Chateaurel GmbH Chateaurel GmbH
Transcription
Chateaurel GmbH Chateaurel GmbH
Rheinlandtreffen 8. November 2006 Chateaurel GmbH Sicherheit beim Drucken © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 1 Chateaurel GmbH SafeCom Vertretung für Deutschland Hewlett-Packard IPG Solution Business Partner HP Lösungsintegrator Schwerpunkte - Sicheres Drucken - Authentifizierung & Verschlüsselung - Kostenabrechnung Hendrik Herberger © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 2 www.decus.de 1 Rheinlandtreffen 8. November 2006 HP SPI • HP Secure Printing Initiative • Eine Aufgabe der HP SPI ist das Sicherheitsbewusstsein beim Drucken, Kopieren uns digitale Senden zum Kunden zu bringen • Chateaurel und VigiTrust sind Partner der HP SPI • VigiTrust ist spezialisiert auf IT-Sicherheit © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 3 Roadmap Lösungen zum sicheren Drucken • Sicherheitsgrundsätze • Sicherheitsrisiken • CIA-Grundsatz • Authentifizierung • Verschlüsselung • Druckkosten © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 4 www.decus.de 2 Rheinlandtreffen 8. November 2006 Sicheres Drucken Wozu Sicherheit beim Drucken? Zugriff auf vertrauliche Dokumente Druckjobs sniffen HardwareDiebstahl © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Verändern der Geräteeinstellungen Aufdecken von Information Rechtliche Anforderungen Sicheres Drucken · Folie 5 Sicherheitsgrundsätze Was umfasst die Unternehmenssicherheit? Sicherheitsrichtlinien Sicherheitsbewußtsein der Anwender © 2006 · Hendrik Herberger · Technische Lösung Chateaurel GmbH · Germany Sicheres Drucken · Folie 6 www.decus.de 3 Rheinlandtreffen 8. November 2006 Sicherheitsgrundsätze Es ist alles eine Frage des Bewusstsein „Ich werde nie Kinder haben. Ich habe gehört, die brauchen neun Monate zum Herunterladen.“ © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 7 Sicherheitsrisiken Wie verwundbar kann die Druckumgebung sein? • Wie viel Aufmerksamkeit widmen Anwender Ihren Druckjobs? – Ausdrucke werden nicht am Drucker abgeholt – Mehrere Exemplare werden gedruckt, obwohl nur eines benötigt wird – Anwender können nicht unterstützte Drucker anschließen und installieren – Anwender können ohne Zugriffserlaubnis an MFPs Dokumente scannen, kopieren, faxen und e-mailen • Wie viel Aufmerksamkeit widmen Organisationen Ihrem Druckumfeld? – Gewöhnlich nur kostenseitig getrieben, erst später Sicherheitsbedenken – Organisationen können nur selten ihr Druckumfeld erfassen (Gerätetypen, Verhältnis Anwender/Geräte, MFP-Funktionen, usw…) – Druck- und MFP-Rechte werden nicht zentral verwaltet © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 8 www.decus.de 4 Rheinlandtreffen 8. November 2006 Sicherheitsrisiken Wussten Sie….? • dass administrativer Telnet-Zugriff auf den meisten HP JetDirect Netzwerkdruckern offen ist, und dieser übrigens standardmäßig nicht passwortgeschützt ist. SNMP, FTP und HTTP Zugriffe sind ähnlich verwundbar. telnet <hostname> 9100 @PJL OPMSG DISPLAY=„Gerätefehler 49.000! Bitte Support verständigen.“ <ENTER> • Gerät geht offline und zeigt Support-Meldung an © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 9 Sicherheitsrisiken Wussten Sie….? dass Anleitungen zum Drucker “hacken” im Internet verbreitet sind. Dort erhalten Sie Informationen wie: h2 – Druckjobs sniffen und noch mal ausführen – Administrationseinstellungen ändern – Willkommensseite des Administrators “hacken” – Drucker als Zombies konfigurieren (um weitere Angriffe durchzuführen) – Suchen nach gespeicherten Druckjobs und Faxe – Schauen Sie z.B. auf www.irongeek.com! © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 10 www.decus.de 5 Slide 10 h2 later Hendrik more hendrik, 11/7/2006 Rheinlandtreffen 8. November 2006 Sicherheitsrisiken Beispiele gefällig….? • Tool Phenoelit Hijetter (http://www.phenoelit.de/hp/) • Nur IP-Adresse oder HOST-Name benötigt • Zugriff selbst auf passwortgeschütze Geräte © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 11 Sicherheitsrisiken Beispiele gefällig….? Tool Phenoelit Hijetter: 1. Drucker und MFPs Fehler und falsche Meldungen anzeigen lassen © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 12 www.decus.de 6 Rheinlandtreffen 8. November 2006 Sicherheitsrisiken Beispiele gefällig….? Tool Phenoelit Hijetter: 1. Drucker und MFPs Fehler und falsche Meldungen anzeigen lassen © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 13 Sicherheitsrisiken Beispiele gefällig….? Tool Phenoelit Hijetter: 2. Standard-Einstellungen der Drucker und MFPs ändern © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 14 www.decus.de 7 Rheinlandtreffen 8. November 2006 Sicherheitsrisiken Beispiele gefällig….? Tool Phenoelit Hijetter: 3. Zugriff auf gespeicherte Dokumente der Drucker- und MFP-Festplatte © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 15 Sicherheitsrisiken Beispiele gefällig….? Tool Phenoelit Hijetter: 3. Zugriff auf gespeicherte Dokumente der Drucker- und MFP-Festplatte © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 16 www.decus.de 8 Rheinlandtreffen 8. November 2006 Sicherheitsrisiken Beispiele gefällig….? Tool Phenoelit Hijetter: 3. Zugriff auf gespeicherte Dokumente der Drucker- und MFP-Festplatte ´ -> TIFF eines gesendeten Fax © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 17 Security Checklist NIST Security Checkliste für HP MFP • Einstellungen am Gerät – – – – – Passwort vergeben Access Control List Web Server (HTTP) Zugriff verweigern Authentifizierung Sichere Festplattenlöschung • Einstellungen über HP Web Jetadmin – – – – SNMPv3 verwenden SSL verwenden Ungenutzte Protokolle (z.B. FTP, Telnet) abschalten Ungenutzte Ports schließen © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 18 www.decus.de 9 Rheinlandtreffen 8. November 2006 Sicherheitsgrundsätze Sicherheitsgrundsätze Confidentiality - Geheimhaltung Integrity - Vollständigkeit Availability - Verfügbarkeit Verantwortlichkeit © 2006 · Hendrik Herberger · Quelle: VigiTrust Best Practice Security Framework Chateaurel GmbH · Germany Sicheres Drucken · Folie 19 Traditioneller Druck Drucken heute – Push Print Windows Server ”Push” Confidentiality - Geheimhaltung Integrity - Vollständigkeit Availability - Verfügbarkeit Verantwortlichkeit © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 20 www.decus.de 10 Rheinlandtreffen 8. November 2006 Confidentiality Confidentiality - Vertraulichkeit Authentifizierung Druckausgabe in Anwesenheit des Benutzers -> Persönlicher Druck auf Zentralgeräten -> Keine sensiblen Daten im Ausgabefach der Drucker/MFPs © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 21 Confidentiality Pull Print – privater Druck SafeCom Windows Server Pool Karte zeigen / user code eintippen Rec z und/oder PIN Dokumente wählen ”Pull” © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 22 www.decus.de 11 Rheinlandtreffen 8. November 2006 Confidentiality © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 23 Confidentiality Referenzen Pull Print / Authentifizierung - hohe Sicherheitsanforderungen von ebay - Kartensystem war bereits implementiert - Nun europaweite Erweiterung auf das Drucken SafeCom Go auf HP LJ 9040mfp Besonderes: - Gästekarten - Hohe Fluktuation © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 24 www.decus.de 12 Rheinlandtreffen 8. November 2006 Integrity Sicherheitslücke: Druckjobs abhören Welcher Drucker? – Konfigurationsseite – via SNMP-Tool (z.B. HP WebJetAdmin) – nmap (Portscanner) “ nmap -A 192.168.1.*“ – Google “inurl:hp/device/this.LCDispatcher” © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 25 Integrity Sicherheitslücke: Druckjobs abhören © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 26 www.decus.de 13 Rheinlandtreffen 8. November 2006 Integrity Sicherheitslücke: Druckjobs abhören • Tool – Ettercap (http://ettercap.sourceforge.net/) Aufzeichnen von Netzwerkströmen per ARP Spoofing © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 27 Integrity Sicherheitslücke: Druckjobs abhören © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 28 www.decus.de 14 Rheinlandtreffen 8. November 2006 Integrity Sicherheitslücke: Druckjobs abhören • Tool – Ettercap (http://ettercap.sourceforge.net/) Aufzeichnen von Netzwerkströmen per ARP Spoofing – Ethereal (http://www.ethereal.com) Sortieren und Filtern von Netzwerkströmen © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 29 Integrity Sicherheitslücke: Druckjobs abhören © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 30 www.decus.de 15 Rheinlandtreffen 8. November 2006 Integrity Sicherheitslücke: Druckjobs abhören • Druckströme filtern und öffnen © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 31 Integrity Sicherheitslücke: Druckjobs abhören © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 32 www.decus.de 16 Rheinlandtreffen 8. November 2006 Integrity Sicherheitslücke: Druckjobs abhören © 2006 · Hendrik Herberger · Quelle: www.irongeek.com Chateaurel GmbH · Germany Sicheres Drucken · Folie 33 Integrity Sicherheitslücke: Druckjobs abhören • Druckströme filtern und öffnen • Druckströme an anderem Gerät ausgeben © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 34 www.decus.de 17 Rheinlandtreffen 8. November 2006 Integrity Sicherheitslücke: Druckjobs abhören © 2006 · Hendrik Herberger · Quelle: www.irongeek.com Chateaurel GmbH · Germany Sicheres Drucken · Folie 35 Integrity Sicherheitslücke: Druckjobs abhören • Druckströme filtern und öffnen • Druckströme an anderem Gerät ausgeben oder am Bildschirm anzeigen lassen z.B. mit Tool EscapeE™ von RedTitan © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 36 www.decus.de 18 Rheinlandtreffen 8. November 2006 Integrity Sicherheitslücke: Druckjobs abhören © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 37 Integrity Sicherheitslücke: Druckjobs abhören © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Quelle: www.irongeek.com Sicheres Drucken · Folie 38 www.decus.de 19 Rheinlandtreffen 8. November 2006 Integrity Integrity - Datenintegrität • Schützt Dokumente vor unberechtigten Betrachtern und Manipulation • Verschlüsselung der Daten von der Workstation bis zum Drucker Pool Am Server immer verschlüsselt Rec z Verschlüsselung am Client © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Entschlüsselung am Drucker/MFP Sicheres Drucken · Folie 39 Referenzen Integrity Pull Print / Authentifizierung / Verschlüsselung - höchste Vertraulichkeit der Ausdrucke - verschlüsseltes ‚Roaming‘ der Druckjobs - sichere Verschlüsselungstechnik - Druckjobs werden länderübergreifend gedruckt und abgeholt © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 40 www.decus.de 20 Rheinlandtreffen 8. November 2006 Availablity Availablity - Verfügbarkeit SafeCom Windows Server Pool Rec z ”Pull” © 2006 · Hendrik Herberger · für nahezu jeden Drucker am Markt Chateaurel GmbH · Germany Sicheres Drucken · Folie 41 Referenzen Dokument folgt dem Benutzer Availablity Pull Print / Authentifizierung / Restricted Access - privater Druck muss gewährleistet werden - hohe Sicherheitsanforderungen - Lösung muss hochverfügbar sein Besonderes: - Benutzer dürfen nur an bestimmten Geräten drucken © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 42 www.decus.de 21 Rheinlandtreffen 8. November 2006 Accountability Verantwortlichkeit Zugriffskontrolle …erst nach Authentifizierung stehen: • Druckjobs • Kopierfunktion • Send-to-email / Send-to-folder • Fax zur Verfügung… © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 43 Accountability Verantwortlichkeit Der Versender wird fest übernommen verhindert Identity Spoofing (Identitätsübernahme) © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 44 www.decus.de 22 Rheinlandtreffen 8. November 2006 Accountability Verantwortlichkeit Überwachen des Druckergebrauchs Druckerund Kopierergebrauchs Windows Server Pool Rec z Kopienkontrolle Embedded für HP Externe Lösungen für Canon, Xerox, Sharp, Ricoh, Kyocera Mita, Konica Minolta, Océ u.a. © 2006 · Hendrik Herberger · Rec z Chateaurel GmbH · Germany Sicheres Drucken · Folie 45 Tracking Accountability Verantwortlichkeit SafeCom Reports • User Statistics Weiterverarbeitung • Billing Statistics SafeCom trackt Daten für • Printer Statistics • Crystal Reports • Job List • SAP aufgezeichnete Daten • TrackingID • DeviceMac • ComputerName • DeviceID • ExportTrackingID • DeviceName • TransactionID • DeviceLocation • AccountingModelUsed • DeviceIpAddr • StartDate • DeviceSupportsDuplex • StopDate • DeviceSupportsColor • TrackingState • DeviceModel • TrackingPageCount • DriverName • ParserPageCount • JobPageFormat • DriverPageCount • JobIsDuplex • JobSubmitLogon • JobIsColor • JobName • BillingClient • JobDate • BillingAccount • JobSize • JobPrice • UserID • JobType • UserDomainID • PageCountStatus • UserLogon • UserAccountingModel • FullName • UserNodeID • Description • DeviceNodeID • Email • etc © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 46 www.decus.de 23 Rheinlandtreffen 8. November 2006 SafeCom Druckkosten abrechnen • Kostenzuweisung für gedruckte und kopierte Seiten • Zuweisung der Abteilungen / Kostenstellen (Import der Organisationseinheiten aus dem AD, eDirectory, etc.) • Kostenzuweisung auch von dezentralen Druckern • Jeder Drucker hat ein eigenes Abrechnungsmodell • Feste Preise für bestimmte Druckjobs • Optimierung der Druckerstandorte durch Auslastungskontrolle • Prepaid-Druck möglich © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 47 Referenzen BDI Pull Print / Authentifizierung / Tracking - Steigende Kosten für Sender- und Druckerreparaturen - Definierte Workflows weiter verfeinern - Auslaufende Kopiererverträge SafeCom Go auf HP LJ 9040mfp/9050mfp/9500mfp Besonderes: - Anpassung SafeCom © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 48 www.decus.de 24 Rheinlandtreffen 8. November 2006 SafeCom Druckkosten reduzieren • persönlicher Druck auf zentralen Geräten -> einfachere Umsetzung einer Balanced Deployment-Strategie • Überwachen der Druckjobs • Nicht abgeholte Druckjobs werden ungedruckt gelöscht • Keine aufwendige Entsorgung nicht abgeholter Druckjobs • Regelgestütztes Drucken, z.B. eMails in EconoMode, Benutzergruppen xy nur s/w • Einfachere Administration • Erfahrungen mit weniger Helpdesk-Calls © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 49 Stimmen zu SafeCom © 2006 · Hendrik Herberger · SafeCom • Die Skalierbarkeit der SafeCom-Lösung ist marktführend • Der SafeCom Server ist die robusteste Software auf dem Markt • SafeCom ist das flexibelste System auf dem Markt … durch die Einbindung der APIs • Die SafeCom-Lösung beinhaltet das umfassenste Toolset für Performance auf dem Markt • SafeCom erhielt auf der 2006 Worldwide IPG Solution Partner Conference den Outstanding HP Partner Award Chateaurel GmbH · Germany Sicheres Drucken · Folie 50 www.decus.de 25 Rheinlandtreffen 8. November 2006 Sicheres Drucken Zusammenfassung - Sicheres Drucken Drucker & MFPs sind wie Server zu behandeln kontrolliertes Druckumfeld © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 51 Sicheres Drucken Zusammenfassung - Sicheres Drucken • Drucker und MFP in das Sicherheitskonzept/Richtlinien einbeziehen • Maßnahmen die sofort greifen umsetzen – Paßwörter vergeben, z.B. für den EWS – aktuelle Protokolle mit Sicherheitsfeatures verwenden, z.B. SNMP v3, IPSec, IPP – nicht verwendete Ports schließen – sichere Festplattenlöschung – regelmäßig Firmware upgraden (auch Netzwerkkarten) • Authentifizierung per Karte und/oder PIN am Gerät • Verschlüsselung der Druckdaten • Informationen zum Druckauftrag kontinuierlich erfassen © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 52 www.decus.de 26 Rheinlandtreffen 8. November 2006 Sicheres Drucken Zusammenfassung - Sicheres Drucken • Sicherheit geht jeden etwas an • Die technischen Lösungen sind nur so stark wie die Richtlinien und die daraus erstellten Verfahrensweisen – sicheres Drucken sollte in der Sicherheitsstrategie berücksichtigt werden • Denken Sie an das CIA-Konzept! • Um eine Sicherheitsstrategie erfolgreich umzusetzen, muss das Management diese vorantreiben, IT und HR diese implementieren, die Mitarbeiter diese verstehen und einhalten • Fragen? © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 53 Sicheres Drucken weiterführende Informationen – www.hug.de (Lösungsanbieter für Sicherheit beim Drucken) – www.safecom.dk (Drucklösung sicheres Drucken) – www.hp.com/go/security (allgemeine Sicherheit) – www.hp.com/go/secureprinting (Sicherheit beim Drucken) – www.hp.com/go/webjetadmin (Sicherheitsfeatures WJA) – checklists.nist.gov/repository/1087.html (Checkliste LJ 4345MFP) – www.VigiTrust.com (Sicherheitsexperten) – www.irongeek.com/i.php?page=security/networkprinterhacking (Sicherheitslücken) – eMail hh@chateaurel.de oder ac@chateaurel.de © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 54 www.decus.de 27 Rheinlandtreffen 8. November 2006 Vielen Dank für Ihre Aufmerksamkeit! © 2006 · Hendrik Herberger · Chateaurel GmbH · Germany Sicheres Drucken · Folie 55 www.decus.de 28