Security Professionals - ipfw add deny all from eindgebruikers to any

Netwerk printer sniffen / benaderen

14-12-2009, 16:44 door psam, 20 reacties
Voor een security test in een bedrijf ben ik opzoek naar kwetsbaarheden. Gezien bestanden vaak onversleuteld naar de netwerkprinter gestuurd worden, was 1 van de onderzoeksvragen om dit te onderzoeken. Mijn vraag is dan ook: Hoe is het mogelijk om een netwerkprinter te sniffen?

Ik ben er al een tijd naar opzoek, maar er is niet veel over te vinden. Als je een printje maakt wordt deze tijdelijk in c:\windows\system32\spool verwerkt en vervolgens verstuurd naar de netwerk printer bijv. via poort 9100 raw printing.

De meeste netwerk printers hebben vaak ook een ingebouwde harde schijf, deze zijn vaak op basis van sambashare/NRG, hoe is het mogelijk om deze te benaderen?

(Type printer: N RG MP C2500 PS)

Ik hoop dat iemand hier de oplossing voor weet.

Evt is het ook mogelijk om een prive berichtje te sturen...

Alvast bedankt,

Gr,
Patrick
Reacties (20)
14-12-2009, 16:48 door Anoniem
Sluit de ingaande kabel van de printer aan op een hub
Sluit een pc aan op een hub.
Sluit de printer aan op de hub.

Installeer een sniffer op de pc en sniff in pronouncious mode,
en zie alle pakketten die naar de printer gaan voorbij komen.
14-12-2009, 17:05 door Syzygy
Door Anoniem: Sluit de ingaande kabel van de printer aan op een hub
Sluit een pc aan op een hub.
Sluit de printer aan op de hub.

Installeer een sniffer op de pc en sniff in pronouncious mode,
en zie alle pakketten die naar de printer gaan voorbij komen.

Dit is een oplossing echter zal de plotselinge aanwezigheid van de hub en de PC wellicht enige vragen oproepen.


Je bedoelt natuurlijk tevens wat zijn de mogelijkheden om iets met de printjobs te doen .
Afhankelijk van de mogelijk en de instellingen van de printer kun je nog wat zaken bekijken.

Vaak zit er een http optie op die printer die default aan staat.
De printer is dus te benaderen via je browser (vaak op IP adres)
Afhankelijk van wie erin kunnen en wat de mogelijkheden zijn kun je daar al dan niet je eigen of andermans documenten mee beheren. Vooral de bij grote printers (combi copiers/scanners ) zijn de mogelijkheden op dit gebied erg uitgebreid.

Wat ook wel lucratief is, is een groot document printen en het dan bij de printer gaan staan lezen en "en passant" ook alles wat er verder door anderen uitgeprint wordt ook te lezen.
Het gaat tenslotte om de Security (of het niet aanwezig zijn van enige Security)
14-12-2009, 17:14 door Anoniem
"Hoe is het mogelijk om een netwerkprinter te sniffer? "

Wat heeft de vraag hoe je moet sniffen te maken met het feit dat het gaat om een printer ? Immers gaat het gewoon om een netwerkverbinding, of de host nou een printer of een computer is. Sniffen kan je bijvoorbeeld doen door het installeren van een SPAN port op je switch, waarop je al het verkeer kopieert van de port waarop je printer zit aangesloten.

"Sluit de printer aan op de hub."

Let hierbij wel op dat de meeste 'hubs' vandaag de dag niets anders zijn dan eenvoudige switches, en dat je in dat geval niets hebt aan de hub omdat iedere port dan een eigen collission domain heeft, en je de traffic van de printer dan niet ziet.

"Voor een security test in een bedrijf ben ik opzoek naar kwetsbaarheden. "

Wat voor kwetsbaarheden denk je te vinden tijdens het sniffen; wat is precies je doelstelling ? Ik zou als eerste gaan kijken naar telnet/ftp mogelijkheden, eventueel met factory default passwords, de web interface van de printer indien beschikbaar, en de snmp instellingen om te zorgen dat ook deze geen standaard community strings gebruikt. Waarbij je iedere overbodige service natuurlijk uit kunt schakelen.

Verder zou ik kijken wat voor vulnerabilities bekend zijn voor de desbetreffende printers, en of patches om deze vulnerabilities te verhelpen ooit worden geinstalleerd (waarschijnlijk niet).

Leuk onderwerp trouwens, want printer security wordt in vrijwel iedere organisatie genegeerd danwel verwaarloosd.

PS: Heb je ook in het archief hier op de website gezocht ? Er staan nog wel wat interessante artikelen m.b.t. printer security met links naar rapporten/whitepapers.
14-12-2009, 17:18 door jopiter
"Wat ook wel lucratief is, is een groot document printen en het dan bij de printer gaan staan lezen en "en passant" ook alles wat er verder door anderen uitgeprint wordt ook te lezen."

Wat zegt dat in hemelsnaam over het beveiligingsniveau van de printer ? Het enige wat je daaruit kan opmaken is dat de printer werkt, niet of de printer afdoende beveiligd is ?
14-12-2009, 17:44 door Syzygy
Door jopiter: "Wat ook wel lucratief is, is een groot document printen en het dan bij de printer gaan staan lezen en "en passant" ook alles wat er verder door anderen uitgeprint wordt ook te lezen."

Wat zegt dat in hemelsnaam over het beveiligingsniveau van de printer ? Het enige wat je daaruit kan opmaken is dat de printer werkt, niet of de printer afdoende beveiligd is ?

Zeker maar het is wat makkelijker dan een Hub en een PC plaatsen

De vraag van de vraagsteller is Netwerk printer sniffen/benaderen

BENADEREN !!!!
14-12-2009, 18:30 door wizzkizz
Door jopiter: "Wat ook wel lucratief is, is een groot document printen en het dan bij de printer gaan staan lezen en "en passant" ook alles wat er verder door anderen uitgeprint wordt ook te lezen."

Wat zegt dat in hemelsnaam over het beveiligingsniveau van de printer ? Het enige wat je daaruit kan opmaken is dat de printer werkt, niet of de printer afdoende beveiligd is ?
Het zegt wel wat over de beveiliging van de printer. Voor vertrouwelijke documenten wil je dat je bij de printopdracht een pincode heb/toegewezen krijgt die je op de printer moet intoetsen voordat het document eruit komt. Anders kan iemand in de tijd die jij nodig hebt om van je werkstation naar de printer te lopen, de boel fotograferen/lezen en misschien zelfs wel kopiëren als je weinig printers hebt/opgehouden wordt door collega/whatever.

Met die pincode wil je ook voorkomen dat iemand het document op de harde schijf van de printer kan vinden en dan zomaar kan uitprinten. Daarvoor moet iemand dan eerst weer die code hebben, als het überhaupt al mogelijk is (liever niet dus!).

Het is dus een aspect, uiteraard zijn er veel meer aanvalsvectoren die je moet analyseren, maar het is imo een terecht punt.
14-12-2009, 18:49 door jopiter
"Het zegt wel wat over de beveiliging van de printer. Voor vertrouwelijke documenten wil je dat je bij de printopdracht een pincode heb/toegewezen krijgt die je op de printer moet intoetsen voordat het document eruit komt."

Jij gaat dan naast de printer staan wachten totdat iemand iets print ? Ik zou om dat te weten te komen de instellingen van de printer nalopen. Wat heeft het printen van een groot document, of het lezen van print-outs van collega's, van doen met de vraag of de printer beveiligd is, en of je een pincode nodig hebt om bepaalde documenten uit te kunnen printen ?

"Met die pincode wil je ook voorkomen dat iemand het document op de harde schijf van de printer kan vinden en dan zomaar kan uitprinten."

Het probleem met die optie is op de meeste printers dat die pincode enkel van toepassing is wanneer je bij het apparaat staat en deze bedient, terwijl de printer vaak ook via het netwerk te benaderen is (http, ftp, telnet), waarbij die pincode helemaal niet nodig is om op de printer aan te loggen, waarna je controle hebt over de printer en de print jobs die op de harde schijf van de printer staan. Als er al sprake is van authenticatie, dan gaat het dikwijls om de default accounts die met de printer worden meegeleverd.
14-12-2009, 18:57 door wizzkizz
Door jopiter: "Het zegt wel wat over de beveiliging van de printer. Voor vertrouwelijke documenten wil je dat je bij de printopdracht een pincode heb/toegewezen krijgt die je op de printer moet intoetsen voordat het document eruit komt."

Jij gaat dan naast de printer staan wachten totdat iemand iets print ? Ik zou om dat te weten te komen de instellingen van de printer nalopen. Wat heeft het printen van een groot document, of het lezen van print-outs van collega's, van doen met de vraag of de printer beveiligd is, en of je een pincode nodig hebt om bepaalde documenten uit te kunnen printen ?

"Met die pincode wil je ook voorkomen dat iemand het document op de harde schijf van de printer kan vinden en dan zomaar kan uitprinten."

Het probleem met die optie is op de meeste printers dat die pincode enkel van toepassing is wanneer je bij het apparaat staat en deze bedient, terwijl de printer vaak ook via het netwerk te benaderen is (http, ftp, telnet), waarbij die pincode helemaal niet nodig is om op de printer aan te loggen, waarna je controle hebt over de printer en de print jobs die op de harde schijf van de printer staan. Als er al sprake is van authenticatie, dan gaat het dikwijls om de default accounts die met de printer worden meegeleverd.
Uiteraard wordt hier een aanvalsvector bedoeld die je in de smiezen moet hebben, je hoeft dit uiteraard niet zelf te doen maar moet er voor zorgen dat dit niet voor kan komen.

Het remote kunnen inloggen op de printer en zo onversleutelde documenten in handen kunnen krijgen is een andere aanvalsvector, die je dus ook moet onderzoeken. Maar dat neemt niet weg dat de eerder genoemde aanvalsvector van het lokaal her-afdrukken wel degelijk relevant is. Je kunt het nog zo goed beveiligen tegen het remote uitlezen, als je het lokaal opnieuw kan uitprinten helpt dat alsnog niet heel erg veel.

Voor wat die pincode betreft, ik kan me ook voorstellen dat je een alfanumerieke code krijgt per printjob, die tegelijk dient als sleutel voor de encryptie. Niet goed genoeg voor staatsgeheime documenten, wel voldoende voor de meeste vertrouwelijke documenten in bedrijven.

Dat laatste is natuurlijk essentieel om mee te nemen in onderzoeken naar beveiliging. Wat is de uitslag van het kosten/baten plaatje? Een maatregel die je 100K per jaar kost op een geschat risico van 10K is niet reëel. Welke mate van vertrouwelijkheid vind je wenselijk?
14-12-2009, 19:59 door [Account Verwijderd]
[Verwijderd]
14-12-2009, 20:24 door PeterBD
Door psam:
Gezien vaak bestanden ontversleuteld naar de netwerkprinter gestuurd wordt, was 1 van de onderzoeksvragen om dit te onderzoeken...
Mijn vraag is dan ook:

Hoe is het mogelijk om een netwerkprinter te sniffer?

Ik ben er al een tijd naar opzoek, maar er is niet veel over te vinden...
als je een printje maakt wordt deze tijdelijk in c:\windows\system32\spool verwerkt en vervolgens verstuurd naar de netwerk printer bijv. via poort 9100 raw printing.


De meeste netwerk printers hebben vaak ook een ingebouwde hardeschijf, deze zijn vaak op basis van sambashare/NRG, hoe is het mogelijk om deze te benaderen?

(Type printer: N RG MP C2500 PS)
Het is mogelijk om netwerkverkeer te snifffen, dus ook het verkeer naar een printer.
Als je gevraagd bent een securitytest te doen, ga ik er vanuti dat je bekend met bent arp-poisening.
Sniffen gaat goed met WIreshark en gegevens inzichtelijk maken met het perlscript chaosreader.
Volgens mij haalt chaosreader printopdrachten uit de data, maar dat weet ik niet zeker.
Doorgaans zijn printopdrachten wel in plaintext in Wireshark te vinden, dus als het je alleen om de informatie gaat, dan is dat voldoende.
15-12-2009, 14:27 door Anoniem
Lijkt me verstandig om naast je onderzoek ook een risico analyse uit te voeren. Zeker bij multifunctionals heb je een hoop potentiële gevaren. Je wilt uiteindelijk toch maatregelen gaan implementeren die hout snijden.

Kijk eens op de website van Enisa (zoekterm secure printing)
15-12-2009, 14:30 door Anoniem
Guys guys guys ... ophef om lik mn vestje
Netwerkprinter aangesloten ...
... naar je hub/switch ...
... client geeft opdracht ...
... client gaat ff lekker "sniffen" ...
Valt weinig te sniffen als die hele mik niet aangesloten is op je server ... toch?
sniff dan je server, alle communicatie gaat neem ik aan via deze
En zo dus ook de sercurity van je gehele netwerk
Los van dat, die hub is maar een dom doosje
en we gaan toch geen doosjes sniffen??? alhoewel :)

stelletje stiekeme sniffers ;)
15-12-2009, 15:56 door Preddie
printserver spoofen en sniffen op de bak waarmee je het ip/mac van de printserver spoofd ...

Maareh .... vraagje .... hoe wil jij een betrouwbare security onderzoek doen als je zelf nog niet eens de basics kent ?
15-12-2009, 16:32 door Anoniem
snmp
15-12-2009, 18:34 door Syzygy
Door Anoniem: snmp

JA wat is daar mee ?

Daar kun je dus bepaalde performance items van de printer uitlezen maar niet de bestanden/documenten hoor !!
16-12-2009, 00:04 door Anoniem
Ik zou gewoon je gok in de printerlade douwen en een diepe snuif nemen
Anders heb ik nog wel eenpaar oude sokken ;)
Ben je gegarandeerd genezen van het idee dat je wilt "sniffen"
So ... please close topic
16-12-2009, 09:23 door Anoniem
Even half off topic:
Het is niet pronouncious mode, maar promiscuous mode.

On topic:
Printer security hangt idd samen met de security op de clients die er documenten naar toe sturen. Als je toegang tot de printer kan beperken tot enkel de clients in het KA netwerk is daar al veel gewonnen.

Naast secure printen (versleutelde bestanden naar de printer, een pin-code om de printjob uit te laten voeren, etc) beperkt printer security zich tot het moment dat de printer de deur uit gaat. Dan moet je de harde schijf meerdere keren overschrijven of vernietigen.
16-12-2009, 11:54 door Anoniem
Het is veel interessanter om koppelingen met het netwerk te bekijken (zoals LDAP koppelingen) en het account dat daarbij gebruikt word. Vaak worden deze credentials in clear text over het netwerk verstuurd. Kerberos authenticatie word veelal niet gebruikt.

Met die credentials kun je je weer richten op andere zaken.
16-12-2009, 16:36 door Anoniem
Je pakt een schroevedraaier en haalt de harde schijf eruit

of je neemt de printer mee.
16-12-2009, 23:34 door Anoniem
doordat je doelstelling niet duidelijk is ben je misschien niet op de juiste manier bezig door simpel weg het verkeer te sniffen.

waarom wil je sniffen.. ja het verkeer gaat niet encrypted over het kabeltje maar als dit verkeer het pand niet uit gaat .. who cares.
( ps voor de bijdehandjes, indien er wireless ACP zijn dan moeten die natuurlijk wel goed afgeschermd zijn naar de buitenwereld maar dat is geen probleem van de printer maar van de acp beheerder)
verder moet er heel wat gebeuren indien iemand je lijntje wilt sniffen diegene moet toegang op je netwerk hebben een printerport op portmonitoring kunnen zetten enz enz kortom het is veel belangrijker dat het netwerk zelf van de juiste security settings is voorzien wil je sniffen door "derden"voorkomen dan dat je je printerverkeer gaat encrypten.

als je iets met printersecurity wilt doen moet je eerst duidelijk hebben wat het doel is van de printersecurity.

zijn de printjes die er uitkomen wel confidential ? ( security is leuk maar kost wel geld)
komen de printjes uit een printer die in een openbare ruimte staat ? ( dwz dat anderen dan werknemers erbij kunnen, klanten bijvoorbeeld)
worden er prints opgeslagen op de printer ? ( HD's)

als je bijvoorbeeld een printer hebt die niet in een openbare ruimte staat en er komt niet veel confidentials uit dan moet je niet al te moeilijk doen met de security. pincodes e.d is zonde van het geld.
wat je kan doen is een protocol opstellen dat iedereen binnen 30 min zijn print outs moet ophalen.


als de printer in een openbare ruimte staat dan is het zeker zo dat je met zoiets als pincodes moet gaan werken

als er veel confidential informatie uit de printer komt ( zelfs confi voor de andere werknemers ) kun je overwegen om daar een andere printer voor te gebruiken en deze in een andere ruimte te plaatsen.
vaak zijn het op een afdeling maar 1 of 2 personen die confidential data printen en zij zitten dan ook nog eens vaak op een eigen kantoor.. dus dan een kleine printer bij hun op de kamer en klaar.

softwarewise kun je altijd wat checks uitvoeren.

is de printer te benaderen via de standaard connectie manieren en zo ja zit er een userid /pw op ( niet het default)
( connectie manieren bedoel ik mee ftp telnet https http ssh misschien zelfs wel rdp)
indien van toepassing zit het laatste codelevel op de printer.
hoe is de printserver eigenlijk beveiligd ? is daar een apart non-shared userid..

kortom vragen vragen vragen.

Security is een must maar wel op de juiste plek en op de juiste manier anders is het either way weg gegooid geld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.