Chateaurel GmbH Sicherheit beim Drucken Sicheres Drucken Folie 1 Chateaurel GmbH SafeCom Vertretung für Deutschland Hewlett-Packard IPG Solution Business Partner HP Lösungsintegrator Schwerpunkte - Sicheres Drucken - Authentifizierung & Verschlüsselung - Kostenabrechnung Sicheres Drucken Folie 2 Hendrik Herberger www.decus.de 1
HP SPI HP Secure Printing Initiative Eine Aufgabe der HP SPI ist das Sicherheitsbewusstsein beim Drucken, Kopieren uns digitale Senden zum Kunden zu bringen Chateaurel und VigiTrust sind Partner der HP SPI VigiTrust ist spezialisiert auf IT-Sicherheit Sicheres Drucken Folie 3 Roadmap Lösungen zum sicheren Drucken Sicherheitsgrundsätze Sicherheitsrisiken CIA-Grundsatz Authentifizierung Verschlüsselung Druckkosten Sicheres Drucken Folie 4 www.decus.de 2
Sicheres Drucken Wozu Sicherheit beim Drucken? Zugriff auf vertrauliche Dokumente Verändern der Geräteeinstellungen Druckjobs sniffen Aufdecken von Information Sicheres Drucken Folie 5 Hardware- Diebstahl Rechtliche Anforderungen Sicherheitsgrundsätze Was umfasst die Unternehmenssicherheit? Sicherheitsrichtlinien Sicherheitsbewußtsein der Anwender Technische Lösung Sicheres Drucken Folie 6 www.decus.de 3
Sicherheitsgrundsätze Es ist alles eine Frage des Bewusstsein Ich werde nie Kinder haben. Ich habe gehört, die brauchen neun Monate zum Herunterladen. Sicheres Drucken Folie 7 Sicherheitsrisiken Wie verwundbar kann die Druckumgebung sein? Wie viel Aufmerksamkeit widmen Anwender Ihren Druckjobs? Ausdrucke werden nicht am Drucker abgeholt Mehrere Exemplare werden gedruckt, obwohl nur eines benötigt wird Anwender können nicht unterstützte Drucker anschließen und installieren Anwender können ohne Zugriffserlaubnis an MFPs Dokumente scannen, kopieren, faxen und e-mailen Wie viel Aufmerksamkeit widmen Organisationen Ihrem Druckumfeld? Gewöhnlich nur kostenseitig getrieben, erst später Sicherheitsbedenken Organisationen können nur selten ihr Druckumfeld erfassen (Gerätetypen, Verhältnis Anwender/Geräte, MFP-Funktionen, usw ) Druck- und MFP-Rechte werden nicht zentral verwaltet Sicheres Drucken Folie 8 www.decus.de 4
Wussten Sie.? Sicherheitsrisiken dass administrativer Telnet-Zugriff auf den meisten HP JetDirect Netzwerkdruckern offen ist, und dieser übrigens standardmäßig nicht passwortgeschützt ist. SNMP, FTP und HTTP Zugriffe sind ähnlich verwundbar. telnet <hostname> 9100 @PJL OPMSG DISPLAY= Gerätefehler 49.000! Bitte Support verständigen. <ENTER> Gerät geht offline und zeigt Support-Meldung an Sicheres Drucken Folie 9 Wussten Sie.? Sicherheitsrisiken dass Anleitungen zum Drucker hacken im Internet verbreitet sind. Dort erhalten Sie Informationen wie: Druckjobs sniffen und noch mal ausführen Administrationseinstellungen ändern Willkommensseite des Administrators hacken Drucker als Zombies konfigurieren (um weitere Angriffe durchzuführen) Suchen nach gespeicherten Druckjobs und Faxe Schauen Sie z.b. auf www.irongeek.com! h2 Sicheres Drucken Folie 10 www.decus.de 5
Slide 10 h2 later Hendrik more hendrik, 11/7/2006
Beispiele gefällig.? Sicherheitsrisiken Tool Phenoelit Hijetter (http://www.phenoelit.de/hp/) Nur IP-Adresse oder HOST-Name benötigt Zugriff selbst auf passwortgeschütze Geräte Sicheres Drucken Folie 11 Beispiele gefällig.? Sicherheitsrisiken Tool Phenoelit Hijetter: 1. Drucker und MFPs Fehler und falsche Meldungen anzeigen lassen Sicheres Drucken Folie 12 www.decus.de 6
Beispiele gefällig.? Sicherheitsrisiken Tool Phenoelit Hijetter: 1. Drucker und MFPs Fehler und falsche Meldungen anzeigen lassen Sicheres Drucken Folie 13 Beispiele gefällig.? Sicherheitsrisiken Tool Phenoelit Hijetter: 2. Standard-Einstellungen der Drucker und MFPs ändern Sicheres Drucken Folie 14 www.decus.de 7
Beispiele gefällig.? Sicherheitsrisiken Tool Phenoelit Hijetter: 3. Zugriff auf gespeicherte Dokumente der Drucker- und MFP-Festplatte Sicheres Drucken Folie 15 Beispiele gefällig.? Sicherheitsrisiken Tool Phenoelit Hijetter: 3. Zugriff auf gespeicherte Dokumente der Drucker- und MFP-Festplatte Sicheres Drucken Folie 16 www.decus.de 8
Beispiele gefällig.? Sicherheitsrisiken Tool Phenoelit Hijetter: 3. Zugriff auf gespeicherte Dokumente der Drucker- und MFP-Festplatte -> TIFF eines gesendeten Fax Sicheres Drucken Folie 17 Security Checklist NIST Security Checkliste für HP MFP Einstellungen am Gerät Passwort vergeben Access Control List Web Server (HTTP) Zugriff verweigern Authentifizierung Sichere Festplattenlöschung Einstellungen über HP Web Jetadmin SNMPv3 verwenden SSL verwenden Ungenutzte Protokolle (z.b. FTP, Telnet) abschalten Ungenutzte Ports schließen Sicheres Drucken Folie 18 www.decus.de 9
Sicherheitsgrundsätze Sicherheitsgrundsätze Confidentiality - Geheimhaltung - Vollständigkeit Availability - Verfügbarkeit Verantwortlichkeit Sicheres Drucken Folie 19 Quelle: VigiTrust Best Practice Security Framework Traditioneller Druck Drucken heute Push Print Push Windows Server Confidentiality - Geheimhaltung - Vollständigkeit Availability - Verfügbarkeit Verantwortlichkeit Sicheres Drucken Folie 20 www.decus.de 10
Confidentiality Confidentiality - Vertraulichkeit Authentifizierung Druckausgabe in Anwesenheit des Benutzers -> Persönlicher Druck auf Zentralgeräten -> Keine sensiblen Daten im Ausgabefach der Drucker/MFPs Sicheres Drucken Folie 21 Confidentiality Pull Print privater Druck Karte zeigen / user code eintippen SafeCom Windows Server Pool Rec und/oder PIN Dokumente wählen Pull Sicheres Drucken Folie 22 www.decus.de 11
Confidentiality Sicheres Drucken Folie 23 Referenzen Confidentiality Pull Print / Authentifizierung - hohe Sicherheitsanforderungen von ebay - Kartensystem war bereits implementiert - Nun europaweite Erweiterung auf das Drucken SafeCom Go auf HP LJ 9040mfp Besonderes: - Gästekarten - Hohe Fluktuation Sicheres Drucken Folie 24 www.decus.de 12
Sicherheitslücke: Druckjobs abhören Welcher Drucker? Konfigurationsseite via SNMP-Tool (z.b. HP WebJetAdmin) nmap (Portscanner) nmap -A 192.168.1.* Google inurl:hp/device/this.lcdispatcher Sicheres Drucken Folie 25 Quelle: www.irongeek.com Sicherheitslücke: Druckjobs abhören Sicheres Drucken Folie 26 Quelle: www.irongeek.com www.decus.de 13
Sicherheitslücke: Druckjobs abhören Tool Ettercap (http://ettercap.sourceforge.net/) Aufzeichnen von Netzwerkströmen per ARP Spoofing Sicheres Drucken Folie 27 Quelle: www.irongeek.com Sicherheitslücke: Druckjobs abhören Sicheres Drucken Folie 28 Quelle: www.irongeek.com www.decus.de 14
Sicherheitslücke: Druckjobs abhören Tool Ettercap (http://ettercap.sourceforge.net/) Aufzeichnen von Netzwerkströmen per ARP Spoofing Ethereal (http://www.ethereal.com) Sortieren und Filtern von Netzwerkströmen Sicheres Drucken Folie 29 Quelle: www.irongeek.com Sicherheitslücke: Druckjobs abhören Sicheres Drucken Folie 30 Quelle: www.irongeek.com www.decus.de 15
Sicherheitslücke: Druckjobs abhören Druckströme filtern und öffnen Sicheres Drucken Folie 31 Quelle: www.irongeek.com Sicherheitslücke: Druckjobs abhören Sicheres Drucken Folie 32 Quelle: www.irongeek.com www.decus.de 16
Sicherheitslücke: Druckjobs abhören Sicheres Drucken Folie 33 Quelle: www.irongeek.com Sicherheitslücke: Druckjobs abhören Druckströme filtern und öffnen Druckströme an anderem Gerät ausgeben Sicheres Drucken Folie 34 Quelle: www.irongeek.com www.decus.de 17
Sicherheitslücke: Druckjobs abhören Sicheres Drucken Folie 35 Quelle: www.irongeek.com Sicherheitslücke: Druckjobs abhören Druckströme filtern und öffnen Druckströme an anderem Gerät ausgeben oder am Bildschirm anzeigen lassen z.b. mit Tool EscapeE von RedTitan Sicheres Drucken Folie 36 Quelle: www.irongeek.com www.decus.de 18
Sicherheitslücke: Druckjobs abhören Sicheres Drucken Folie 37 Quelle: www.irongeek.com Sicherheitslücke: Druckjobs abhören Sicheres Drucken Folie 38 Quelle: www.irongeek.com www.decus.de 19
- Datenintegrität Schützt Dokumente vor unberechtigten Betrachtern und Manipulation Verschlüsselung der Daten von der Workstation bis zum Drucker Pool Am Server immer verschlüsselt Rec Verschlüsselung am Client Sicheres Drucken Folie 39 Entschlüsselung am Drucker/MFP Referenzen Pull Print / Authentifizierung / Verschlüsselung - höchste Vertraulichkeit der Ausdrucke - verschlüsseltes Roaming der Druckjobs - sichere Verschlüsselungstechnik - Druckjobs werden länderübergreifend gedruckt und abgeholt Sicheres Drucken Folie 40 www.decus.de 20
Availablity Availablity - Verfügbarkeit SafeCom Windows Server Pool Rec Pull Dokument folgt dem Benutzer Sicheres Drucken Folie 41 für nahezu jeden Drucker am Markt Referenzen Availablity Pull Print / Authentifizierung / Restricted Access - privater Druck muss gewährleistet werden - hohe Sicherheitsanforderungen - Lösung muss hochverfügbar sein Besonderes: - Benutzer dürfen nur an bestimmten Geräten drucken Sicheres Drucken Folie 42 www.decus.de 21
Zugriffskontrolle Accountability Verantwortlichkeit erst nach Authentifizierung stehen: Druckjobs Kopierfunktion Send-to-email / Send-to-folder Fax zur Verfügung Sicheres Drucken Folie 43 Accountability Verantwortlichkeit Der Versender wird fest übernommen verhindert Identity Spoofing (Identitätsübernahme) Sicheres Drucken Folie 44 www.decus.de 22
Accountability Verantwortlichkeit Überwachen des Druckergebrauchs Druckerund Kopierergebrauchs Windows Server Pool Rec Kopienkontrolle Embedded für HP Externe Lösungen für Canon, Xerox, Sharp, Ricoh, Kyocera Mita, Konica Minolta, Océ u.a. Sicheres Drucken Folie 45 Rec Tracking Accountability Verantwortlichkeit aufgezeichnete Daten SafeCom Reports User Statistics Weiterverarbeitung Billing Statistics SafeCom trackt Daten für Printer Statistics Crystal Reports Job List SAP etc Sicheres Drucken Folie 46 TrackingID ComputerName ExportTrackingID TransactionID AccountingModelUsed StartDate StopDate TrackingState TrackingPageCount ParserPageCount DriverPageCount JobSubmitLogon JobName JobDate JobSize UserID UserDomainID UserLogon FullName Description Email DeviceMac DeviceID DeviceName DeviceLocation DeviceIpAddr DeviceSupportsDuplex DeviceSupportsColor DeviceModel DriverName JobPageFormat JobIsDuplex JobIsColor BillingClient BillingAccount JobPrice JobType PageCountStatus UserAccountingModel UserNodeID DeviceNodeID www.decus.de 23
SafeCom Druckkosten abrechnen Kostenzuweisung für gedruckte und kopierte Seiten Zuweisung der Abteilungen / Kostenstellen (Import der Organisationseinheiten aus dem AD, edirectory, etc.) Kostenzuweisung auch von dezentralen Druckern Jeder Drucker hat ein eigenes Abrechnungsmodell Feste Preise für bestimmte Druckjobs Optimierung der Druckerstandorte durch Auslastungskontrolle Prepaid-Druck möglich Sicheres Drucken Folie 47 BDI Referenzen Pull Print / Authentifizierung / Tracking - Steigende Kosten für Sender- und Druckerreparaturen - Definierte Workflows weiter verfeinern - Auslaufende Kopiererverträge SafeCom Go auf HP LJ 9040mfp/9050mfp/9500mfp Besonderes: - Anpassung SafeCom Sicheres Drucken Folie 48 www.decus.de 24
SafeCom Druckkosten reduzieren persönlicher Druck auf zentralen Geräten -> einfachere Umsetzung einer Balanced Deployment-Strategie Überwachen der Druckjobs Nicht abgeholte Druckjobs werden ungedruckt gelöscht Keine aufwendige Entsorgung nicht abgeholter Druckjobs Regelgestütztes Drucken, z.b. emails in EconoMode, Benutzergruppen xy nur s/w Einfachere Administration Erfahrungen mit weniger Helpdesk-Calls Sicheres Drucken Folie 49 Stimmen zu SafeComSafeCom Die Skalierbarkeit der SafeCom-Lösung ist marktführend Der SafeCom Server ist die robusteste Software auf dem Markt SafeCom ist das flexibelste System auf dem Markt durch die Einbindung der APIs Die SafeCom-Lösung beinhaltet das umfassenste Toolset für Performance auf dem Markt SafeCom erhielt auf der 2006 Worldwide IPG Solution Partner Conference den Outstanding HP Partner Award Sicheres Drucken Folie 50 www.decus.de 25
Sicheres Drucken Zusammenfassung - Sicheres Drucken Drucker & MFPs sind wie Server zu behandeln kontrolliertes Druckumfeld Sicheres Drucken Folie 51 Sicheres Drucken Zusammenfassung - Sicheres Drucken Drucker und MFP in das Sicherheitskonzept/Richtlinien einbeziehen Maßnahmen die sofort greifen umsetzen Paßwörter vergeben, z.b. für den EWS aktuelle Protokolle mit Sicherheitsfeatures verwenden, z.b. SNMP v3, IPSec, IPP nicht verwendete Ports schließen sichere Festplattenlöschung regelmäßig Firmware upgraden (auch Netzwerkkarten) Authentifizierung per Karte und/oder PIN am Gerät Verschlüsselung der Druckdaten Informationen zum Druckauftrag kontinuierlich erfassen Sicheres Drucken Folie 52 www.decus.de 26
Sicheres Drucken Zusammenfassung - Sicheres Drucken Sicherheit geht jeden etwas an Die technischen Lösungen sind nur so stark wie die Richtlinien und die daraus erstellten Verfahrensweisen sicheres Drucken sollte in der Sicherheitsstrategie berücksichtigt werden Denken Sie an das CIA-Konzept! Um eine Sicherheitsstrategie erfolgreich umzusetzen, muss das Management diese vorantreiben, IT und HR diese implementieren, die Mitarbeiter diese verstehen und einhalten Fragen? Sicheres Drucken Folie 53 Sicheres Drucken weiterführende Informationen www.hug.de (Lösungsanbieter für Sicherheit beim Drucken) www.safecom.dk (Drucklösung sicheres Drucken) www.hp.com/go/security (allgemeine Sicherheit) www.hp.com/go/secureprinting (Sicherheit beim Drucken) www.hp.com/go/webjetadmin (Sicherheitsfeatures WJA) checklists.nist.gov/repository/1087.html (Checkliste LJ 4345MFP) www.vigitrust.com (Sicherheitsexperten) www.irongeek.com/i.php?page=security/networkprinterhacking (Sicherheitslücken) email hh@chateaurel.de oder ac@chateaurel.de Sicheres Drucken Folie 54 www.decus.de 27
Vielen Dank für Ihre Aufmerksamkeit! Sicheres Drucken Folie 55 www.decus.de 28