Vlákno názorů k článku Útočník ovládl 160 000 tiskáren, tiskne na nich varování před útoky od Honza - Pokud je to termicka tiskana pro POS a...
-
BobTheBuilderStříbrný podporovatelProč zrovna termická?
Jakákoliv tiskárna s otevřeným portem 9100 (a taky lpd a případně IPP) na tom bude stejně. Vzhledem k tomu, že u mnoha síťových tiskáren (a multifunkcí) ani žádný firewall není, tak jediné řešení je přesunout tiskárnu na neveřejný rozsah adres, případně do nějakého bloku, kam omezí přístup firewall na routeru.
Ostatně to není nic nového, už před pár lety nám na jedné multifunkci takhle nějaký vtipálek potiskl celý zbytek papíru plnou černou plochou (naštěstí tam nebylo moc papíru, jiným obětem ale udělal podobný lump pěkný vír v toneru). No a najednou šlo tiskárny přemístit na neveřejné adresy. -
BobTheBuilderStříbrný podporovatel
Asi tak nějak. A někdo přehlédl,. že na rozdíl od do té doby používaných síťových tiskáren HP u multifunkcí málokdy nějaký firewall najdete, čest výjimkám.
-
Trident (neregistrovaný)
Chjo.Nemyslite vazeny pane / vase blahorodi ze nekomu zde tece mleko po brade?
Kdysi davno, v davnych dobach proste akademicke sfery a jedny z prvnich firem proste dostaly hromadu verejnych ip adres. Neexistovaly vyhrazene rozsahy pro lokalni site dle RFC blabla. Proste jsi dostal rozsah a ten jsi pouzil treba na tiskarny + vsechny pocitace v labech. No a dodnes na tom maji hromadu veci minimalne (zda-li vubec) zabezpecenych. O firewallu slyseli tak mozna na pozarnim cviceni. Jak se to tenkrat nastavilo tak to bezi,Zapomen na erudovane techniky za par susnu ala CR. V US jakmile umis nastavit pravidla na firewallu tak jsi network expert a stojis hned dvakrat tolik nez PC sroubovak protoze se musis prodat. Zapomen na metriky znalosti ktere mas pro CR. Tamejsi akademicka sfera na techto vecech obvykle setri a tak se veci pouzivaji dokud to funguje. V US je snad nejvic vyhnivajicich technologii na svete. Kdo nepoznal propastne rozdily v know how v pomeru k potrebnym penezum tak neuveri.
Tim padem jsou i univerzity/firmy kde ma verejnou IPv4 adresu vyjma veskere techniky na univerzite i cidlo vlhkosti v kazdem kvetinaci. Tenkrat se to tak delalo i u nas a dodnes jsou hromady zarizeni vystavene ven zejmena protoze US je trh result/business oriented, tak dokud neni bezpecnostni pruser tak budou zarizeni vystavena ven. Business je business. Dokud to funguje tak nikdo na to nesaha. -
ehmmm (neregistrovaný)
Jako pravidelny ctenar roota mam za to, ze v tom je prece spasa lidstva, ze vsichni budou mit verejne IPv6 adresy pro vsechna sva zarizeni. :)
(Uznavam, ze bude pak tezsi tipnout spravnou adresu, na kterou utocit, ale ona se nejaka finta najde. Google to beztak prohleda vsechno.)
-
ehmmm (neregistrovaný)
No to asi ne, ale vsude se pise, jak mi poskytovatel take prideli hromadu adres verejnych. Vzdyt tady porad nekdo vola po tom, ze privatni site a s tim souvisejici NAT jsou zlo, ktere je treba vymytit. A vzhledem k tomu, ze 160 tisic maniku to neresi ani ted, tak pochybuji, ze budou nejake zabezpeceni resit u IPv6. No nic, uvidime, az to nastane, ono to nejak dopadne.
-
To nepatri do routingu. Bud to udela primo firewall, nebo nastaveni routeru podle BCP-38. Puvodne byl ale IP protokol navrzen tak, ze routing muze byt asymetricky, proto takove filtrovani mohou zarizeni nedelat, a ti kdo sitim rozumi na vas budou hulakat ze NAT neni firewall. U domaciho routeru ale asymetricky routing nedava smysl, takze bych ocekaval ze tam takove filtrovani bude zapnute i kdyz bude firewall "vypnuty". Myslim, ze treba linuxovy kernel ma nejaky ekvivalent BCP-38 zapnuty v defaultu. Hmm, ted koukam u sebe na net.ipv4.conf.*.rp_filter na mem notebooku a je vypnuty, takze bude zalezet na vyrobci routeru, co tam da za volbu (pokud ten router bude linux-based, ale mam za to, ze dnes uz vetsina je, protoze je to levne).
