Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Zabezpečení síťových tiskáren

Zdravím,
Obracím se s žádostí o pomoc především na odborníky přes sítě.
Věc se má tak: máme ve firmě několik síťových tiskáren/kopírek a tyto mají všechny veřejné IP adresy (právě tak jako všechny PC stanice..).Veškerá komunikace probíhá systémem "peer-to-peer", tedy tisk z jednotlivých PC probíhá prostřednictvím síťového portu "vytvořeného" při instalaci, což není vůbec dobré řešení s ohledem na bezpečnost. Stalo se totiž to, že jednoho rána byl "vyjetý" a potisklý celý zásobník papíru.
Chtěl bych tento problém řešit tiskovým serverem.. buď s Linuxem (CUPS) nebo s Windows XP Professional (omezení počtu tiskových připojení na 10 není na závadu..)
Problémem ale zůstává, že tiskárny i PC ve funkci print serveru jsou připojeny do stejné otevřené sítě a tedy kdokoli se může na libovolnou tiskárnu stejně připojit a IMHO je třeba to nakonfigurovat tak aby Tiskový server stál " v cestě" všem tiskovým zařízením.
Dá se to nějak řešit bez toho, že by zabezpečení nebo lépe samotný tiskový server bylo nutno mít už na nadřazeném serveru poskytovatele?
Děkuji za odpovědi a omlouvám se za případné nepřesnosti ve výkladu...

Předmět Autor Datum
to fakt mate na tlaciarnach a PC verejne IP? V tom pripade by firewall, ktory chrani celu siet mal b… nový
nl12345 08.02.2012 17:13
nl12345
No já doufám, že také je. Ale jsme součástí rozsáhlé veřejné sítě a mohlo se jednat o průnik z jinéh… nový
Petr_70 08.02.2012 17:46
Petr_70
většina printserverů tiskáren má možnost filtrování paketů - to je to nejrychlejší a nejjednodušší ř… nový
touchwood 08.02.2012 18:20
touchwood
Děkuji za odpověď. K tomu několik věcí: většina printserverů tiskáren má možnost filtrování paketů… nový
Petr_70 09.02.2012 11:01
Petr_70
Protože v těchto věcech asi nemám odpovídající znalosti, chci se zeptat. Jak jsem naznačil ve svém p… nový
nl12345 09.02.2012 11:06
nl12345
dva síťové adaptéry a na tom neveřejném budou všechna tisková zařízení.. Pokud nebude možné řešení v… nový
touchwood 09.02.2012 12:14
touchwood
Děkuji za upřesnění. Upřednostňuji řešení na úrovni firewallu, bude-li to v krajním případě nutné, p… nový
Petr_70 09.02.2012 12:31
Petr_70
jsme součástí rozsáhlé veřejné sítě ..... máme ve firmě Protože v těchto věcech ... nemám odpovídaj… nový
Joseph 09.02.2012 11:40
Joseph
Mám věci kolem IT ve firmě na starosti, jinými slovy je to součást mojí pracovní náplně, tak se pros… nový
Petr_70 09.02.2012 12:05
Petr_70
Joseph napsal: Zíadny samouk nemá co zasahovať a nemá co mať právo zasahovať do akeho koľvek nastav… poslední
plevel 09.02.2012 13:17
plevel

většina printserverů tiskáren má možnost filtrování paketů - to je to nejrychlejší a nejjednodušší řešení.

Druhý postup viz fleg - tj. korektně nastavený firewall (např. stačí blokovat typické porty tiskáren, tj. 9100/TCP a 515/TCP)

Další varianta je printserver s dvěma rozsahy (jeden neroutovatelný, např. 192.168.1.0/24) a přenastavení IP adres tiskáren do tohoto rozsahu. Tím tiskárny pro všechny PC "zmizí", s výjimkou print serveru.

Poslední varianta je, že místo print serveru nastavíš IP alias všem počítačům a zároveň jim změníš cíle pro lokální fronty (IP adresy tiskáren přenastavíš jako u předchozího případu).

Děkuji za odpověď.

K tomu několik věcí:

většina printserverů tiskáren má možnost filtrování paketů - to je to nejrychlejší a nejjednodušší řešení.

Tohle bylo první, o co jsem se zajímal, ale bohužel žádné z tiskových zařízení tuto možnost nemá (ve svém web serveru). Proč to není tak jak píšete si vysvětluji tím, že se nejedná o plnohodnotný "printserver" ale jen síťový port (9100/TCP, lpr 515/TCP).

Druhý postup viz fleg - tj. korektně nastavený firewall (např. stačí blokovat typické porty tiskáren, tj. 9100/TCP a 515/TCP)

Protože v těchto věcech asi nemám odpovídající znalosti, chci se zeptat. Jak jsem naznačil ve svém předchozím příspěvku je možné na firewalu nadřazeného serveru nastavit blokování portů 9100/TCP a 515/TCP nejen "zvenčí" ale i z okolních subnetů sítě do naší 158.194.76.0/24 , případně její části?

Další varianta je printserver s dvěma rozsahy (jeden neroutovatelný, např. 192.168.1.0/24) a přenastavení IP adres tiskáren do tohoto rozsahu. Tím tiskárny pro všechny PC "zmizí", s výjimkou print serveru.

Takže se vlastně jedná o řešení podobné "ICS", tj. dva síťové adaptéry a na tom neveřejném budou všechna tisková zařízení.. Pokud nebude možné řešení výše, udělám to tak.

Děkuji předem za odpověď.

Protože v těchto věcech asi nemám odpovídající znalosti, chci se zeptat. Jak jsem naznačil ve svém předchozím příspěvku je možné na firewalu nadřazeného serveru nastavit blokování portů 9100/TCP a 515/TCP nejen "zvenčí" ale i z okolních subnetů sítě do naší 158.194.76.0/24 , případně její části?

Ano, dolezite je, aby si vsetku prevadzku smerom do vaseho subnetu prehanal cez ten firewall.

dva síťové adaptéry a na tom neveřejném budou všechna tisková zařízení.. Pokud nebude možné řešení výše, udělám to tak.

dva adaptéry nejsou potřeba. Windows i Linux (stejně tak BSD) umí IP aliasing, tj. nastavit více růných IP adres na jedno fyzické (např. ethernetové) rozhraní. Nicméně je to to nejméně šťastné řešení.

jsme součástí rozsáhlé veřejné sítě ..... máme ve firmě

Protože v těchto věcech ... nemám odpovídající znalosti,

Netuším co môže byť rozsáhlá veřejné síť ..... ve firmě .

Sieť vo firme je privátna záležitosť a bezpečnosť a práva prístupu rieši administrátor siete. Interný zamestnanec alebo externý dodávateľ služby.

Zíadny samouk nemá co zasahovať a nemá co mať právo zasahovať do akeho koľvek nastavenia počítača a siete. Jak sa taký umelec nájde, je to na okamžitý VYHADZOV. Bez pardonu.

Ak sa dejú narušenia a záhadné javy, je to vecou administrátora a managmentu firmy a Tebe to môže byť a má byť ukradnuté. Nahlásiš to a konec pre Teba. Si zamestnanec a staraj sa o to co je tvojou pracovnou náplňou, z nebe trebárs nech trakare padají.

Mám věci kolem IT ve firmě na starosti, jinými slovy je to součást mojí pracovní náplně, tak se prosím uklidněte.
Jinak to, že nemám zkušenosti s konfigurací firewalu, otevřeně přiznávám a také se ve svém volném čase snažím tyto mezery ve vzdělání doplnit. Ale hlavně má tohle na starosti někdo úplně jiný a s tím to také budu řešit.
Takže asi tak, pokud nemáte nic věcného k řešení uvedeného problému, nebudu se k tomuto už dál vyjadřovat.

Ostatním samozřejmě děkuji za pomoc.

 Joseph napsal: Zíadny samouk nemá co zasahovať a nemá co mať právo zasahovať do akeho koľvek nastavenia počítača a siete. Jak sa taký umelec nájde, je to na okamžitý VYHADZOV. Bez pardonu.

...u nás dotyčného "samouka" povýšili na místo admina, ten byl lempl, tak vyletěl..je zajímavé, že ubylo problémů, vše šlape, boreček se snaží, vzdělání na to má, jen byl na blbém postu...upozornil vedení na možné chyby v IT a byl vyslyšen - holt není šéf jako šéf....:-)

Zpět do poradny Odpovědět na původní otázku Nahoru