Uni-Logo
Sektionen
Sie sind hier: Startseite IT-Sicherheit - frITs Drucker in öffentlichen Netzen
Artikelaktionen

Drucker in öffentlichen Netzen

Im Sommer 2016 spuckten viele Drucker in der Universität ungefragt Seiten mit fremdenfeindlichen Inhalten aus. Urheber dieser Ausdrucke war ein Neonazi aus den USA, der identifiziert, aber nicht zur Rechenschaft gezogen werden konnte. In diesem Zusammenhang will das Rechenzentrum über das Thema informieren und schlägt zur Lösung die hier angegebenen Maßnahmen vor.

Zielgruppe

Diese Information richtet sich an Zuständige von IT-Systemen einer Institution innerhalb der Universität Freiburg.

Empfehlungen

Bevor Sie einem Umzug in ein privates Netz beginnen, analysieren Sie ihre Netzwerkkonfiguration. Unter Umständen sind weitere Vorüberlegungen nötig, um einen reibungslosen Umzug zu gewährleisten. Das Rechenzentrum steht ihnen bei Fragen in Hinsicht auf mögliche auftretende Probleme gerne zur Verfügung.

Um Ausdrucke aus dem Internet zu verhindern, empfiehlt das Rechenzentrum der Uni folgende Maßnahmen:

  1. Umzug in ein privates Netz:
    Diese Lösung sollte als erstes erwogen werden, da diese nicht nur die Drucker, sondern auch das gesamte Subnetz vor Angriffen aus dem Internet schützt. Alle Geräte im Netzwerk sind mit dieser Lösung von aussen nicht mehr ansprechbar. Der Zugriff von aussen kann beispielsweise durch ein VPN ermöglicht werden.
  2. Einen Druckserver verwenden:
    Ein Druckserver kann unautorisierte Druckaufträge verhindern, indem Druckjobs innerhalb eines Netzbereiches ausschließlich von diesem entgegengenommen werden. Berechtigte Clients übergeben ihre Druckaufträge an den Druckserver (z.B CUPS), welcher wiederum den Auftrag an den entsprechenden Drucker weiterleitet.
    Es empfiehlt sich, sofern die Konfiguration des Druckers dies zulässt, über eine Whitelist die IP-Adresse des Druckservers einzutragen, wodurch automatisch alle anderen Clientsysteme blockiert werden.
    Zusätzlich kann über den Druckserver eine Authentifikation für die Drucker eingerichtet werden.
  1. Druckerkonfiguration durch eigenes Passwort absichern:
    Die Konfiguration eines Druckers ist über die Bedienknöpfe am Gerät möglich oder über eine Webseite, die der Drucker ausgibt, sobald seine URL eingegeben wird. In privaten Netzen ist die URL von außen nicht erreichbar, bei Druckern in öffentlichen Netzen ist die Konfigurationsseite weltweit erreichbar.
    Auch in privaten Netzen sollte die Konfiguration zwingend durch ein Passwort geschützt werden.

Anlass der Aktion “Sicherheitshinweis” auf öffentlich erreichbaren Druckern

Aufgrund der ausgegebenen fremdenfeinlichen Inhalten auf den Druckern hat der Senat der Universität Freiburg am 28.09. einen Beschluss gegen Fremdenfeindlichkeit gefasst. Das Rechenzentrum nimmt dies zum Anlass verschiedene Maßnahmen in diesem Zusammenhang zu propagieren.Eine Maßnahme ist dabei die systematische Erfassung öffentlich erreichbarer Server und Geräte wie Drucker.

Die Projektmitarbeiter Marcel Tschöpe und Jan Leendertse sehen die kürzlich verschickten Sicherheitshinweise nach dem 23.11.2016 als einen Weg, auf offene Drucker hinzuweisen, und mit dieser Webseite weitere Empfehlungen und Hinweise zu geben, wie sie geschlossen werden können.

Prinzip erreichbarer Drucker

Drucker werden in aller Regel über Netzwerke angesprochen und sind nicht mehr an einzelne Rechner angeschlossen. Sie nutzen die gleichen Netzwerkprotokolle wie Rechner und sind als eigene Computer anzusehen, die auf die Aufgabe des Druckens spezialisiert sind. Sie erhalten eine IP-Nummer, über die sie angesprochen werden können.

Das ist ein gewünschtes Feature, weil so das Teilen eines Druckers möglich ist. Jeder weitere Rechner, der die IP-Nummer des Druckers sehen kann und vom Drucker zugelassen wird, ist in der Lage, Seiten dort auszugeben. Wird innerhalb einer Abteilung ein öffentliches Netz verwendet, sind unter Umständen die Drucker auch aus dem Internet erreichbar.

Erläuterung des Unterschieds zwischen öffentlichen und privaten Netzen

Private Netze (VLANs) unterteilen ein Netzwerk in verschiedene Teilnetze. Diese Unterteilung sorgt dafür, dass Datenpakete innerhalb eines Teilnetzes verbleiben und nicht in andere Netze weitergeleitet werden.

Angreifer aus dem öffentlichen Netz haben durch die strikte Trennung keine Zugriffsmöglichkeiten auf das private Netz. Das öffentliche Netz (alle Geräte mit IP-Adressen aus dem Bereich 132.230.X.Y) ist aus dem Internet zugänglich. Dies ist in vielen Einsatzbereichen gewünscht, beispielsweise bei Webseiten, die aus dem Internet erreichbar sein müssen.

Desktop-PCs oder Drucker sind, sofern sie in öffentlichen Netzen angeschlossen sind, allerdings ebenfalls zugänglich. Bei Druckern kann so beispielsweise eine ungeschützte Druckerkonfiguration aus dem Internet manipuliert werden. Eine weitere Möglichkeit besteht in der Ausführung von unautorisierten Druckaufträgen wie den angesprochenen Pamphleten aus den USA.

 

netzstruktur privat und öffentlich

 

 

Vorteile von privaten Netzen:

  • Zugriffe aus dem Internet werden geblockt, ohne Arbeit in komplexe Rechner- und Firewallkonfigurationen zu investieren.
  • Würmer und Viren befallen nicht das gesamte Netz, sondern im schlimmsten Fall nur Teilnetze.
  • Abschottung gegenüber anderen Abteilungen oder Arbeitsgruppen ist möglich.
  • Eine Arbeitsgruppe kann in Teilnetze unterteilt werden, falls ein Zugriff auf bestimmte Daten nicht für alle Mitarbeiter bestimmt ist.

Fragen?

Sollten Sie zu dieser Aktion weitere Fragen oder Hinweise haben oder Kommentare  zum Ablauf haben, nehmen Sie bitte Kontakt per Mail oder Telefon auf. Die Telefonnummern sind auf den Sicherheitshinweisen zu finden, die auf öffentlich erreichbaren Geräten ausgedruckt wurden.

Benutzerspezifische Werkzeuge