Drucker im Netzwerk

[HansWurst99]

Hallo Experten

Was muss ich beachten, wenn ich einen Drucker sicher ins Heim-Netzwerk einbinden möchte?

Geht konkret um den MFC-J5730 von Brother, aber die Grundlogiken dürften bei allen Druckern ähnlich sein.

Also, habe eine Fritzbox als Router und eine weitere Fritzbox als WLAN-Repeater und zusätzlichen LAN-Access-Point.

An dieser zweiten Fritzbox soll der Drucker per LAN ins Netzwerk, so dass ich zB vom Smartphone Ausdrucke starten kann, ohne den PC bemühen zu müssen. Das klappt technisch, es geht nur um den Aspekt Sicherheit.

Was muss ich nun beachten um nicht als Zombie im IoT zu landen? Neueste Drucker-Firmware geht klar. Was habt Ihr ansonsten für Ratschläge und Erfahrungen zu dem Thema?

Vielen Dank!

 

[nciht]

Ist der Drucker überhaupt ein IoT-Gerät? Also will der irgendeine Verbindung zum Internet herstellen z.B. zu Brother? Sonst würde ich in der Fritzbox einfach dem Drucker nicht erlauben ins Internet zu gehen, weil wozu bräuchte der das überhaupt?

 

[HansWurst99]

Yep, der will recht fleißig nach Hause telefonieren. Auch für Firmware-Updates. Das ginge natürlich auch über den PC via USB, aber wenn er direkt kann, macht er direkt.

Damit keine Mißverständnisse aufkommen: die Funktion ihn übers Internet anzusteuern brauche ich nicht. Ich möchte nur aus dem heimischen (W)LAN drucken.

 

[Graphixx]

Ein Netzwerkdrucker hat nichts mit IoT zu tun. IoT und die entsprechende Geräte nutzen eigene Protokolle und bewegen sich in einem eigenen Ökosystem.

In Deinem Fall kommt die Sicherheit aus den Einstellungen Deines Heimnetzwerkes, denen muss sich auch der Drucker unterwerfen. Wenn Du also bis jetzt denkst das Dein Netz sicher ist, lass alles wie es ist, häng den Drucker mit rein und gut ist. Und wenn Du dem Gerät gewisse Dinge verbieten willst realisierst Du das am besten ebenfalls über Dein Netzwerk.

MfG

 

[thealex]

Damit keine Mißverständnisse aufkommen: die Funktion ihn übers Internet anzusteuern brauche ich nicht. Ich möchte nur aus dem heimischen (W)LAN drucken.

Dann, wie @Aphelon schon sagte: In den Netzwerkeinstellungen der FritzBox dem Drucker den Internetzugriff verweigern. Fertig.

 

[Mickey Mouse]

also nur für mich um deine "Probleme" zu verstehen:
bisher hast du den Drucker per USB an einem PC betrieben, richtig?
jetzt hast du ihn (testweise?) ins Netzwerk eingebunden?
dabei hast du festgestellt, dass der Drucker selbständig(!) versucht z.B. FW Updates zu laden?!?

noch als Zusatz: der (Treiber) Software auf dem PC vertraust du blind aber dem Drucker nicht?!?

 

[HansWurst99]

MickeyMouse, danke, ja, alles richtig. Zur Firmware ergänzend: ja, war so, wobei erstens "selbständig" relativ ist. Ich musste schon "bestätigen". Und zweitens das nicht mein Punkt ist.

Mir gehts darum, ob ich mir ein zusätzliches Einfallstor für Angriffe von außen aufstelle.

Ergänzung (20. August 2021)

In den Netzwerkeinstellungen der FritzBox dem Drucker den Internetzugriff verweigern.

Ihr meint über "Netzwerkverbindungen" - Drucker "bearbeiten" - Kästchen Internetzugang "Sperren" ...?

 

[BoeserBrot]

Nein, du öffnest mit dem Betrieb des Druckers in deinem internen Netzwerk kein weiteres Einfallstor.

Wenn du ihm gänzlich verbieten möchtest nachhause zum Hersteller zu telefonieren, dann könntest du eine ensprechende Regel in der Firewall der FritzBox einrichten. Falls du zum Drucken mit dem Smartphone Google Cloud Print verwendest, dann wird das mit dieser Einstellung jedoch nicht mehr funktionieren.

Ich sehe hier keinen Handlungsbedarf.

 

[Mickey Mouse]

wie gesagt, ich sehe keinen großen Unterschied (natürlich ist es nicht dasselbe) zwischen:
a) Windows Rechner sucht nach Treibern/FW bei Brother und installiert die auf dem PC und Drucker
b) Drucker sucht bei Brother nach FW und installiert die

ja, man kann sich da ein Angriffsszenario erdenken.
dafür müsste jemand
a) gezielt deinen Internet Verkehr umleiten (dann hast du ein ganz anderes Problem)
b) den/die Server, die vom Drucker angesprochen werden hacken
c) deine DNS Anfragen "so verbiegen", dass andere (kompromittiere) Rechner kontaktiert werden

das ist natürlich alles nicht unmöglich. Aber wie gesagt, wenn sich jemand diesen Aufwand macht und die Wahl hat deinen Drucker zu kapern oder deinen PC, welches Ziel ist wohl attraktiver für potentielle Angreifer, die schon so weit in dein System eingedrungen sind?

aber wenn es die Funktionalität nicht weiter einschränkt, dann kannst du natürlich den Internetzugriff für den Drucker in der Fritzbox wie bereits beschrieben wurde sperren, sicher ist sicher...

 

[h00bi]

Mir gehts darum, ob ich mir ein zusätzliches Einfallstor für Angriffe von außen aufstelle.

Wenn der Drucker mit upnp freigaben arbeitet und wenn die Fritzbox upnp Anfragen für Freigaben vom Drucker akzeptiert, dann (und nur dann) stellst du ein zusätzliches Einfalltor auf.
Wer sich solche Gedanken macht wie du, hat upnp hoffentlich im Router deaktiviert.
Wenn der Drucker nach außen telefoniert passiert sicherheitstechnisch erstmal nichts.

 

[Mickey Mouse]

Wenn der Drucker nach außen telefoniert passiert sicherheitstechnisch erstmal nichts.

wie gesagt, wenn das "außen" kompromittiert wird und man Brother Nachlässigkeit unterstellt (z.B. bei der Zertifikatsprüfung), dann "könnte" man da schon etwas anstellen, völlig abwegig ist das nicht.

 

[chrigu]

Solange du nichts freigibst, nicht installiert oder upnp benutzt, ist die Chance gering, das jemand aus China die tinte auslaufen lässt.

 

[HansWurst99]

noch als Zusatz: der (Treiber) Software auf dem PC vertraust du blind aber dem Drucker nicht?!?

Hab ich nie gesagt 😁 Nochmal, mir gehts nicht um Vertrauen in den Hersteller. Das muss sein. Wenn ich etwa einen Druck vom Smartphone starte, liest seine App auch gewisse (alle?) Daten mit.

Mir gehts darum, ob ich etwas grob falsch machen kann oder aber den Drucker einfach einbinde, alles auf Standardeinstellungen lasse und gut. Lieber frag ich einmal (zu viel), als dass es nachher heißt, Was?! Wie konntest Du nur?!

Ist mein erster Netzwerkdrucker überhaupt. Und ein reines Faulheitsding, die Netzwerk-Druckfunktion zu nutzen. Faulheit ist leider oft genug der Anfang vom Ende der Sicherheit. Angeführt von meinem Lieblingsklassiker ein (schwaches) Passwort für Alles zu nutzen. Pure Faulheit 😁 Aber das ist natürlich ein ganz anderes Thema. Will nicht ablenken.