如何改進校園網打印機安全？請注意這28項檢查項

　　打印機相比數據中心服務器，通常缺乏必要的關注和安全防護。

　　本文為了解決高校校園網內打印機數量眾多，大量打印機使用默認配置導致的安全問題。網絡打印機智能化程度越來越高，功能繁雜，一般廠商為了開箱即用，默認功能全部開放且使用默認超級用戶密碼，會導致信息泄露或被攻陷后成為跳板機對其他目標進行攻擊。我們結合管理制度和技術手段對校園網內網絡打印機進行整治。從技術手段識別出全網網絡打印機，并且獲取元數據和網頁截圖固化證據，通過在用戶打印機打印出通知文本提示用戶聯系權威機構，建立溝通渠道，下發幾十項安全檢查點并要求整改。通過以上方法，大大增強了校園網內網絡打印機的安全性。

　　1、高校打印機面臨的安全問題及解決思路

　　打印機作為工作中最常見的辦公設備，因為責任人不清、責任人安全意識薄弱導致打印機成為了嚴重的信息泄露源和安全盲區。打印機相比數據中心服務器，通常缺乏必要的關注和安全防護。有報告指出，每天大約有8萬臺打印機對互聯網暴露[1]。這些暴露的打印機會導致包括但不止于拒絕服務攻擊、特權升級或繞過、操作或讀取打印內容、信息泄露、遠程代碼執行、漏洞利用等問題[2]。高校內各個部門或者實驗室均會配備至少一臺網絡打印機，如果打印機由于配置錯誤或者漏洞導致被攻陷，會對使用打印機和內網的用戶造成嚴重威脅[3]。李莉等[4][5]分析了網絡打印機存在的風險并提出了防護建議，史崗[6]和郭磊[7]從保密層面對打印機安全性進行了分析并給出了防范措施。

　　網絡打印機智能化程度提高，復雜的功能帶來了對打印機維護人員較高的技術能力要求。網絡打印機品牌眾多，管理界面復雜，可配置項多，為了方便用戶開箱即用，往往所有協議、服務和功能全部開啟，沒有任何安全配置。網絡打印機可能支持打印、掃描、傳真、復印等功能。

　　網絡打印機支持的連接方式包括：有線網絡、無線網絡、USB直連、網絡共享、Wi-Fi Direct，云打印等。有線網絡連接支持的協議包括TCP/IP、IPX/SPX、NetBIOS、NetBEUI、NetWare、EtherTalk等。為了方便PC、移動端使用打印機，打印機也支持多個自發現和打印機制，包括藍牙、NFC、WiFi、SLP，mDNS，Multicast、WSDiscovery、Bonjour，AirPrint、SSDP、UPnP等等。打印協議支持WSD，LLTD，LLMNR，LPR/LPD、Raw、IPP、WS Print、SMB等等。打印機可通過Web UI、REST API、SNMP、TELNET、SSH、PJL等方式進行管理。打印的語言支持：PCL、PostScript、KSSM、KS5895、HP-GL/2、ESC/P、TIFF/JPEG、PDF、XPS、DocuWorks、Automatic Language Switching、CustomizedPJL、RPCS等等。

　　打印機一般使用精簡Linux或者實時操作系統，內建服務包括LDAP、POP3、ProxyServer、WebDAV，SOAP，ThinPrint、AirPrint、Mopria、AppleTalk、Telnet、SNMP、FTP、SMB/WINS、SNTP、HTTP、XMPP等。由上可知網絡打印機實際上已經是一臺小型的服務器，應當做好相應的安全保護。

　　高校校園網有邊界防火墻，可以阻擋打印機部分端口對外開放，有些學校對用戶網段和服務器網段分開，用戶網絡限制不能對外提供服務，這些安全措施從一定程度上緩解了網絡打印機造成的風險，然而在校園網內部，如果未做好安全域隔離，網絡打印機的安全風險在校園網內部還是存在。對于網絡打印機的安全性整改，解決思路為從管理和技術兩個層面進行。管理上通過內部公文系統下發打印機安全配置等相關要求，技術上通過全網掃描打印機，對未加固的打印機進行多輪通知整改，達到最終所有打印機均做好較為安全的設置。

　　2、打印機安全整改流程：發現、取證、通知、整改

　　從管理層面入手，通過出臺物聯網設備安全管理方法，網絡打印機專項安全防護細則等規章制度，首先從主體責任和安全意識入手，引起各部門和普通用戶對打印機安全性的重視。通過管理層面，可以解決一部分問題，然而有些用戶思想上重視了，但是由于技術能力和其他客觀因素，導致整改不到位，所以需要配合技術手段進行常態化檢查。

　　由于網絡打印機如果未做好安全配置，在校園網內是可以隨意訪問的。我們從攻擊者視角，使用簡單的Python腳本，對暴露在校園網內的多輪通知未整改的打印機進行發現和檢查，并且采用打印通知信息到用戶打印機的方法通知用戶。

　　發現：我們使用nmap掃描校園網內所有網段網絡打印機常用的515、631、9100端口，如果這些端口開放，則記錄到可能的打印機列表文本文件內。

　　取證：由于發現機制存在一定的誤報可能，所以我們對可能的打印機IP進行指紋識別，通過人工篩選等方法盡量做到誤報率最小。我們對可能的打印機列表文本文件，每一個IP地址，均使用ipptool命令獲取打印機的元數據，主要包括打印機制造商、型號、打印機名稱、打印機UUID、打印機WiFi連接信息、固件版本和開機時間，將可以獲得的元數據存入打印機元數據列表文件內。接著對可能的打印機列表文件，每一個IP地址，使用Python模塊pyppeteer獲取HTTP端口上的網頁標題和截圖，并保存成圖片。

　　分析：我們接著對端口開放情況、元數據、網頁標題、截圖進行排查，識別出校內打印機類型和分布情況，剔除誤報的IP。并直接連接到打印機獲取部分配置信息，形成校園網內網絡打印機安全性報告。

　　通知：我們根據IP段歸屬對IP段管理員進行通知，對于多次通知仍未處理的打印機，我們使用Python腳本將一張擬好的通知A4紙內容打印到用戶打印機上。具體為使用lpadmin命令行根據打印機IP地址添加打印機，使用lpr命令行打印出通知文本，打印完畢刪除打印機完成通知。

　　整改：在通知文本內，我們提供了群號，要求所有看到通知的用戶聯系打印機責任人加群，在群內下發整改具體方法和解答用戶的疑問，并且最終整理入常見問答內。

　　因為打印機資產隨著時間會有所變化，所以我們通過定期多輪實施以上流程進行整改。對于打印機的發現，如果有全網認證系統或者有收集所有設備IP地址對應的MAC的數據庫，也可直接從MAC地址前綴識別出打印機。對于通知，如果已經有建立了比較完善準確的IP對應用戶數據庫，也可直接通過郵件或者其他渠道通知，實踐證明，直接打印通知到打印機對用戶的震懾比其他通知手段效果更為明顯。

　　3、打印機安全配置和使用最佳實踐

　　在網絡打印機安全專項整改中，我們分析了各個不同類型的打印機的功能，并給出了以下安全檢查點要求打印機管理員逐項檢查。

　　1.是否明確了主體責任，確定專門的管理員。辦公環境內個人電腦責任人一般較為清晰，然而公用設備有時責權不清，應指定專門的人員負責。

　　2.是否對打印機建立臺賬。部門內打印機較多，應當建立臺賬跟蹤打印機全生命周期管理和定期安全檢查記錄。

　　3.是否對用戶進行了安全培訓。打印機的安全性不止管理員需要關注，普通用戶也應具備一定的安全意識。

　　4.是否淘汰了無安全能力的打印機。應當采購具有安全能力的較新的打印機，如打印機無安全能力，可在打印機前加上防火墻設備保護或直接連接PC機USB接口使用。

　　5.是否限制了打印機主動對外的網絡訪問權限。應當檢查是否設置了作業日志歷史記錄自動發送到惡意郵箱，是否設置了作業完成發送信息到惡意郵箱，是否開啟了SNMP Trap，是否有將Syslog發送到遠程惡意IP，檢查是否開啟了打印機發送匿名打印統計信息給廠商等。

　　6.是否檢查打印機有無配置了代理信息。有些網絡層面的限制會限制打印機無法直接訪問外網，然后打印機可通過配置代理服務器實現外網訪問，應檢查是否被惡意配置了代理。

　　7.是否檢查掃描發送郵件的賬戶信息。掃描發送的郵件地址和遠程SMTP服務器應當使用自主可控的賬號和服務器，并檢查郵件服務器配置是否有開啟發送后保存等功能，如果開啟，應當關閉或者定期刪除。檢查郵件賬號配置是否存在轉發功能。掃描如果不是附件而是URL則應當在打開URL時仔細確認URL是否安全，不隨意打開不是自己掃描的文件地址。

　　8.是否定期對打印機進行配置核查。應當定期檢查打印機是否被復位，配置被更改。任何可以物理接觸到打印機的人均可對打印機進行復位并且配置惡意設置，有條件的應當在打印區域設置監控攝像頭。應當定期檢查各項配置是否生效。使用漏洞掃描設備或nmap等對打印機從各個網絡環境進行掃描。

　　9.是否定期清理打印機敏感信息。應定期清理打印機歷史記錄，格式化硬盤。清理之前可先導出配置信息，格式化或者復位后重新導入配置。

　　10.是否定期檢查打印機的設備狀態，對日志進行審計。

　　11.是否定期從官方渠道更新打印機固件。

　　12.是否使用點對點方式接收掃描敏感內容。掃描文件接收一般有USB、郵件、FTP、網上鄰居等多個模式，敏感內容應盡量使用USB、FTP、網上鄰居等途徑。

　　13.是否對接收掃描件的FTP和網上鄰居等服務做好安全防護。如果使用FTP、網上鄰居等模式，FTP和網上鄰居賬戶密碼應當設置強密碼，并且設置防火墻只允許打印機訪問?；蛑辉谛枰獟呙钑r開啟服務。并定期更新FTP服務軟件以避免安全漏洞。掃描完的文件應當移出FTP和網上鄰居目錄。

　　14.是否修改了默認的管理員密碼。密碼應當是強密碼。

　　15.是否遵循最小權限原則關閉所有不必要的服務和協議。任何不必要的服務和協議均應當關閉。使用率較低的功能可在需要使用時再開啟。

　　16.是否檢查打印機自帶的文件存儲功能。如果打印機自帶文件存儲功能，應當關閉。

　　17.是否檢查了云打印服務。包括各個廠商提供的云打印服務。

　　18.是否檢查打印機有無啟用了無線熱點功能。

　　19.是否限制了打印機的打印用戶名。如果可能，應當對每個需要使用打印機的用戶開啟單獨賬戶。

　　20.是否限制了打印機的服務IP地址訪問控制列表。應當限制打印機只允許需要的用戶的IP地址才可訪問。

　　21.是否正確配置了IPv6等相關配置。應當對IPv6和IPv4一樣對待，避免出現IPv4做好安全配置但是IPv6無任何保護的問題。

　　22.是否考慮到敏感文件名泄露問題。打印機一般均會留下打印記錄，打印記錄所有可打印用戶或IP均可查詢，敏感文件名應當改名再打印。

　　23.是否已經評估過打印機信息泄露的風險。打印機可能泄露包括通訊錄、用戶IP信息、打印記錄、首次打印時間、打印張數等信息。

　　24.是否定期更新專用驅動或打印軟件。應當盡量只采用操作系統自帶的打印能力。如果安裝了打印機廠商提供的打印軟件，應當定期更新打印軟件。

　　25.是否有過濾垃圾傳真信息，定期清理傳真文件。

　　26.是否實施了正確的報廢流程。報廢之前應當復位，銷毀內部存儲芯片，拔除硬盤和存儲卡。

　　27.是否實施了正確的維修流程。打印機場內場外維修應當做好防止信息泄露措施。

　　28.是否對關鍵部門進行保護。在網絡層面限制打印機端口在內網暴露。對關鍵部門應加強防護，減少用戶不規范使用帶來的安全問題。

　　通過管理手段和技術手段相結合，通過常態化檢查，可大大提高高校校園網內打印機的安全性。本文的打印機技術發現手段只能識別聯網打印機，如果是直接連接計算機的打印機，只能從管理層面進行整治。本專項治理思路和流程未來可以擴展到其他物聯網設備諸如攝像頭、門禁、考勤機、大屏幕、內網交換機、路由器、中控系統、貴重儀器設備、工控設備、各類聯網傳感器等。

　　參考文獻

　　作者：鄭海山、林霞、洪江民、蕭德洪，單位為廈門大學信息與網絡中心

　　聲明：本文來自中國教育網絡，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表萬方安全立場，轉載目的在于傳遞更多信息。如有侵權，請聯系刪除。