我不确定这个问题应该在这里问还是在security.stackexchange.com...
复活节长周末期间,我们一个小办公室的网络遭到入侵,一台旧 HP 打印机被用来打印一些非常具有攻击性的反犹太文件。似乎在世界各地的西方文化中许多大学都发生过这种情况。
无论如何...我读到这实际上是大多数联网打印机的一个相当基本的安全漏洞。与 TCP 端口 9100 和互联网访问有关。我无法找到太多关于具体细节的信息,因为每个人似乎都太关心为什么。
受影响的办公室的网络设置非常简单。它有 4 台 PC、2 台联网打印机、一个 8 端口交换机和一个运行 ADSL2+ 连接的家用调制解调器/路由器(具有静态互联网 IP 和相当普通的配置)。
弱点是调制解调器/路由器还是打印机?
我从未真正将打印机视为需要配置的安全风险,因此为了保护此办公室的网络,我想了解打印机是如何被利用的。我如何阻止或阻止该漏洞?并在我们其他更大的办公室中检查或测试漏洞(或正确阻止漏洞)?
答案1
这次攻击对大学的影响尤其严重,因为出于历史原因,许多大学的大部分或全部网络都使用公共 IPv4 地址,而且出于学术原因,很少或根本没有入口(或出口!)过滤。因此,大学网络上的许多个人设备都可以从互联网上的任何地方直接访问。
在您的具体情况下,一个拥有 ADSL 连接和家庭/SOHO 路由器以及静态 IP 地址的小型办公室,最有可能的是办公室中的某个人明确将 TCP 端口 9100 从 Internet 转发到打印机。(默认情况下,由于正在使用 NAT,因此除非采取某些措施将传入流量引导到某处,否则传入流量无处可去。)要解决此问题,只需删除端口转发规则即可。
在具有适当入口防火墙的较大办公室中,您通常不会在边界上为此端口设置任何允许规则,除非您需要人们能够通过 VPN 进行打印,否则 VPN 连接除外。
为了保护打印机/打印服务器本身,请使用其内置的允许列表/访问控制列表指定允许打印到打印机的 IP 地址范围,并拒绝所有其他 IP 地址。(链接的文档还包含其他有关保护打印机/打印服务器的建议,您也应该评估这些建议。)
答案2
扩展一下 Michael Hampton 的回答。是的,这可能是端口转发规则。但通常不会有人故意暴露。但是,它可以通过 UPnP 设备添加。最有可能的方法是在您的家用级路由器上启用 UPnP。
大学的打印机可能因为其他原因被黑客入侵,因为企业级路由器通常不支持 UPnP,即使支持也会默认禁用。在这种情况下,大学规模很大,拥有大量公共 IP 和非常复杂的网络,有时还有多个 IT 部门和众多分校。别忘了喜欢四处搜索的学生黑客。
但是,回到我的 UPnP 理论,它可能适合您的情况。
不太可能有人会故意打开路由器上的 9100 端口,让你的打印机向外界开放。这并非不可能,但可能性不大。
以下是有关最有可能的罪魁祸首 UPnP 的一些信息:
这就是尽管位于 NAT 路由器后面,我们的数千台 IP 摄像机仍然遭到黑客攻击的情况。
更多内容请见:利用通用即插即用协议、不安全的安全摄像头和网络打印机 这些文章已有数年历史,但仍然具有现实意义。UPnP 完全有问题,不太可能修复。禁用它。
第二篇文章第一段的最后一部分确实总结了这一点:
最后,您的网络打印机就等着被黑客入侵了。
最后,按照 Michael Hampton 的建议并尽可能添加访问控制列表。