VLAN ist da nur mittel zum Zweck, ich kann halt an der verbindenden Firewall die Protokolle und Ziele blocken.
Grüße
lcer
Die machen halt nicht den Eindruck dass sie sich vornehmlich um die Sicherheit ihrer Drucker kümmern, eher um die Funktionsvielfalt. Bevor ich alles an den Druckern einzeln abschalte, war meine Idee halt, nur zuzulassen was unbedingt erforderlich ist.
Und eine zentrale Verwaltung der Drucker über einen "Sicherheitsrichtlinenmechanismus" gibt es nicht. Maximal ein proprietäres Verwaltungsprogramm, was alle Drucker eines Herstellers auflistet und als Startpunkt für die Konfiguration dient.
Das VLAN ist da nur mittel zum Zweck, ich kann halt an der verbindenden Firewall die Protokolle und Ziele blocken.
Grüße
lcer
Die Vorgehensweise zur Segmentierung ist ja generell nicht falsch. Du musst in der Tat nur das VLAN erstellen und das Routing einrichten und die IP Adressen an den Druckern und Druckserver entsprechend anpassen.
Das wars.
Entweder schaltetst du dann einfach die Drotokolle ab an den Druckern wie Kollege DWW schon sagt, du kannst aber auch über entsprechende Accesslisten am Router oder L3 Switch diese Protokolle filtern wie auch den externen Zugriff regeln. Das ist mit wenigen ACLs schnell erledigt.
Es gibt nur eine Sache zu beachten:
Die meisten Drucker blasen ihr gesamtes Innenleben mit fast allen am Markt bekannten Hallo hier bin ich Protokollen als Broad- oder Multicasts ins Netz (SSDP, mDNS, Bonjour, etc) um die Einrichtung DAU freundlich zu machen.
In einem segementierten, sprich gerouteten Umfeld werden solche Broad- und Multicasts dann nicht mehr so einfach in andere Segmente geforwardet. Letztlich ja auch das was du erreichen willst.
Soll das dennoch passieren brauchst du etwas mahr Konfig mit UDP Helper Adressen und Multicast Routing oder mDNS Proxys usw.
Zur Connectivity braucht man das aber nicht. Die ist immer gegeben, egal in welchem IP Subnetz der Drucker ist. Solange der Drucker IP seitig erreichbar ist kann man auch immer drucken.
Das wars.
Entweder schaltetst du dann einfach die Drotokolle ab an den Druckern wie Kollege DWW schon sagt, du kannst aber auch über entsprechende Accesslisten am Router oder L3 Switch diese Protokolle filtern wie auch den externen Zugriff regeln. Das ist mit wenigen ACLs schnell erledigt.
Es gibt nur eine Sache zu beachten:
Die meisten Drucker blasen ihr gesamtes Innenleben mit fast allen am Markt bekannten Hallo hier bin ich Protokollen als Broad- oder Multicasts ins Netz (SSDP, mDNS, Bonjour, etc) um die Einrichtung DAU freundlich zu machen.
In einem segementierten, sprich gerouteten Umfeld werden solche Broad- und Multicasts dann nicht mehr so einfach in andere Segmente geforwardet. Letztlich ja auch das was du erreichen willst.
Soll das dennoch passieren brauchst du etwas mahr Konfig mit UDP Helper Adressen und Multicast Routing oder mDNS Proxys usw.
Zur Connectivity braucht man das aber nicht. Die ist immer gegeben, egal in welchem IP Subnetz der Drucker ist. Solange der Drucker IP seitig erreichbar ist kann man auch immer drucken.
Zitat von @eisbein:
Wenn man bedenkt, dass du Windows installiert hast, kostet mich dieser Satz ein sanftes Lächeln
Und ich dachte, über die Windows - Linux Diskussion sind wir hier hinweg.Wenn man bedenkt, dass du Windows installiert hast, kostet mich dieser Satz ein sanftes Lächeln
Sicherlich haben Drucken in reinen Linux-Umgebungen keine Schwachstellen. - oder halt, das war falsch - ich meinte reine Apple-Umgebungen.
Stimmt ja auch nur bedingt, denn auf dem Drucker arbeitet ja immer irgendein SoC mit einem MiniOS (in der Regel was unixoides) was immer Firmware abhängig ist.
Es ist also eigentlich völlig irrelevant welches Endgeräte Betriebssystem dann irgendwelche Druckdaten sendet, denn das Datenprotokoll auf dem Netz ist ja dann identisch.
Es ist also eigentlich völlig irrelevant welches Endgeräte Betriebssystem dann irgendwelche Druckdaten sendet, denn das Datenprotokoll auf dem Netz ist ja dann identisch.
Hallo und eigentlich ist heut erst Montag,
und mir können die ach so sicheren Apple-Umgebungen auch nur ein müdes Lächeln entlocken.
Zu halbwegs sichern Umgebungen fallen mir nur noch OS400 und ZOS ein.
Schöne Dach auch
Solarius
und mir können die ach so sicheren Apple-Umgebungen auch nur ein müdes Lächeln entlocken.
Zu halbwegs sichern Umgebungen fallen mir nur noch OS400 und ZOS ein.
Schöne Dach auch
Solarius
Hi Icer,
wenn das restliche Netz schon durch UTM/SG/etc abgesichert, segmentiert (DMZ) etc ist und sonst alles solide aufgesetzt wurde (Rechtemanagement) macht es sicher Sinn auch die Drucker in ein extra VLAN und alle Dienste zu deaktivieren, die nicht unbedingt nötig sind. Allerdings würde mich die Umgebung interessieren - wie viele Drucker habt ihr?
- Welche Befürchtungen hast du dadurch?
VG
wenn das restliche Netz schon durch UTM/SG/etc abgesichert, segmentiert (DMZ) etc ist und sonst alles solide aufgesetzt wurde (Rechtemanagement) macht es sicher Sinn auch die Drucker in ein extra VLAN und alle Dienste zu deaktivieren, die nicht unbedingt nötig sind. Allerdings würde mich die Umgebung interessieren - wie viele Drucker habt ihr?
- Welche Befürchtungen hast du dadurch?
VG
Zitat von @falscher-sperrstatus:
wenn das restliche Netz schon durch UTM/SG/etc abgesichert, segmentiert (DMZ) etc ist und sonst alles solide aufgesetzt wurde (Rechtemanagement) macht es sicher Sinn auch die Drucker in ein extra VLAN und alle Dienste zu deaktivieren, die nicht unbedingt nötig sind. Allerdings würde mich die Umgebung interessieren - wie viele Drucker habt ihr?
wenn das restliche Netz schon durch UTM/SG/etc abgesichert, segmentiert (DMZ) etc ist und sonst alles solide aufgesetzt wurde (Rechtemanagement) macht es sicher Sinn auch die Drucker in ein extra VLAN und alle Dienste zu deaktivieren, die nicht unbedingt nötig sind. Allerdings würde mich die Umgebung interessieren - wie viele Drucker habt ihr?
alles in allem überschaubar, 8-10 Drucker um die es geht. Allerdings unterschiedliche Modelle (da nicht zeitgleich angeschafft) und damit unterschiedliche Firmware - mit unterschiedlichen Einstellungsmöglichkeiten. Sicher kann man das da auch manuell abschalten, ich bin aber immer von der Herstellerfirmware abhängig.
- Welche Befürchtungen hast du dadurch?
Na eben genau die Abhängigkeit vom Firmware-Support des Druckerherstellers - siehe oben. Die Befürchtung wäre, dass vermittelt durch die Drucker Angriffsmöglichkeiten für Schadsoftware bestehen.
Bei den Druckern habe ich bezüglich der Sicherheit der Firmware die meisten Bedenken das Risiko nicht kalkulieren zu können.
Wie sieht denn das Patchmanagement aus? für das Betriebssystem gibt es aktuelle Patches (auch wenns Microsoft ist) - Das gleiche gilt für Serverhardware, Router & Switches. Die Druckerhersteller scheinen mir hier am sorglosesten zu agieren. Wie war das denn mit der letzten WPA2-KRACK Lücke? Da habe ich wenig aus dem Druckerbereich gehört. (natürlich habe ich keinen Drucker mit aktiviertem WLAN). Das scheint mir doch ein wenig exemplarisch zu sein.
Und dann z.B: die SNMP-Druckerüberwachung: hier und da geht nur snmpv1, v2/3 werden nicht supportet - bei einem Modell kann man nicht einmal den communitystring frei wählen - ok bringt nicht viel, aber das heißt für mich, dass es den Druckerherstellern eben egal ist, was ihre Kisten so treiben.
Gegenfrage - Wenn ihr bei den Druckern nichts befürchtet - warum patcht ihr dann Router, Server & Betriebssystem?
Grüße
lcer
Bitte meine Fragen nicht als Angriff werten (warum eigentlich?)
Stichwort
Grundsätzlich hält es sich aber so, dass das Patchmanagement meist bescheiden ist. Wobei auch die Frage ist - braucht ein Drucker WLAN (etc). Hier wäre ggf. beim Kauf bereits auf ein solides Arbeiten und reduzierte Möglichkeiten, aber gutes Patchmanagement zu achten. Logisch könnte dann der Preisbereich verschoben sein.
Stichwort
Gegenfrage - Wenn ihr bei den Druckern nichts befürchtet - warum patcht ihr dann Router, Server & Betriebssystem?
Grundsätzlich hält es sich aber so, dass das Patchmanagement meist bescheiden ist. Wobei auch die Frage ist - braucht ein Drucker WLAN (etc). Hier wäre ggf. beim Kauf bereits auf ein solides Arbeiten und reduzierte Möglichkeiten, aber gutes Patchmanagement zu achten. Logisch könnte dann der Preisbereich verschoben sein.
tu ich doch gar nicht.
Grundsätzlich hält es sich aber so, dass das Patchmanagement meist bescheiden ist. Wobei auch die Frage ist - braucht ein Drucker WLAN (etc). Hier wäre ggf. beim Kauf bereits auf ein solides Arbeiten und reduzierte Möglichkeiten, aber gutes Patchmanagement zu achten. Logisch könnte dann der Preisbereich verschoben sein.
Wir verwenden Drucker von Brother, ursprünglich mal aus der HL-52XX und MFC-8860 jetzt z.B. L86XX, HL-53XX und L51XX ist denke ich schon nicht der Einsteiger-Consumerbereich. Der Drucker ist also im Durchschnitt nicht teurer als der Switch.
Zitat von @falscher-sperrstatus:
Hier wäre ggf. beim Kauf bereits auf ein solides Arbeiten und reduzierte Möglichkeiten, aber gutes Patchmanagement zu achten. Logisch könnte dann der Preisbereich verschoben sein.
Hier wäre ggf. beim Kauf bereits auf ein solides Arbeiten und reduzierte Möglichkeiten, aber gutes Patchmanagement zu achten. Logisch könnte dann der Preisbereich verschoben sein.
Demnächst muss ich einen Drucker ersetzen - Wohin könnte ich mich (mittel- langfristig) denn hinorientieren?
Grüße
lcer
Moin Moin,
ernsthaft?
Ich arbeite (als ITler) bei einem Druckerhersteller.
Namen kann Ich dir gerne nennen wenn du möchtest, Ich finde unseren Laden aber auch grundsätzlich empfehlenswert, obwohl, oder gerade weil Ich erst 1 Jahr dabei bin.
Aber Ich will nicht Werbung machen.
Mir ist aufgefallen das IHR keine Ahnung von Druckern habt.
Das ist auch nicht schlimm, sonst hätten Leute keinen Job
Aber,
Wenn Ich z. B. keine Ahnung von Laptops habe kaufen sich eigentlich alle Firmen Laptops mit Support.
Sei es Dell, HP oder Lenovo.
GENAU so ist es bei Druckern!
Suche dir ein "großes" Bürofachgeschäft mit Druckern raus das auch Verträge mit VorOrt Support anbietet!
Wir bieten z.B. für geschätzte 80% unserer Modelle jünger als 10 Jahre Patches für das SMB Problem (WannaCry und die "Abschaffung" von SMB1 durch MS) an.
KRACK ist ein ganz anderes Thema, würde Ich auch nicht ansatzweise für Drucker mit WLAN in Betracht ziehen.
Dann haben wir auch Modelle mit WLAN Direkt.
Heißt der Kopierer ist für alle "normalen" MA via LAN verbunden.
Wenn Ich aber einen Kunden/Lieferanten habe der etwas drucken MUSS, kann der sich im Umkreis von ca 15m über WLAN direkt verbinden.
Hat aber keinerlei Verbindung zu dem normalen Netzwerk...
Das er natürlich an alles kommt was im ADF oder auf der Glasplatte liegt ist klar, alles andere ist gesichert.
Und von Tools fange Ich gar nicht an die teilweise extrem "nett" sind im IT Bereich.
Durch Zeitarbeit bin Ich viel Herum gekommen, und vieles wäre in manchen Szenarien extrem nützlich.
Oder wird von Konkurrenten angeboten und auch dort genutzt.
So long
Tom
ernsthaft?
Ich arbeite (als ITler) bei einem Druckerhersteller.
Namen kann Ich dir gerne nennen wenn du möchtest, Ich finde unseren Laden aber auch grundsätzlich empfehlenswert, obwohl, oder gerade weil Ich erst 1 Jahr dabei bin.
Aber Ich will nicht Werbung machen.
Mir ist aufgefallen das IHR keine Ahnung von Druckern habt.
Das ist auch nicht schlimm, sonst hätten Leute keinen Job
Aber,
Wenn Ich z. B. keine Ahnung von Laptops habe kaufen sich eigentlich alle Firmen Laptops mit Support.
Sei es Dell, HP oder Lenovo.
GENAU so ist es bei Druckern!
Suche dir ein "großes" Bürofachgeschäft mit Druckern raus das auch Verträge mit VorOrt Support anbietet!
Wir bieten z.B. für geschätzte 80% unserer Modelle jünger als 10 Jahre Patches für das SMB Problem (WannaCry und die "Abschaffung" von SMB1 durch MS) an.
KRACK ist ein ganz anderes Thema, würde Ich auch nicht ansatzweise für Drucker mit WLAN in Betracht ziehen.
Dann haben wir auch Modelle mit WLAN Direkt.
Heißt der Kopierer ist für alle "normalen" MA via LAN verbunden.
Wenn Ich aber einen Kunden/Lieferanten habe der etwas drucken MUSS, kann der sich im Umkreis von ca 15m über WLAN direkt verbinden.
Hat aber keinerlei Verbindung zu dem normalen Netzwerk...
Das er natürlich an alles kommt was im ADF oder auf der Glasplatte liegt ist klar, alles andere ist gesichert.
Und von Tools fange Ich gar nicht an die teilweise extrem "nett" sind im IT Bereich.
Durch Zeitarbeit bin Ich viel Herum gekommen, und vieles wäre in manchen Szenarien extrem nützlich.
Oder wird von Konkurrenten angeboten und auch dort genutzt.
So long
Tom
Hallo,
also ich mache das normalerweise so:
Ich gebe dem Druckerserver Zugriff auf das Gast- und Mitarbeiter-WLAN Netz. In dieses packe ich auch alle Drucker.
So können Kunden und Mitarbeiter mit ihren Privaten Geräten auch mal etwas drucken, und sich sogar die Treiber vom Druckserver holen (Nach Authentifiezierung am AD).
also ich mache das normalerweise so:
Ich gebe dem Druckerserver Zugriff auf das Gast- und Mitarbeiter-WLAN Netz. In dieses packe ich auch alle Drucker.
So können Kunden und Mitarbeiter mit ihren Privaten Geräten auch mal etwas drucken, und sich sogar die Treiber vom Druckserver holen (Nach Authentifiezierung am AD).
@tom
Danke und Gelöst.
Ich werde also mein Problem dadurch lösen, dass ich alle Drucker Ersetze und Supportverträge mit einem Dienstleister abschließe der mir dann per Vor Ort Service ein Netzwerkkabel sicher einstöpselt und behauptet, die Geräte sind sicher. Ich wusste gar nicht, dass Apple auch In Druckern macht.
Grüße und nichts für ungut
lcer
Danke und Gelöst.
Ich werde also mein Problem dadurch lösen, dass ich alle Drucker Ersetze und Supportverträge mit einem Dienstleister abschließe der mir dann per Vor Ort Service ein Netzwerkkabel sicher einstöpselt und behauptet, die Geräte sind sicher. Ich wusste gar nicht, dass Apple auch In Druckern macht.
Grüße und nichts für ungut
lcer
1
