เครื่องพิมพ์เครือข่ายใช้ประโยชน์ (อ่านแล้ว: ถูกแฮ็ก) เพื่อพิมพ์เอกสาร antisemitic จะแก้ไขอย่างไร

ฉันไม่แน่ใจว่าควรถามคำถามนี้ที่นี่หรือมากกว่าบนsecurity.stackexchange.com ...

ในช่วงวันหยุดยาวของเทศกาลอีสเตอร์สำนักงานขนาดเล็กของเรามีเครือข่ายที่เครื่องพิมพ์ HP เก่าถูกใช้เพื่อพิมพ์เอกสาร antisemitic ที่น่ารังเกียจ มันดูเหมือนว่าจะเกิดขึ้นกับจำนวนของมหาวิทยาลัยในวัฒนธรรมตะวันตกทั่วทุกมุมโลก

ต่อไป ... ฉันอ่านว่าจริง ๆ แล้วมันเป็นช่องโหว่ด้านความปลอดภัยขั้นพื้นฐานสำหรับเครื่องพิมพ์เครือข่ายส่วนใหญ่ สิ่งที่ต้องทำกับพอร์ต TCP 9100 และการเข้าถึงอินเทอร์เน็ต ฉันไม่สามารถค้นหาข้อมูลจำนวนมากเกี่ยวกับวิธีเฉพาะเพราะทุกคนดูเหมือนจะกังวลกับสาเหตุมากเกินไป

การตั้งค่าเครือข่ายค่อนข้างง่ายสำหรับสำนักงานที่ได้รับผลกระทบ มันมีพีซี 4 เครื่องเครื่องพิมพ์ในเครือข่าย 2 เครื่องสวิตช์ 8 พอร์ตและโมเด็ม / เราเตอร์ที่ทำงานโดยใช้การเชื่อมต่อ ADSL2 + (ด้วย IP อินเทอร์เน็ตแบบคงที่และการกำหนดค่าวานิลลาที่สวยงาม)
เป็นจุดอ่อนในโมเด็ม / เราเตอร์หรือเครื่องพิมพ์หรือไม่?

ฉันไม่เคยถือว่าเครื่องพิมพ์เป็นความเสี่ยงด้านความปลอดภัยที่ต้องกำหนดค่าดังนั้นในความพยายามที่จะปกป้องเครือข่ายของสำนักงานนี้ฉันต้องการทำความเข้าใจว่าเครื่องพิมพ์มีการใช้ประโยชน์อย่างไร ฉันจะหยุดหรือปิดกั้นการหาประโยชน์ได้อย่างไร และตรวจสอบหรือทดสอบการหาประโยชน์ (หรือแก้ไขบล็อคการหาประโยชน์) ในสำนักงานใหญ่อื่น ๆ ของเราหรือไม่?

การโจมตีครั้งนี้ส่งผลกระทบต่อมหาวิทยาลัยอย่างไม่เป็นสัดส่วนเพราะด้วยเหตุผลทางประวัติศาสตร์มหาวิทยาลัยหลายแห่งใช้ที่อยู่ IPv4 สาธารณะสำหรับเครือข่ายส่วนใหญ่หรือทั้งหมดของตนและด้วยเหตุผลทางวิชาการมีการกรองน้อยหรือไม่มีเลย (หรือออก! ดังนั้นอุปกรณ์แต่ละชิ้นในเครือข่ายมหาวิทยาลัยจึงสามารถเข้าถึงได้โดยตรงจากทุกที่บนอินเทอร์เน็ต

ในกรณีเฉพาะของคุณสำนักงานขนาดเล็กที่มีการเชื่อมต่อ ADSL และเราเตอร์ที่บ้าน / SOHO และที่อยู่ IP แบบคงที่มักเป็นไปได้ว่ามีใครบางคนในสำนักงานส่งต่อพอร์ต TCP 9100 จากอินเทอร์เน็ตไปยังเครื่องพิมพ์อย่างชัดเจน (โดยค่าเริ่มต้นเนื่องจากมีการใช้ NAT แล้วทราฟฟิกขาเข้าจะไม่มีที่ไหนเลยเว้นแต่มีบทบัญญัติบางประการที่จะนำมันไปยังที่อื่น) เมื่อต้องการแก้ไขสิ่งนี้คุณเพียงแค่ลบกฎการส่งต่อพอร์ต

ในสำนักงานขนาดใหญ่ที่มีการใช้ไฟร์วอลล์อย่างเหมาะสมคุณจะไม่มีกฎอนุญาตสำหรับพอร์ตนี้ที่ชายแดนยกเว้นการเชื่อมต่อ VPN หากคุณต้องการให้ผู้คนสามารถพิมพ์ผ่าน VPN ได้

เพื่อรักษาความปลอดภัยของเครื่องพิมพ์ / เซิร์ฟเวอร์ของเครื่องพิมพ์ให้ใช้ลิสต์รายการ / การควบคุมการเข้าถึงเพื่อระบุช่วงของที่อยู่ IP ที่อนุญาตให้พิมพ์ไปยังเครื่องพิมพ์และปฏิเสธที่อยู่ IP อื่นทั้งหมด (เอกสารที่เชื่อมโยงยังมีคำแนะนำอื่น ๆ สำหรับการรักษาความปลอดภัยเครื่องพิมพ์ / เซิร์ฟเวอร์การพิมพ์ของคุณซึ่งคุณควรประเมินด้วย)

เพื่อขยายคำตอบของ Michael Hampton ใช่เป็นไปได้ว่ากฎการส่งต่อพอร์ต แต่โดยปกติแล้วนั่นไม่ใช่สิ่งที่ใครบางคนจะเปิดเผยอย่างจงใจ อย่างไรก็ตามมันสามารถเพิ่มได้โดยอุปกรณ์ UPnP เป็นไปได้มากที่สุดเมื่อเปิดใช้งาน UPnP ในเราเตอร์ระดับที่พักอาศัยของคุณ

มหาวิทยาลัยอาจมีเครื่องพิมพ์ที่แฮ็กด้วยเหตุผลอื่น ๆ เนื่องจากเราเตอร์ระดับองค์กรมักจะไม่สนับสนุน UPnP และหากพวกเขาทำมันถูกปิดใช้งานโดยค่าเริ่มต้น ในสถานการณ์เหล่านั้นมหาวิทยาลัยมีขนาดใหญ่และมีเครือข่ายไอพีสาธารณะและเครือข่ายที่ซับซ้อนมากและบางครั้งก็มีแผนกไอทีหลายแผนกที่มีโรงเรียนย่อยและวิทยาเขตจำนวนมาก และอย่าลืมแฮกเกอร์นักเรียนที่ชอบแหย่

แต่กลับไปที่ทฤษฎี UPnP ของฉันซึ่งเหมาะกับกรณีของคุณ

ไม่มีใครที่จะเปิดพอร์ต 9100 บนเราเตอร์ของคุณอย่างจงใจเพื่อให้เครื่องพิมพ์ของคุณเปิดสู่โลกใบนี้ เป็นไปไม่ได้ แต่ไม่น่าจะเป็นไปได้

นี่คือข้อมูลบางอย่างเกี่ยวกับ UPnP ผู้ร้ายที่มีแนวโน้มมากขึ้น:

ข้อบกพร่องของ UPnP ทำให้อุปกรณ์เครือข่ายหลายสิบล้านเครื่องถูกโจมตีจากระยะไกล

นี่คือวิธีที่เรามีกล้อง IP หลายพันตัวที่ถูกแฮกเข้ามาแม้จะอยู่เบื้องหลังเราเตอร์ NAT

เพิ่มเติมได้ที่นี่: ใช้ประโยชน์จาก Universal Plug-n-Play โปรโตคอลกล้องรักษาความปลอดภัยที่ไม่ปลอดภัยและเครื่องพิมพ์เครือข่าย บทความเหล่านี้มีอายุไม่กี่ปี แต่ยังมีความเกี่ยวข้อง UPnP แตกหักง่ายและไม่น่าจะได้รับการแก้ไข ปิดการใช้งาน

ส่วนสุดท้ายของย่อหน้าแรกในบทความที่สองนั้นสรุป:

สุดท้ายเครื่องพิมพ์เครือข่ายของคุณกำลังรอการแฮ็ก

และสุดท้ายทำตามคำแนะนำของ Michael Hampton และเพิ่มรายการควบคุมการเข้าถึงหากเป็นไปได้