Zabezpečení síťových tiskáren
Zdravím,
Obracím se s žádostí o pomoc především na odborníky přes sítě.
Věc se má tak: máme ve firmě několik síťových tiskáren/kopírek a tyto mají všechny veřejné IP adresy (právě tak jako všechny PC stanice..).Veškerá komunikace probíhá systémem "peer-to-peer", tedy tisk z jednotlivých PC probíhá prostřednictvím síťového portu "vytvořeného" při instalaci, což není vůbec dobré řešení s ohledem na bezpečnost. Stalo se totiž to, že jednoho rána byl "vyjetý" a potisklý celý zásobník papíru.
Chtěl bych tento problém řešit tiskovým serverem.. buď s Linuxem (CUPS) nebo s Windows XP Professional (omezení počtu tiskových připojení na 10 není na závadu..)
Problémem ale zůstává, že tiskárny i PC ve funkci print serveru jsou připojeny do stejné otevřené sítě a tedy kdokoli se může na libovolnou tiskárnu stejně připojit a IMHO je třeba to nakonfigurovat tak aby Tiskový server stál " v cestě" všem tiskovým zařízením.
Dá se to nějak řešit bez toho, že by zabezpečení nebo lépe samotný tiskový server bylo nutno mít už na nadřazeném serveru poskytovatele?
Děkuji za odpovědi a omlouvám se za případné nepřesnosti ve výkladu...
to fakt mate na tlaciarnach a PC verejne IP? V tom pripade by firewall, ktory chrani celu siet mal byt nutnost.
No já doufám, že také je. Ale jsme součástí rozsáhlé veřejné sítě a mohlo se jednat o průnik z jiného subnetu.
Alespoň si to tak vysvětluji...
většina printserverů tiskáren má možnost filtrování paketů - to je to nejrychlejší a nejjednodušší řešení.
Druhý postup viz fleg - tj. korektně nastavený firewall (např. stačí blokovat typické porty tiskáren, tj. 9100/TCP a 515/TCP)
Další varianta je printserver s dvěma rozsahy (jeden neroutovatelný, např. 192.168.1.0/24) a přenastavení IP adres tiskáren do tohoto rozsahu. Tím tiskárny pro všechny PC "zmizí", s výjimkou print serveru.
Poslední varianta je, že místo print serveru nastavíš IP alias všem počítačům a zároveň jim změníš cíle pro lokální fronty (IP adresy tiskáren přenastavíš jako u předchozího případu).
Děkuji za odpověď.
K tomu několik věcí:
Tohle bylo první, o co jsem se zajímal, ale bohužel žádné z tiskových zařízení tuto možnost nemá (ve svém web serveru). Proč to není tak jak píšete si vysvětluji tím, že se nejedná o plnohodnotný "printserver" ale jen síťový port (9100/TCP, lpr 515/TCP).
Protože v těchto věcech asi nemám odpovídající znalosti, chci se zeptat. Jak jsem naznačil ve svém předchozím příspěvku je možné na firewalu nadřazeného serveru nastavit blokování portů 9100/TCP a 515/TCP nejen "zvenčí" ale i z okolních subnetů sítě do naší 158.194.76.0/24 , případně její části?
Takže se vlastně jedná o řešení podobné "ICS", tj. dva síťové adaptéry a na tom neveřejném budou všechna tisková zařízení.. Pokud nebude možné řešení výše, udělám to tak.
Děkuji předem za odpověď.
Ano, dolezite je, aby si vsetku prevadzku smerom do vaseho subnetu prehanal cez ten firewall.
dva adaptéry nejsou potřeba. Windows i Linux (stejně tak BSD) umí IP aliasing, tj. nastavit více růných IP adres na jedno fyzické (např. ethernetové) rozhraní. Nicméně je to to nejméně šťastné řešení.
Děkuji za upřesnění. Upřednostňuji řešení na úrovni firewallu, bude-li to v krajním případě nutné, podrobnosti o IP aliasingu si dohledám...
Netuším co môže byť rozsáhlá veřejné síť ..... ve firmě .
Sieť vo firme je privátna záležitosť a bezpečnosť a práva prístupu rieši administrátor siete. Interný zamestnanec alebo externý dodávateľ služby.
Zíadny samouk nemá co zasahovať a nemá co mať právo zasahovať do akeho koľvek nastavenia počítača a siete. Jak sa taký umelec nájde, je to na okamžitý VYHADZOV. Bez pardonu.
Ak sa dejú narušenia a záhadné javy, je to vecou administrátora a managmentu firmy a Tebe to môže byť a má byť ukradnuté. Nahlásiš to a konec pre Teba. Si zamestnanec a staraj sa o to co je tvojou pracovnou náplňou, z nebe trebárs nech trakare padají.
Mám věci kolem IT ve firmě na starosti, jinými slovy je to součást mojí pracovní náplně, tak se prosím uklidněte.
Jinak to, že nemám zkušenosti s konfigurací firewalu, otevřeně přiznávám a také se ve svém volném čase snažím tyto mezery ve vzdělání doplnit. Ale hlavně má tohle na starosti někdo úplně jiný a s tím to také budu řešit.
Takže asi tak, pokud nemáte nic věcného k řešení uvedeného problému, nebudu se k tomuto už dál vyjadřovat.
Ostatním samozřejmě děkuji za pomoc.
...u nás dotyčného "samouka" povýšili na místo admina, ten byl lempl, tak vyletěl..je zajímavé, že ubylo problémů, vše šlape, boreček se snaží, vzdělání na to má, jen byl na blbém postu...upozornil vedení na možné chyby v IT a byl vyslyšen - holt není šéf jako šéf....