独立したセキュアなネットワーク(Net:A)と、

インターネットに接続したセキュアでないネットワーク(Net:B)があります。
1台しかないプリンタでどちらからも印刷できるようにするために、
そのプリンタのセントロニクスポートとEthernetポートをそれぞれ接続しようと
考えています。

Net:A側をEthernetポートに、Net:B側をセントロニクスポートに接続して運用しようと考えていますが、
これがネットワーク間侵入のセキュリティホールになる可能性はあるでしょうか?

なお、使用しようとしてるプリンタは、NEC Multiwriter 2800Nってモデルです。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/04/22 17:15:45
  • 終了:2006/04/22 23:48:20

回答(2件)

id:l-lol-l No.1

l-lol-l回答回数310ベストアンサー獲得回数102006/04/22 17:41:11

ポイント50pt

ありえませーん。大丈夫です。そんなことはできません。

できるためには、セントロのポートから進入するか、PCのセントロのポートに侵入するかしないといけませんが、そんなことはできないです。

ただ、可能性の問題を考えると、セキュアでないネットからプリンタに進入し、セントロのポートに入ってくるデータをネット経由で、どこかに送ることができそうです。

情報漏えいを防ぐためには、セキュアなネット側にネットのポートをつないだほうが安全と思います。

ただ、これもかなり困難なので、考えなくてもいいと思いますが。

http://q.hatena.ne.jp/1145693743

id:naochin

セントロニクスポート経由でプリンタにバッファオーバーフロー攻撃を行って、PIP接続して侵入 なんてモデルを考えたのですが、

ありえないですかね。

パラレルポートを入出力にせずに、出力のみにすれば安全な気がしてきました。

#リモートからだとBIOS設定は変えられませんしね。

2006/04/22 23:40:34
id:dora-kou No.2

ドラちゃん回答回数34ベストアンサー獲得回数12006/04/22 18:57:08

ポイント30pt

http://q.hatena.ne.jp/1145693743

URLはダミーです。

ご質問の場合、ネットAへの侵入が起こりうる可能性を考慮しますと…。

  1. まず外部のルータからネットBに侵入
  2. ネットB+セントロポートに接続したPCに侵入
  3. プリンタのセントロポートからプリンタのEtherポートを占拠

という3段階の侵入を行う必要があります。

ルータ・PC・プリンタの全部に脆弱性が存在していないとこれは

不可能ですので相当に困難です。

リクスマネジメント的に考えるなら、NetAで処理している

保護されるべき情報に、侵入者がそれだけ面倒な作業を行っても

得られるだけの価値があるかどうかを判定する方が早いかな、と。

一般的には心配に及ばない規模だと思います。

id:naochin

国家レベルでの機密情報を扱うと考えてください。

本来ならプリンタをもう一台買えばいい話なのですが、予算が下りないところに(設置場所の問題がありますが)最大の問題点があることは頭の中にあります。

原理的に不可能といえない限り、脆弱性の「可能性の低さ」を期待するのはセキュリティとしてはまずいんじゃないかと思います。0でないもの同士を掛け合わせても、0にはなりません。

ネットワークがセキュアでないという仮定を置いてますのでここは脆弱だと思っていいでしょう。

上でも書いたとおり、パラレルポート経由での侵入によって、プリンタイメージをネットB経由でどこかに送るような攻撃を考えた場合、

ネットBとプリンタ間の通信を一方向にすれば、たとえプリンタ側に脆弱性があってもPCが受け取れないために情報は流れない様な気がしてきました。

2006/04/22 23:47:27
  • id:l-lol-l
    よーく考えたらできるかも。双方向殺してもだめです。NECのプリンタ言語がどんなのかはわかりませんが、PSなんかだと、あるオブジェクトを10個とか繰り返して書くようなところで、チェックミスってたらオーバーフローして、実はオブジェクトがきちんとコードになって、それを踏んだらアウトですね。

    昔、(今でもかも)JPEGの映像だかヘッダだかが不正なコードになっているものがありましたね。microsoftのGDIとJPEGでぐぐたらでてくるですね。

    おんなじ感じで、不正なPSを印刷したら飛ばすことができます。ただ、NECのプリンタ言語しだいですけど。(もちろん脆弱性も必要)

    あと、二つほどナンセンスな点を指摘。

    国家レベルのセキュリティをプリンタ買えない予算でやることを考えること事態が不正ですね。そんなこと考えるだけ無駄です。使える予算でできる範囲のセキュリティで満足しましょう。(趣味のセキュリティならかまいませんが)

    もうひとつは、脆弱性は0にできないのです。0にすることを考えてはいけません。それは、人類に絶滅しろといっているに等しい。(趣味のセキュリティならかまいませんが)
  • id:kurukuru-neko
    PC(a)
    |
    A: Secure Network
    | LAN
    Printer(c)
    | Pararell (D)
    PC(b)
    | LAN
    B: Open Network
    |
    =====================================
    (b): D経由の進入の可能性は、l-lol-lさんの
    説明のようにPostScript等のバグもありますが
    さらにプリンターには保守機能があり外部から
    制御できるコマンドを持つものがあります。
    (当然非公開) この機能を使えば、片方向に
    プリンターを設定したつもりでも完全にプリンターの
    FIRMを含めてのっとられる可能性があります。

    上記構成をとるくらいであれば

    A: Secure Network
    | LAN
    PC(a)
    | Pararell (D)
    Printer(c)
    | LAN
    B: Open Network
    |
    PC(b)
    =====================================

    PC(a)を単方向パラレル経由で接続すれば
    PC(a)には進入できません、但し、印刷データは
    盗まれる可能性があります。

    プリンター自動切替機などでつないだ場合
    切替機がプログラムが書き換機能がなく
    単方向通信に固定できれば紙を盗む以外には
    セキュリティー上問題は発生しません。

    A: Secure Network
    | LAN
    PC(a)
    | Pararell (D1)
    切替機 --- Pararell(D) --- Printer(c)
    | Pararell (D2)
    PC(b)
    |
    | LAN
    B: Open Network
    =====================================


    http://www.nec.co.jp/press/ja/0101/1001-01.html

    http://www.sanwa.co.jp/product/peripheral/changer/printer.html

    http://www.wsuper.com/Tech/ParaIF/1284/1284.htm


この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません