niedziela, 26 grudnia 2010

Hakowanie drukarek sieciowych


Drukarki sieciowe to w większości organizacji najsłabszy punkt w systemie bezpieczeństwa informatycznego. Dzieje się tak po części z winy producentów oraz po części w wyniku zaniedbań administratorów. Czy Twoje urządzenia sieciowe są odporne na opisane poniżej ataki... ?
Autor: Wojciech Smol

Bezbronne drukarki ?


Temat bezpieczeństwa drukarek był zawsze mocno zaniedbywany, zarówno przez branżową literaturę jak i przez samych administratorów. Mniej więcej rok temu Aaron Weaver przedstawił atak znany jako XSP (Cross Site Printing). Metoda ta pozwalała na tzw. spamowanie drukarek, czyli przesyłanie przez specjalnie spreparowane skrypty umieszczone na złośliwych stronach internetowych dowolnych wydruków do drukarek znajdujących się w sieciach LAN. Temat ten został również poruszony na łamach czasopisma Hakin9 (wydanie 6/2008) przez pana Grzegorza Błońskiego.
XSP nie okazał się jednak poważnym zagrożeniem. Metoda ta nigdy nie była stosowana na masową skalę, pozostała raczej technologiczną ciekawostką. Poza tym jest to jeden z nielicznych przykładów szerokiej dyskusji o bezpieczeństwie sieciowych drukarek...
Cisza towarzysząca drukarkom sieciowym nie oznacza jednak braku zagrożeń. Wręcz przeciwnie, urządzenia te są podatne na szereg ataków, z których najpoważniejsze mogą prowadzić do uszkodzenia urządzeń oraz wycieku poufnych danych. Poniżej przedstawione zostały naważniejsze metody atakowania drukarek (skupiłem się na urządzeniach firmy HP, jednak większość metod ma zastosowanie w przypadku urządzeń innych producentów) oraz podstawowe metody zabezpieczania urządzeń. Opisując każdą z metod zakładam, że intruz uzyskał wcześniej dostęp do sieci LAN, w której pracuje drukarka. W trakcie testów korzystałem z drukarek HP LaserJet 9050dn i HP LaserJet 4050TN oraz serwera wydruku HP JetDirect 170x.

Rekonesans, czyli namierzanie drukarek

Pierwszy etap każdego ataku stanowi rekonesans. Jest to proces mający na celu zidentyfikowanie potencjalnych celów oraz wstępne oszacowanie ich podatności na rozważany typ ataku. W przypadku ataków skierowanych przeciwko drukarkom sieciowym, podstawowym celem tego etapu będzie ustalenie konfiguracji interfejsów sieciowych drukarek oraz numerów otwartych portów TCP.
Jak się okazuje, odkrycie szczegółowej konfiguracji urządzeń pracujących w atakowanej sieci jest bardzo proste. Zakładając, że intruzowi uda się uzyskać dostęp fizyczny do urządzenia, wystarczy... skorzystać z funkcji wydruku strony diagnostycznej. Funkcja ta dostępna w przeważającej większości urządzeń, pozwala na wydrukowania szczegółowej konfiguracji drukarki. Po naciśnięciu odpowiedniej kombinacji przycisków na urządzeniu lub wybraniu odpowiedniej funkcji z menu urządzenia (szczegóły procedury dla każdego z modeli można odnaleźć w instrukcji obsługi lub w Internecie) drukarka wydrukuje: szczegóły dotyczące konfiguracji sieci, adres MAC, statystyki dotyczące pracy urządzenia, wersję wewnętrznego oprogramowania oraz wiele innych szczegółów. Możliwość wykonania wydruku diagnostycznego nie jest zazwyczaj w żaden sposób zabezpieczona.
W przypadku, gdy dostęp fizyczny do urządzenia nie jest możliwy – nic straconego, z pomocą przyjdą nam sami producenci drukarek. Hewlett-Packard udostępnia narzędzie o nazwie Web JetAdmin. Jest to narzędzie ułatwiające administrację drukarkami sieciowymi firmy HP, a w szczególności centralne zarządzanie wieloma urządzeniami. Jak to zwykle bywa z narzędziami dla administratorów, JetAdmin może również znaleźć zastosowanie podczas rekonesansu przed planowanym atakiem. Narzędzie to umożliwia między innymi szybkie wyszukiwanie urządzeń, dzięki wykorzystaniu rozgłoszeń SNMP. Poza tym, jest w stanie generować gotowe raporty na temat odnalezionych urządzeń.
 
W celu zidentyfikowania drukarek sieciowych można również z powodzeniem wykorzystać klasyczne narzędzia, takie jak skaner sieciowy Nmap. Korzystając z odpowiednich opcji skanera sieciowego, jesteśmy w stanie zmniejszyć ryzyko wykrycia przeprowadzanego rekonesansu. Przede wszystkim warto ograniczyć zakres skanowanych portów, tylko do tych, które są typowe dla drukarek sieciowych. Są to następujące numery portów TCP: 21, 23, 80, 280, 515, 631. Pomimo, że na większości drukarek sieciowych otwarty będzie również port 9100/tcp, należy unikać skanowania tego portu podczas wyszukiwania drukarek. Ponieważ jest to port skojarzony z usługą PDL (ang. Page Description Language) datastream, drukarka drukuje praktycznie wszystko co na tym porcie zostanie do niej przesłane i to bez jakiegokolwiek interpretowania treści przekazu. Dlatego też, w wyniku skanowania tego portu, wielce prawdopodobne jest wydrukowanie wielu stron zapisanych bezsensownym tekstem, co z pewnością może zwrócić uwagę użytkowników oraz administratorów urządzenia, a nie o to w trakcie rekonesansu przecież chodzi. Do odnalezienia drukarek znajdujących się w danej sieci (przykład dla podsieci 192.168.10.0/24), nada się więc doskonale uruchomienia skanera Nmap z następującymi parametrami: nmap -A -p 21, 23, 80, 280, 515, 631 192.168.10.*. Przełącznik -A spowoduje włączenie detekcji systemu operacyjnego oraz wersji poszczególnych usług. Przełącznik -p pozwala na zdefiniowanie portów, które mają zostać przeskanowane. Rysunek 2. przedstawia wynik skanowania drukarki HP LaserJet 4050TN. Jak można się przekonać, skaner dość precyzyjnie rozpoznał urządzenie HP oraz dostarczył wielu interesujących informacji, szczególnie o otwartych portach TCP.
Jak widać intruz dysponuje całą gamą mechanizmów pozwalających za zidentyfikowanie drukarek w sieci oraz zebranie podstawowych informacji umożliwiających przeprowadzenie właściwych ataków. Z pewnością nie są to również wszystkie metody zbierania informacji o drukarkach. Można również spróbować wykorzystania narzędzi SNMP, gdyż większość drukarek sieciowych korzysta z możliwości oferowanych przez ten popularny protokół.

Proste ataki, poważne konsekwencje

Gdy uda się już namierzyć potencjalne cele, pozostaje wykonanie właściwego ataku. Domyślnie skonfigurowane urządzenia drukujące, podatne są na całą gamę stosunkowo prostych metod zakłócania ich pracy.
Jak się okazuje, niezabezpieczone drukarki podatne są na bardzo proste ataki polegające na podmianie konfiguracji lub wyczerpywaniu zasobów (DoS). Jednym z najprostszych, będzie przykładowo zmiana adresu IP drukarki za pomocą interfejsu Web lub telnet, która uniemożliwi drukowanie całej grupie roboczej korzystającej z danego urządzenia. Można również rozważyć wykorzystanie wspomnianej wcześniej usługi PDL datastream w celu przesłania do drukarki bardzo dużego zadania i w efekcie całkowite wyczerpanie zasobów drukarki. W tym celu, w systemie operacyjnym *nix wystarczy wydać jedno polecenie: cat /dev/hda|netcat -q 0 192.168.10.10 9100, gdzie 192.168.10.10 to adres IP drukarki. Spowoduje to przesłanie do drukarki zadania wydruku o rozmiarze równym wielkości pierwszego urządzenia IDE obecnego w systemie... łatwo sobie wyobrazić skutki tego polecenia. Z moich doświadczeń wynika również, że wystarczy w danej podsieci uruchomić skaner sieciowy Nessus z domyślnymi ustawienia, aby zawiesić wszystkie drukarki sieciowe pracujące w tejże podsieci.
Większość zewnętrznych serwerów wydruku HP jest również podatna na tzw. atak LAND. Jest to atak typu DoS polegający na wysłaniu podrobionego pakietu TCP SYN (próba nawiązania połączenia), w którym zarówno adres docelowy jak i adres nadawcy jest taki sam (adres IP celu). Jako port źródłowy oraz docelowy należy ustawić któryś z otwartych portów TCP ofiary. Pakiet taki spowoduje ciągłe przesyłanie odpowiedzi na swój własny adres i w konsekwencji brak zdolności do jakiejkolwiek innej komunikacji. Pakiet taki można bardzo prosto spreparować za pomocą darmowego generatora pakietów Hping. Złośliwy pakiet wygeneruje następujące uruchomienie programu: hping -V -c 100 -d 40 -S -p 80 -s 80 -k -a 192.168.10.10 192.168.10.10. Znaczenie kluczowych parametrów jest następujące:
  • -c 100: wygeneruj 100 pakietów,
  • -d 40: rozmiar pola danych,
  • -S: ustawienie flagi SYN,
  • -p: port docelowy,
  • -s: port źródłowy,
  • -k: opcja wyłączająca inkrementację nr portu źródłowego w kolejnych generowanych pakietach,
  • -a: opcja pozwalająca na podrobienie źródłowego adresu IP (w tym wypadku na identyczny z adresem docelowym).
Jeszcze poważniejsze skutki przyniosą ataki polegające na podmianie lub uszkodzeniu wewnętrznego oprogramowania drukarki. Jako, że drukarki sieciowe oraz serwery druku HP, umożliwiają zdalne wgrywanie firmware'u, stanowi to bardzo poważne zagrożenie. Operację taką umożliwia przykładowo wspomniany wcześniej Web JetAdmin oraz HP Download Manager. Korzystając z tych aplikacji, wystarczy wgrać uszkodzony plik wewnętrznego oprogramowania lub przerwać proces wgrywania pliku, by całkowicie sparaliżować pracę urządzenia... w takim wypadku ponowne uruchomienie drukarki już nic nie pomoże. Ponadto okazuje się, że drukarki i serwery wydruku HP korzystające technologi HP JetDirect pozwalają na upgrade firmware'u bez pytania o hasło systemowe! Pytanie dlaczego firma HP nie zabezpieczyła tej krytycznej opcji hasłem, pozostaje jak na razie zagadką.
Analizując proste ataki, warto wspomnieć, że domyślnie sieciowe urządzenia drukujące udostępniają narzędzia administracyjne poprzez protokoły nieszyfrowane, takie jak HTTP oraz Telnet. Z tego wniosek, że nawet jeśli administratorzy ustawili hasła dostępowe, podsłuchanie tych haseł na drodze snifowania uprawnionych sesji administracyjnych będzie więc dość proste.
 

Gotowe narzędzia

Poza wykorzystaniem ogólnych metod i narzędzi, istnieje szereg programów przeznaczonych specjalnie do hakowania drukarek. Przedstawię pokrótce jedno z nich, mianowicie program Hijetter.
Pomimo ubogiego interfejsu (zaledwie kilka przycisków), narzędzie to oferuje bardzo duże możliwości ingerencji w drukarki sieciowe HP.
Hijetter umożliwia między innymi:
  • ustawienie dowolnego napisu na wyświetlaczu LCD urządzenia (od razu nasuwają się na myśl żartobliwe napisy, np. „GAME OVER” lub „WRZUĆ MONETĘ”) lub wyświetlenie komunikatu o błędzie (w tym wypadku drukarka wznowi drukowanie dopiero po naciśnięciu przycisku OK/CONTINUE/ONLINE lub ponownym uruchomieniu),
  • modyfikację wartości zmiennych środowiskowych systemu operacyjnego urządzenia (po wybraniu tej opcji wyświetlona zostanie cała lista dostępnych opcji, wraz z podpowiedziami dotyczącymi dozwolonych zakresów),
  • dostęp do wewnętrznej pamięci urządzenia (możliwe jest nie tylko wyświetlenie struktury katalogów i plików, ale również transfery plików z oraz do urządzenia).
Jak można zauważyć Hijetter dysponuje sporymi możliwościami. Łatwo sobie również wyobrazić złośliwe lub wręcz szkodliwe wykorzystanie dostępnych opcji.
Na pierwszy rzut oka funkcja dostępu do wewnętrznej pamięci urządzenia wygląda dość niewinnie. Należy jednak pamiętać, że w pamięci urządzeń wielofunkcyjnych znajdują się często pliki tymczasowe zawierające obecnie lub niedawno przetwarzane zadania wydruku, faksy, skany dokumentów itp. Nic nie stoi na przeszkodzie, by przeglądać pamięć urządzenia i skopiować z niego interesujące nas pliki. Zazwyczaj są to pliki o nic nie mówiących nazwach, często bez rozszerzeń. Jednakże podejrzenie zawartości pliku w prosty sposób ujawni jego format. Będą to zazwyczaj pliki typu jpg, tif, txt i inne. Z tego prosty wniosek, że w ten sposób może dochodzić do wycieków ważnych i tajnych informacji.
Co najciekawsze i najbardziej zatrważające, na testowanych przeze mnie urządzeniach, Hijetter działał bez żadnego problemu, pomimo ustawionych haseł administracyjnych!
Osoby ambitne, które nie chcą używać gotowych narzędzi, chciałbym uspokoić. Wszystko czego można dokonać z pomocą Hijettera, jest oczywiście również możliwe do zrobienia „ręcznie”. Zasada działania Hijetter'a jest dość prosta, do kontrolowania urządzeń wykorzystywane są komendy PJL (Printer Jog Language). PJL został stworzony jako rozszerzenie PCL (Printer Command Language). Jest to narzędzie umożliwiające kontrolowanie parametrów pracy drukarki, sposobu wykonywania zadań wydruku oraz zarządzanie systemem plików wewnętrznej pamięci.
Jako przykład, chciałbym przedstawić ustawienie napisu na wyświetlaczu LCD drukarki sieciowej przy pomocy wykonania odpowiedniej komendy PJL. Otóż wspomniałem wcześniej, że wszystko co jest przesyłane do drukarki na port 9100 TCP jest przez nią drukowane bez jakiegokolwiek interpretowania zawartości przekazu. Są jednak od tej zasady drobne odstępstwa. Okazuje się bowiem, że w podobny sposób można wysyłać do urządzenia komendy PJL. Przykładowa procedura może wyglądać następująco:
  • nawiązujemy połączenie Telnet łącząc się z portem 9100: telnet 192.168.10.10 9100 (gdzie 192.168.10.10 to adres urządzenie drukującego),
  • wydajemy komendę: @PJL RDYMSG DISPLAY="GAME OVER",
  • ^]quit (gdzie ^] to tzw. „znak ucieczki”).
Po wykonaniu powyższej procedury, na wyświetlaczu drukarki sieciowej o adresie 192.168.10.10 komunikat „READY” zastąpiony zostanie komunikatem „GAME OVER”. Oczywiście można wykorzystać dowolny inny ciąg znaków. W analogiczny sposób można wykonywać na urządzeniu inne polecenia PJL. Więcej informacji na temat PJL można znaleźć w dokumencie „Printer Job Language Technical Reference Manual”, który opublikowała firma HP.

Podsłuchiwanie wydruków

Mówiąc o przechwytywaniu wydruków, mamy zazwyczaj przed oczyma intruza zakradającego się do pomieszczenia z drukarkami sieciowymi, który zabiera bądź powiela poufne dokumenty. Okazuje się jednak, że znacznie bardziej „eleganckiej” kradzieży wydruków można dokonać przy pomocy kilku narzędzi programowych. Wszystkie potrzebne programy, skonfigurowane i gotowe do działania, znajdziemy w świetnej dystrybucji Linux LiveCD – BackTrack. Atak ten wymierzony jest bardziej w samą sieć LAN niż bezpośrednio w drukarki sieciowe. Jednakże producenci drukarek w pewnym sensie sami go ułatwiają, ponieważ zlecenia wydruku są przesyłane do drukarek bez jakiegokolwiek szyfrowania ich zawartości.
Pierwszy etap tego ataku, który warunkuje powodzenie całej akcji, polega na wprowadzeniu zmian w działaniu sieci LAN, które pozwolą intruzowi na odbieranie transmisji, które zleceniodawca wydruku przesyła do drukarki. W tym celu można:
  • zmienić konfigurację przełączników sieciowych, tak by ruch z portu zleceniodawcy wydruku był kopiowany na porcie intruza, w przypadku firmy Cisco opcja ta jest znana pod nazwą Switched Port Analyzer (SPAN), natomiast 3Com używa nazwy Roving Analysis Port (RAP),
  • przeprowadzić atak typu CAM Overflow (przepełnić tablicę CAM przełącznika), który to spowoduje, że przełącznik będzie kopiował ruch na wszystkie interfejsy w ramach tego samego VLAN'u,
  • przeprowadzić atak typu MitM (man in the middle), polegający na zatruwaniu tablicy ARP.
Dwa pierwsze ataki dotyczą konfigurowania oraz atakowania przełączników sieciowych, dlatego wykraczają poza temat artykułu. Z kolei podsłuchiwanie wydruków przy użyciu zatruwania ARP można wykonać następująco (założenia: IP drukarki - 192.168.10.10, IP stacji drukującej – 192.168.10.99):
  • w celu podsłuchania transmisji oraz przeprowadzenia ataku „man in the middle” skorzystamy z programu ettercap: ettercap -T -q -w wydruk.dump -M ARP /192.168.10.10/ /192.168.10.99/; warto zauważyć, że zatruwanie ARP przeprowadzamy tylko dla dwóch adresów które będą uczestniczyć w transmisji, którą chcemy przechwycić, tak by nie generować ogromnej ilości niepotrzebnych pakietów zatruwających pozostałe adresy w sieci,
  • w wyniku działania programu ettercap otrzymaliśmy plik w formacie pcap, plik ten należy otworzyć do dalszej obróbki, najlepiej w graficznym snifferze Wireshark (menu File/Open),
  • po wczytaniu pliku, należy zastosować następujący filtr: tcp.flags.syn == 1 && tcp.dstport == 9100, spowoduje to pozostawienie wyłącznie pakietów tcp z ustawioną flagą SYN oraz docelowym nr portu = 9100,
  • gdy w oknie programu pozostaną już wyłącznie dane związane z zadaniami wydruku, wystarczy kliknąć prawym przyciskiem myszy na pierwszy w kolejności pakiet należący do danego zadania wydruku i wybrać opcję „Follow TCP Stream”,
  • po pojawieniu się okna „Follow TCP stream” należy wybrać z rozwijanej listy kierunek transmisji, tak by wyświetlany był wyłącznie ruch skierowany do drukarki sieciowej, wybrać format danych „Raw” i zapisać plik, np. pod nazwą „wydruk.job”.
Po przeprowadzaniu powyższej procedury plik wydruk.job będzie zawierał przechwycone zadanie wydruku. Zawartość pliku będzie analogiczna do pliku, który zostałby utworzony za pomocą opcji drukowania do pliku.
Wydrukowanie przechwyconego wydruku (na tej samej lub dowolnej innej drukarce sieciowej) jest już banalnie proste, wystarczy użyć polecenia: cat wydruk.job|netcat -q 0 192.168.10.199 9100, gdzie 192.168.10.199 to adres kontrolowanej przez nas drukarki.
Cała procedura wydaje się trochę skomplikowana, jednak mimo wszystko stanowi stosunkowo łatwy sposób na przechwytywanie dowolnych wydruków kierowanych na dowolne drukarki sieciowe w sieci LAN.

Ochrona drukarek sieciowych

Na koniec chciałbym uspokoić wszystkich administratorów opiekujących się drukarkami sieciowymi. Pomimo tego, że urządzenia te są podatne na tak wiele ataków, nie jesteśmy bynajmniej bezbronni. Wręcz przeciwnie, prawidłowe skonfigurowanie i zabezpieczenie urządzenia, jest w stanie zapobiec praktycznie wszystkim przedstawionym zagrożeniom. Pokrótce przedstawię całą gamę mechanizmów ochronnych, jakie można wykorzystać do zabezpieczenia drukarek. Większość lub nawet wszystkie (w zależności od modelu drukarki) z przedstawionych opcji mogą zostać skonfigurowana z poziomu przeglądarki WWW lub programu Web JetAdmin. Ponieważ oba te interfejsy są dość przyjazne, odnalezienie odpowiedniej opcji nie powinno stanowić problemu. Natomiast w przykładach posłużę się komendami wiersza poleceń dostępnego poprzez protokół Telnet, dzięki czemu staną się one niezależne od modelu urządzenia. Nadmienię jeszcze tylko, że wszystkie przedstawione polecenia działają w najnowszych wersjach oprogramowania firmware drukarek. W starszych wersjach oprogramowania, występowały pewne różnice, dokładne informacje na ten temat można znaleźć w dokumencie opublikowanym przez HP: „HP Jetdirect and Embedded Jetdirect Inside Print Servers - Making HP Jetdirect Print Servers Secure on a Network”.
Kroki pozwalające na zabezpieczenie drukarki sieciowej HP są następujące:
  • Aktualizowanie wewnętrznego oprogramowania (firmware'u) do najnowszej dostępnej wersji.
    Jak zapewnia sam producent, firma HP, każda dostępna aktualizacja oprogramowania wewnętrznego drukarki, poprawia stabilność oraz bezpieczeństwo pracy urządzenia. Oprogramowanie HP Download Manager oraz Web Jetadmin pozwalają na proste wykonywanie aktualizacji oraz automatyczne pobieranie najnowszych obrazów bezpośrednio z Internetu. Z pewnością warto regularnie aktualizować oprogramowanie drukarek.
  • Ustawienie hasła dostępowego do usługi Telnet.
    Hasło może mnieć do 16 znaków, rozróżniana jest wielkość liter. Po ustawieniu hasła, połączenie Telnet z drukarką będzie możliwe wyłącznie po podaniu nazwy użytkownika oraz hasła. Ciekawostkę stanowi fakt, że jako nazwę użytkownika należy wtedy wprowadzać jedną z czterech równoważnych możliwości, mianowicie: root, admin, administrator lub supervisor. Ustawienie hasła Telnet umożliwia następujące polecenie: passwd: hasło.
  • Wyłączenie nieużywanych usług.
    Zasada mówiąca o wyłączaniu wszelkich niepotrzebnych usług i protokołów jest również aktualna w przypadku drukarek sieciowych. Dezaktywowanie zbędnych protokołów sieciowych zmniejsza niepotrzebny ruch w sieci LAN oraz znacznie zwiększa bezpieczeństwo urządzenia. W celu wyłączenie poszczególnych protokołów i usług należy wydać następujące polecenia:
    wyłączenie protokołu IPX/SPX: ipx/spx: 0
    wyłączenie protokołu DLC: dlc/llc: 0
    wyłączenie protokołu EtherTalk: ethertalk: 0
    wyłączenie protokołu Internet Printing Protocol: ipp-config: 0
    wyłączenie protokołu FTP: ftp-config: 0
    wyłączenie wewnętrznego serwera web: ews-config: 0
    wyłączenie protokołu Service Location Protocol: tl-slp: 0
    wyłączenie protokołu SNMP: snmp-config: 0
  • Ustawienie haseł protokołu SNMP.
    SNMP umożliwia odczytywanie parametrów urządzeń oraz ich zdalne konfigurowanie (SNMP jest wykorzystywane między innymi przez aplikację Web Jetadmin). Hasła set oraz get community names mogą mieć do 32 znaków. Dobrym pomysłem może być wykorzystanie haseł identycznych z hasłem Telnet. Zapewni to bezpieczeństwo, jednocześnie wystarczy zapamiętanie tylko jednego hasła do urządzenia. Komendy umożliwiające ustawienie haseł są następujące:
    set community name: set-cmnty-name: hasło
    get community name: get-cmnty-name: hasło
  • Zdefiniowanie list dostępowych ACL (Access Control List).
    Listy dostępowe są dość często używane podczas konfigurowania urządzeń sieciowych, takich jak przełączniki, czy też routery. Od pewnego czasu (firmware x.08.03 lub nowszy) listy ACL dostępne są również w drukarkach HP, jednak ich wykorzystywanie jest dość rzadkie.
    Lista ACL określa zbiór lub zakres adresów IP, które zostały dopuszczone do nawiązywania połączeń TCP z drukarką sieciową. Dotyczy to zarówno drukowania jak i dostępu do interfejsów zarządzających, tak więc na liście dozwolonych adresów muszą się znaleźć komputery administracyjne oraz komputery wysyłające do danej drukarki zlecenia wydruków. Możliwe jest zdefiniowanie do 10 pojedynczych adresów lub zakresów adresów. Wyświetlenie bieżącej konfiguracji ACL można uzyskać poprzez wydanie komendy: allow: list. Dopisanie do dozwolonej listy całej podsieci (np. 192.168.10.0/24) umożliwi polecenie: allow: 192.168.10.0 255.255.255.0. Dodanie pojedynczego dozwolonego adresu (np. 192.168.10.10 wygląda natomiast następująco: allow: 192.168.10.10 255.255.255.255.
Zabezpieczona w ten oto sposób drukarka sieciowa, będzie twierdzą (niemal) nie do zdobycia. Powyższa konfiguracja zabezpieczy urządzenia praktycznie przed wszystkimi opisanymi rodzajami ataków. Wyjątek stanowi podsłuchiwanie nieszyfrowanej sesji Telnet oraz podsłuchiwanie wydruków. Jednakże przed tymi zagrożeniami można się zabezpieczyć wyłącznie na drodze odpowiedniego zabezpieczenia całej sieci LAN. Jest to już jednak temat na odrębny artykuł.

Podsumowanie

Zapewnienie bezpieczeństwa systemom informatycznym stało się jednym z najważniejszych problemów współczesnej informatyki. Branżowa prasa oraz portale internetowe pełne są artykułów dotyczących zabezpieczania serwerów, stacji roboczych, urządzeń sieciowych, a nawet osobistych telefonów komórkowych. Okazuje się jednak, że pośród prawdziwej powodzi informacji, bezpieczeństwo drukarek sieciowych traktowane jest po macoszemu. Takie podejście do tematu charakteryzuje zarówno producentów sprzętu jak i administratorów urządzeń. Producenci stosują w oprogramowaniu drukarek sieciowych zabezpieczenia o wiele słabsze niż np. w serwerowych systemach operacyjnych lub urządzeniach sieciowych takich jak przełączniki lub routery. Przykładowo niespotykane jest integrowanie systemu operacyjnego sieciowej drukarki z choćby prostą zaporą ogniową lub sieciowym systemem wykrywania włamań.
Nie bez winy są również administratorzy urządzeń. Skupiając się na zabezpieczaniu serwerów i stacji roboczych, często zupełnie ignorują problem bezpieczeństwa drukarek. Podejście takie wynika prawdopodobnie z braku świadomości zagrożeń oraz nieznajomości narzędzi umożliwiających wprowadzenie skutecznych zabezpieczeń.
Opisane zagadnienia świadczą jednoznacznie, że niezabezpieczone drukarki stwarzają poważne zagrożenie wycieku danych, mogą paść ofiarą szeregu ataków typu DoS lub żartów mających na celu ośmieszenie służb informatycznych pracujących w danej organizacji. Co więcej, wielu specjalistów spodziewa się w najbliższym czasie wzrostu liczby ataków wymierzonych w drukarki, właśnie dlatego, że urządzenia te stanowią w wielu organizacjach najsłabsze ogniowo zabezpieczeń. Z drugiej strony, firma HP stworzyła szereg narzędzi i mechanizmów umożliwiających skuteczną obroną przed większością zagrożeń i praktycznie wyeliminowanie ryzyka skutecznego ataku. Warto więc poświęcić czas na poznanie narzędzi i odpowiedniej zabezpieczenie sieciowych urządzeń drukujących.
  Biblioteka
JetAdmin
Nessus
LAND attack
Hping
HP Jetdirect Download Manager
Hijetter
Printer Job Language Technical Reference Manual
BackTrack
HP Jetdirect and Embedded Jetdirect Inside Print Servers - Making HP Jetdirect Print Servers
Secure on a Network
Hacking Network Printers

0 komentarzy:

Prześlij komentarz