Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Printer als onbedoelde brug tussen twee netwerken?

03-02-2012, 15:04 door Anoniem, 7 reacties
Stel ik heb twee netwerken en ik heb één printer. De printer heeft twee netwerkkaarten en is op beide netwerken aangesloten. Is dit veilig? Kan de printer een onbedoelde brug tussen de twee netwerken worden?
Reacties (7)
03-02-2012, 16:06 door SirDice
In principe zolang er geen verkeer wordt gerouteerd tussen die twee interfaces zou het niet erg moeten zijn. Routeren is niet iets wat standaard gebeurd. Tenzij beide netwerken hetzelfde subnet gebruiken. Dan zou de printer in verwarring kunnen raken. Of wanneer beide interfaces overbrugd zijn (bridging).

Ik zou in ieder geval even de handleiding raadplegen.
03-02-2012, 16:09 door SLight
Je kan de verbindingen in je ene netwerk analyseren om te kijken of andere apparaten in het andere netwerk nu zichtbaar zijn.
03-02-2012, 21:31 door Anoniem
Ik stelde mijn vraag met dit geval in gedachten:
http://www.security.nl/artikel/39355/1/Miljoenen_printers_kwetsbaar_voor_firmware-aanval.html

Als de printer aan een internet facing netwerk hangt, zou via een hack van de printer ook het andere netwerk bereikt kunnen worden?
04-02-2012, 08:00 door Anoniem
Het lijkt logisch dat een printer niet standaard als bridge geconfigureerd is. Waar je je druk over moet maken is het volgende, ALS een aanvaller toegang krijgt tot de configuratie van je printer, of zelfs eigen firmware kan flashen, dan is het (in theorie, hangt natuurlijk ook nog af van de precieze implementatie van de printer) voor hem mogelijk om de printer als bridge in te stellen.

Ik weet niet hoe je netwerkarchitectuur er uitziet, maar persoonlijk zou ik me er niet al te druk om maken, behalve als het echt om een scheiding van publieke en interne netwerken gaat.
04-02-2012, 11:56 door Bitwiper
Als je om veiligheidsredenen twee netwerken hebt dan zou ik het aantal potentiële bruggen daartussen zo klein mogelijk willen houden.

Ik verwacht niet dat een printer by default routeert (zoals SirDice aangeeft), maar printers zijn ook maar computers met door mensen geschreven software met de gebruikelijke fouten daarin. Aangezien er nauwelijks patches voor printers verschijnen en ik zelden iets hoor/lees over printer patchmanagement is het de meest veilige aanname om er vanuit te gaan dat die dingen gehacked kunnen worden (aan de andere kant verschijnen er ook niet veel exploits voor, de grote variëteit en het gesloten karakter dragen daar waarschijnlijk aan bij).

Als ik bij een DigiNotar-achtig bedrijft zou werken zou ik die printer niet een potentiële brug tussen het KA-netwerk en certificaat-uitgifte-netwerk laten vormen. De huidige aanschafprijs van printers lijkt me ook geen belemmering (dubbel onderhoud heb je natuurlijk wel).
04-02-2012, 13:29 door SLight
@ Bitwiper iedereen heeft ook op/naast zijn bureau plek voor 2 HP Officejet printers, maar zo zou het wel gaan ja bij kritieke netwerken.
06-02-2012, 09:51 door RickDeckardt
Hier wat printer-hack truuks:
http://www.irongeek.com/i.php?page=security/networkprinterhacking#Stupid Printer Tricks

Als de voorschriften zijn dat 't 'galvanisch' gescheiden netwerken zijn: ook niet koppelen via een printer. (Voordat er een snuggere harry is: nee, glas gebruiken telt niet)

Grote multifunctionals draaien embedded OSsen zoals QNX en NetBSD, een kleine ingreep op diens firmware zou je dus een instap-hackbak kunnen opleveren, met toegang tot beide netwerken en mogelijkheid tot tools als nmap etc.

Bij standaard office-laserjets met jetdirectkaarten zit je aan een beperkter protocol tussen die twee. Basis interface tussen printer en jetdirectkaart doet alleen de doorgifte van (tcp/ip) instellingen en de doorgifte van printjobs.
De TCP stack, jobacceptatie zit namelijk in de jetdirectkaart. Een hele handige hacker zou via aangepaste firmware hier misschien ook een brug tussen NICs op kunnen maken.

Standaard routeert een printer niets tussen meerdere NICs.
Digitale/netwerk dataoverdracht/smokkel zou je kunnen doen via de READYMSG, die ook via SNMP is uit te lezen en via poort 9100 is te beschrijven... vanaf alle NICs. Je ziet dit wel op de display van de printer.

NIC=Network Interface Card of jetdirectkaart
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.