宁盾打印机网络准入：MAB认证+DACL权限管控

随着物联网IoT技术的发展，打印机也实现了网络互联功能。但由于打印机功能单一，企业没有提供足够的安全保障，以致于网络打印机沦为信息泄漏或网络攻击的跳板。一、 常见与打印机相关的攻击方式；＞伪造打印机IP/MAC地址，对内网发起攻击；＞直接连接目标打印机，比如USB外联设备或内存卡把攻击程序插入到内部网络；＞对打印机开启的端口打印服务进行攻击，如：TelnetFTP等；对此，建议您在网络打印机的入网身份鉴别、访问控制、资产管理及风险终端定位等方面提升打印机的安全防御能力。二、 网络准入方案：通常情况下，办公区打印设备部署于内网，被外网攻击的可能性较小，更多的情况是由企业内部人员伪造打印机IP/MAC地址获取企业核心信息资源。所以针对网络打印机的准入控制的关键在于其访问权限的控制。因此，为您推荐哑终端MAB+ACL权限管控方案。此方案面向打印机数量较少，网络架构简单的环境中，借助交换机为其下发静态ACL访问权限。企业办公环境中，通常不会仅针对交换机单独做准入控制，一般是面向企业办公网的一体化准入方案。打印机准入只是其中的一部分，在整体方案中，根据打印机所处的网络环境如果网络环境较为复杂，为您推荐哑终端MAB认证+DACL（动态）权限管控方案。举其中iIT例子1-某客户背景需求：电脑端内网准入，只允许加入AD域的电脑接入，Linux和Mac电脑需在满足其他合规的条件下，通过AD账号认证之后才可进入企业内网；BYOD、访客外网准入：BYOD及访客需在完成认证后进入企业外网，同时通过策略阻止这些终端进入企业内网；哑终端（打印机）MAB认证+DACL权限管控：预先将打印机导入一体化认证平台（DKEYAM），为异构交换机绑定DACL策略以限制哑终端的准入策略。2.实施方案首先根据企业业务对哑终端的访问业务进行梳理，然后将具有相同访问权限的哑终端进行组合；其次设置DACL模版，模版里选择用户源哑终端MAC地址组'ACL控制策略（例如可访问的IP/IP地址段、终端MAC、交换机端口等）；

¥DAJCLi= ［&IB苓生瑚.萩 躇囱苍IE明庄 NSfR岳旬flft=niltLUMjUStVlan［；］WU.l¥DAJCL口圈琳K心 ODACL=列表 QJJ 营徉通*SM" «ffiW *中业隅■帙畋Lhuiwei控制策略，以实现哑终端访问权限的动态管控。最后分别将DKEYAM与不同品牌交换机对接并为其绑定DACL控制策略，以实现哑终端访问权限的动态管控。资产管理及定位：根据不同入网策略，可视化入网终端及身份，通过终端定位功能及时定位问题终端，提升运维解决问题的时效性。（如图显示该终端在打印机标签下，同时管理员可以根据标签找到对应的网络）。还可根据标签对终端进行分类管理，比如将打印机归位一类。三、总结网络打印机功能虽单一，但稍不注意也可能成为信息泄漏的源头。如果是打印机数量较多企业产线场景。交换机数量多/品牌种类多，逐个配置静态ACL让运维成本剧增，而且静态ACL也不利于网络改造。更推荐您使用DACL访问控制方案。除了网络层的访问权限控制，还建议您从打印机自身设置上做好安全运维工作：及时更改初始默认密码，并及时删除多余和过期的账户。将打印机安装在设有防火墙、无线路由器或其他非直连网络方式保护的网络上，对相应的网络协议和端口进行可访问限制。遵循最小安装原则，关闭不必要的端口与服务，譬如Telnet、FTP等功能，禁用不必要的服务组件、应用插件等，减少被入侵的风险。要长期的关注打印机的固件和软件的升级公告，并及时从官方网站〃下载相应的固件和软件的安装包，以防其他渠道的安装包被恶意篡改过，使得打印机遭受攻击。智能安全接入，从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场，并以技术为导向，于2013年正式上线网络认证系统，形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形