Schritt 3: Aktion festlegen
6 Sicherheitsfunktionen (V.45.xx.nn.xx)
45.xx.nn.xx)
Durch die Sicherheitsfunktionen des HP Jetdirect-Druckservers werden unberechtigte Zugriffe auf Netzwerkparameter und andere gespeicherte Daten minimiert. Welche Funktionen zur Verfügung stehen, richtet sich nach dem jeweiligen Druckserver und der Version der Firmware. Druckserver mit eingeschränktem Funktionsumfang stellen nicht alle Funktionen bereit.
ACHTUNG: Die grundlegenden Sicherheitsfunktionen des HP Jetdirect gewährleisten zwar einen umfassenden Schutz sensibler Daten, es gibt jedoch keine Möglichkeit, unbefugte Zugriffe vollständig zu verhindern.
Wenn Sie besondere Ansprüche an die Sicherheit haben, wenden Sie sich an HP Consulting.
Die folgende Tabelle bietet einen Überblick über die grundlegenden Sicherheitsfunktionen der HP Jetdirect-Druckserver.
Tabelle 6-1 Sicherheitsfunktionen des HP Jetdirect Sichere Verwaltung eingebetteter Webserver
● Der sichere Zugriff auf den HP Embedded Web Server ist möglich. Ein vorinstalliertes, selbst signiertes HP Jetdirect-Zertifikat gewährleistet HTTPS-Zugang zum HP Embedded Web Server über den verwendeten Webbrowser.
● Durch die Installation eines von vertrauenswürdigen Dritten ausgestellten digitalen Zertifikats können Sie den Druckserver als sichere Site konfigurieren.
● Die Sicherheitseinstellungen können mit dem Assistenten für die Sicherheitskonfiguration eingerichtet werden.
● Voll ausgestattete Druckserver können mit der anschlussbasierten EAP/802.1X-Authentifizierung konfiguriert werden.
IPsec/Firewall
● Der IP-Datenverkehr kann über Firewall- oder IPsec-Richtlinien gesteuert werden. Wenn Sie Firewall-Regeln verwenden, können Sie die Datenpakete bestimmter IP-Adressen und Dienste gezielt zulassen oder blockieren. Die IPsec-Regeln sorgen durch Authentifizierung und Verschlüsselung für eine erhöhte Sicherheit.
Netzwerkprotokoll-Kontrolle
● Netzwerkdruck, Druckdienste, Geräteerkennung sowie Verwaltungsprotokolle auf dem HP Jetdirect-Druckserver können aktiviert oder deaktiviert werden. Unbefugte Zugriffe werden durch Deaktivieren nicht verwendeter oder unnötiger Protokolle verhindert.
● Protokolle können über Telnet (IPv4), den HP Embedded Web Server oder HP Web Jetadmin (IPv4) aktiviert oder
Tabelle 6-1 Sicherheitsfunktionen des HP Jetdirect (Fortsetzung) IP-Administratorkennwort
● Der Zugriff auf HP Jetdirect-Konfigurationsparameter kann durch Festlegen eines Administratorkennworts eingeschränkt werden. Das Kennwort ist für Telnet (IPv4), HP Web Jetadmin (IPv4) und den HP Embedded Web Server erforderlich.
● Es können bis zu 16 alphanumerische Zeichen verwendet werden.
● Das Kennwort kann mithilfe von TFTP (IPv4), Telnet (IPv4), Diensten des HP Embedded Web Server oder HP Web Jetadmin (IPv4) definiert werden.
● Wenn die Konfiguration über den HP Embedded Web Server erfolgt, kann das Kennwort zur Verwendung in den HP Web Jetadmin (IPv4) SNMP v1/2c-Set-Befehlen als SNMP-Set-Community-Name synchronisiert werden.
● Es wird durch einen Kaltstart und Rücksetzen des Druckservers auf die werkseitigen Standardeinstellungen zurückgesetzt.
IPv4-Zugriffssteuerungsliste
HINWEIS: Die Firewall bietet eine höhere Sicherheit und kann anstatt der IPv4-Zugriffssteuerliste verwendet werden.
● In der Liste werden bis zu 10 IPv4-Hostsysteme oder IPv4-Netzwerke von Hostsystemen angegeben, die auf den HP Jetdirect-Druckserver und das angeschlossene Netzwerkgerät zugreifen dürfen. Wenn die Liste leer ist, haben alle Hosts Zugriff.
● Der Zugriff wird in der Regel auf Hostsysteme begrenzt, die in der Liste aufgeführt sind.
● Hostsysteme, die HTTP verwenden (beispielsweise der HP Embedded Web Server oder IPP), werden nicht auf Einträge in der Zugriffsliste überprüft. Ihnen wird der Zugriff gewährt. Der HTTP-Hostzugriff kann jedoch über den HP Embedded Web Server deaktiviert werden.
● Die Liste wird auf dem HP Jetdirect-Druckserver über TFTP (IPv4), Telnet (IPv4), den HP Embedded Web Server oder über SNMP (IPv4)-Verwaltungssoftware konfiguriert.
Telnet-Zugriff
● Der Zugriff über Telnet (IPv4) ist nicht sicher. Sie können Telnet mit dem HP Embedded Web Server (siehe
„HP Embedded Web Server (V.45.xx.nn.xx)“ auf Seite 73) deaktivieren.
Authentifizierung und Verschlüsselung
Die digitalen X.509v3-Zertifikate können über den HP Embedded Web Server sowohl für die Client-basierte als auch für die Server-basierte Authentifizierung verwaltet werden. Ein selbst signiertes HP Jetdirect-Zertifikat ist bereits ab Werk vorinstalliert und kann bei Bedarf ersetzt werden. Bei den voll ausgestatteten Druckservern kann auch ein CA-Zertifikat (Certificate Authority) installiert sein.
IPv4/IPv6 SNMP v1/v2c-Set-Community-Name (IP/IPX) (nur SNMP v1/v2c)
● Ein SNMP-Set-Community-Name ist ein Kennwort auf dem HP Druckserver. Es ermöglicht, dass HP Jetdirect-Konfigurationsparameter über eingehende SNMP-Set-Befehle festgelegt werden können.
● SNMP-Set-Befehle müssen einen benutzerdefinierten Community-Namen enthalten, der vor der Ausführung des Befehls vom Druckserver authentifiziert wird.
● In IP-Netzwerken können Sie die Authentifizierung von SNMP-Set-Befehlen auf Systeme beschränken, die in der Zugriffssteuerliste enthalten sind.
● Der Name wird auf dem HP Jetdirect-Druckserver über TFTP (IPv4), Telnet (IPv4), den HP Embedded Web Server oder über Verwaltungssoftware konfiguriert.
● SNMP v1/v2c verwendet unverschlüsselten Text und kann deaktiviert werden.
Tabelle 6-1 Sicherheitsfunktionen des HP Jetdirect (Fortsetzung) IPv4/IPv6 SNMP v3
(Nur voll ausgestattete Druckserver)
● Ein SNMP v3-Agent auf dem HP Jetdirect-Druckserver ermöglicht eine sichere, verschlüsselte Kommunikation mit einer SNMP v3-Verwaltungsanwendung (wie HP Web Jetadmin).
● Wenn der Druckserver über den HP Embedded Web Server aktiviert wird, unterstützt er die Erstellung eines SNMP v3-Kontos. Die Kontoinformationen können in SNMP v3-Verwaltungsanwendungen integriert werden.
● Der Druckserver unterstützt die nahtlose Erstellung und Verwaltung von SNMP v3-Konten über HP Web Jetadmin.
HP Web Jetadmin (IPv4)-Kennwort und -Profile
● Die Zugriffssteuerung auf die HP Jetdirect-Konfigurationsparameter erfolgt über das HP Jetdirect-IP-Administratorkennwort, das über HP Web Jetadmin (IPv4), Telnet (IPv4) oder den HP Embedded Web Server konfiguriert wurde.
● HP Web Jetadmin bietet eine Zugriffssteuerung durch Benutzerprofile. Sie ermöglicht einen Kennwortschutz für einzelne Profile und den kontrollierten Zugriff auf HP Jetdirect- und Druckerfunktionen.
● (Nur voll ausgestattete Druckserver) Mit HP Web Jetadmin kann der IPv4/IPv6 SNMP v3-Agent auf dem Druckserver aktiviert und ein SNMP v3-Konto für die sichere, verschlüsselte Verwaltung erstellt werden.
Sperrung über das Bedienfeld des Druckers
● Bei bestimmten HP Druckern kann der Zugriff auf die Konfigurationseinstellungen des HP Jetdirect-Druckservers über das Bedienfeld gesperrt werden. In vielen Fällen kann diese Sperre von einem entfernten Standort aus mit einer
Verwaltungsanwendung (wie HP Web Jetadmin) aktiviert werden. Der Dokumentation Ihres Druckers können Sie entnehmen, ob der Menüzugriff am Bedienfeld gesperrt werden kann.
Vorrangliste der Konfigurationsmethoden
● Für die Steuerung der Konfiguration von TCP/IP-Parametern mit den vom Druckserver unterstützten Tools steht eine Vorrangliste der Konfigurationsmethoden zur Verfügung. Der Zugriff auf die Vorrangliste erfolgt über den HP Embedded Web Server. Standardmäßig haben manuelle Konfigurationsmethoden Vorrang vor anderen Methoden (z. B. DHCP oder TFTP). Durch eine Änderung der Rangfolge kann die Steuerung der Konfigurationsparameter optimiert werden.
Einschränken des Zugriffs auf Sicherheitsfunktionen
Sie können den Zugriff auf HP Jetdirect-Konfigurationsparameter mit den verfügbaren
Sicherheitsfunktionen steuern. In Tabelle 6-2, „Einstellungen für die Zugriffssteuerung“, auf Seite 146 finden Sie Beispiele für verschiedene Einstellungen und den entsprechenden Ebenen der
Zugriffssteuerung.
Tabelle 6-2 Einstellungen für die Zugriffssteuerung
Einstellungen Ebene der Zugriffssteuerung
● Zugriff über HTTP (HP Embedded Web Server), SNMP v1/v2c-Anwendungen oder Telnet
● Administratorkennwort nicht festgelegt
● Standard-SNMP v1/v2c-Community-Namen
● Keine Authentifizierung oder Verschlüsselung
● Zugriffssteuerliste ist leer, oder Firewall ist deaktiviert
Niedrig
Für vertrauenswürdige Umgebungen optimal geeignet.
Beliebige Systeme können über den HP Embedded Web Server, Telnet oder die SNMP-Verwaltungssoftware auf die HP Jetdirect-Konfigurationsparameter zugreifen. Kennwörter sind nicht erforderlich.
● Administratorkennwort festgelegt
● Benutzerdefinierter SNMP v1/v2-Set-Community-Name festgelegt
● Die Zugriffssteuerliste enthält Hosteinträge, und HTTP-Verbindungen werden geprüft
● Telnet sowie andere nicht sichere Protokolle deaktiviert
Mittel
Eingeschränkte Sicherheit für nicht vertrauenswürdige Umgebungen.
Wenn das Administratorkennwort und der SNMP v1/v2c-Set-Community-Name bekannt sind, ist der Zugriff auf Folgendes begrenzt:
● Systeme, die in der Zugriffssteuerliste angegeben sind
● SNMP v1/v2c-Verwaltungsanwendungen
● Nicht verwendete Protokolle deaktiviert
● HTTPS-Zugriff aktiviert mithilfe von Zertifikaten, die von vertrauenswürdigen Stellen ausgestellt wurden
● Voll ausgestattete HP Jetdirect-Druckserver, die für die anschlussbasierte EAP/802.1X-Authentifizierung und -Verschlüsselung konfiguriert sind
● Voll ausgestattete HP Jetdirect-Druckserver, auf denen SNMP v3 aktiviert und SNMP v1/v2c deaktiviert ist
● Telnet deaktiviert
● Kennwörter festgelegt
● Die Zugriffssteuerliste enthält spezifische Einträge, und HTTP-Verbindungen werden geprüft
● Bedienfeld des Druckers gesperrt
● IPsec/Firewall-Richtlinie ist aktiviert und konfiguriert
Hoch
Hohe Sicherheit für nicht vertrauenswürdige, professionell verwaltete Umgebungen.
Der Zugriff wird durch IPsec gesteuert. Die Daten werden durch Verschlüsselung geschützt. Unverschlüsselter Text wird nicht im Netzwerk gesendet.
ACHTUNG: Konfigurationseinstellungen, die von einem BootP/TFTP- oder DHCP/TFTP-Server stammen, werden beim Ausschalten und erneuten Einschalten des Druckservers möglicherweise verändert. Überprüfen Sie alle Einstellungen, die sich beim Aus- und erneuten Einschalten des Druckservers ändern können.