Page 1
如何使用网络基础设施来保护 HP 打印和成像设备
白皮书
目录:
概述 ............................................................................................................................................... 1
威胁分析 ........................................................................................................................................ 2
获得额外的安全保护 ........................................................................................................................ 2
示例部署 ........................................................................................................................................ 3
步骤 1:域名系统和静态 IP 地址 ....................................................................................................... 6
步骤 2:公钥基础结构 ..................................................................................................................... 7
PKI:安装认证机构 (CA)................................................................................................................. 14
PKI:创建证书模板 ........................................................................................................................ 20
PKI:颁发证书............................................................................................................................... 26
PKI:创建 Jetdirect CSR 和安装证书................................................................................................. 40
PKI:HP Jetdirect 证书配置 ............................................................................................................. 44
步骤 3:802.1X 和 VLAN .............................................................................................................. 53
802.1X:打印和成像虚拟 LAN ....................................................................................................... 54
步骤 4:基于交换机的 IP 访问控制列表 ........................................................................................... 55
步骤 5:IP 安全保护 (IPsec) ............................................................................................................ 56
IPsec:打印机管理 VLAN................................................................................................................ 57
步骤 6:设备安全保护 ................................................................................................................... 58
总结 ............................................................................................................................................. 58
概述
随着网络打印机和多功能打印机 (MFP) 功能的不断增强,其数据发送和接收功能开始变得与网络 PC
越来越接近。对于公司来说,将这些网络设备看作是可访问其网络以发送和接收数据的公共 PC,不
失为明智之举。很多关注安全问题的客户使用 Web Jetadmin 以及 HP 打印和成像设备的各种安全功
能,“锁定设备”以防止未经授权的使用。虽然这种方法非常奏效,但大多数客户地点的以下三个常
设小组通过群策群力,甚至可以进一步加强安全保护:打印机管理员、IT 信息安全小组以及网络基础
设施小组。本教程旨在逐步分析如何配置 HP 打印和成像设备以及网络基础设施,以便在简单设备
“锁定”的基础上提供额外的安全保护。
1
Page 2
威胁分析
有多少企业会允许将 PC 放在走廊或容易进入的工作间以供大家使用,而不要求使用 PC 的任何人进
行登录即可访问其内部网络以发送和接收数据呢?关注安全问题的客户理所当然地认为这是一个错
误,但在网络 MFP 方面,他们所面临的情况恰恰如此。在具有扫描至电子邮件设置的客户环境中,
MFP 通常随处可见。
在很多情况下,HP 网络打印机和 MFP(以下称为 HP 打印和成像设备,即“HP PID”)是即插即用
的。只需将它们连接到网络上并运行设备附带的 CD,用户即可启动并使用设备了。通常,这些用户
甚至不需要了解与网络或 IP 地址有关的任何内容。获得这种简便易用性的代价是,默认情况下,HP
PID 信任网络、用户以及声称自己是管理员的人。这种默认信任可能是一些疏忽配置的根源,它们可
能会造成停机以及更恶意的攻击。
对 HP PID 的攻击通常来自内部威胁,例如,来自其它有漏洞的设备(如 Web 服务器)的威胁,或
者由可信员工造成的威胁。虽然很多针对网络打印机的攻击可能只是将打印机纸张耗尽或更改显示;
但其它网络攻击的破坏性可能会非常大(如 IP 地址丢失),并且可能会对客户业务造成危害(如长
时间停机而影响生产)。不过,另一种威胁的破坏性通常甚至更大,但却常常被人们忽略。例如,在
客户环境中值夜班的维护人员可能会扫描机密文档,然后将其发送到竞争对手那里,但没有人追踪他
们的行为,而他们使用的恰恰就是客户自己的 MFP!
所幸的是,HP 开发出了各种工具,可使其 PID 成为网络中最安全的一些设备。此外,有关实际网络
基础设施以及如何使用它来提高这些设备的安全性,还有很多地方需要进一步的探讨。本白皮书就是
一个有关上述内容的教程。虽然本白皮书针对的是大型企业环境,但它也可以帮助中小型企业使用网
络来帮助“锁定”设备。
获得额外的安全保护
使用网络基础设施来进一步保护 HP PID 的一个难题是,三个不同的小组通常需要密切配合才能提供
正确的保护。这些小组包括网络基础设施小组、IT 信息安全小组以及打印机/MFP (PID) 管理小组。在
很多客户环境中,这些小组通常密切配合来完成各项工作,但在打印和成像基础设施方面却很少一起
工作。
IT 信息安全小组负责颁发 HP PID 数字证书。HP Jetdirect 产品可以支持数字证书以作为证明其身份的
凭证。数字证书是一种非常有效的身份确定方法,在很多情况下可与密码配合使用。通过正确标识端
节点,基础设施可以对与这些端节点关联的网络基础设施参数进行有效的管理。HP ProCurve 交换机
线路将其称为身份驱动的管理 (IDM)。
网络基础设施小组负责将 PID 放到其自己的虚拟 LAN (VLAN) 上。VLAN 是其自己的广播域,通常是
使用其自己的 IP 子网配置的。VLAN 有助于网络实现访问控制支持。在很多情况下,VLAN 常常以组
为单位进行管理(如实验室 VLAN 和市场部 VLAN),但 HP PID 通常是按站点、办公楼或楼层进行
管理的。我们要做的是,将这些 HP PID 放在其自己的打印和成像 (PID) VLAN 中。此外,我们还要创
建打印和成像管理 (PIM) VLAN,以帮助管理和控制这些 PID。
由于每个 VLAN 实际上是一个 IP 子网,因此,我们现在可以使用访问控制功能对与 VLAN 之间的通
信进行控制。HP ProCurve 网络线路将其称为“边缘控制”。这种行为有助于提前(而不是滞后)制
订有关网络通信方面的决策。通过使用 IDM,可以在标识设备后自动部署网络访问控制,这可大大简
化这些控制功能的维护工作。
如何结合使用这些功能呢?IT 信息安全小组对公钥基础结构进行初始设置,以允许为 HP PID 颁发数
字证书。PID 管理员使用数字证书和其它重要安全设置来配置 PID。通过使用 802.1X 技术,可向网
络基础设施提供该数字证书,前者自动确定 VLAN 和相应的访问控制方法。
2
Page 3
示例部署
让我们看一下示例配置的逻辑 VLAN 图。请参见图 1– 逻辑 VLAN。
Send-To-Email Send-To-Folder
Printing and Imaging Devices (PID) VLAN
Routing &
Switching Infrastructure
Printing and Imaging Management (PIM)
VLAN
Print Spooler
Marketing VLAN
Finance VLAN
图 1 - 逻辑 VLAN
PID VLAN 用于实际设备。无论这些设备实际放在什么地方,都会将它们自动放在与打印和成像设备
关联的 VLAN 中。该过程是通过 IDM 完成的。PID 管理小组在 PIM VLAN 中对计算机进行设置。这
些计算机可能运行包含以下功能的服务:Web Jetadmin、扫描至电子邮件、扫描至文件夹、数字发
送软件、系统日志以及 Windows 打印后台处理程序/服务器。我们可以看出,PID VLAN 和 PIM
VLAN 之间存在大量的通信。
由于每个 VLAN 都是一个 IP 子网,因此必须在 VLAN 之间建立路由。由于建立了路由,我们可以使
用网络访问控制功能来控制与这些 VLAN 之间的通信。例如,我们目前没有理由认为 PID VLAN 需要
与 PIM VLAN 以外的任何 VLAN 进行通信。可以将这种限制与 VLAN 或设备标识相关联。在本示例
中,设备标识导致自动分配 VLAN 并部署访问控制功能以限制通信流;PID VLAN 只能与 PIM VLAN
进行通信。结果,PIM VLAN 是唯一可与 PID VLAN 进行通信的 VLAN。因此,我们使用了网络基础
设施,以强制市场部和财务部 VLAN 经由 PIM VLAN 与 PID VLAN 取得联系。在大多数情况下,这些
用户连接到目录服务中发布的打印机共享。这些打印机共享放在实际位于 PIM VLAN 中的计算机上。
3
Page 4
到目前为止,我们一直从逻辑的角度上讨论 VLAN。让我们看一下,在实际部署中会发生什么情况。
请参见图 2 – 物理 VLAN
图 2 - 物理 VLAN
图 2 中有三个 VLAN,分别是打印和成像 VLAN、市场部 VLAN 和财务部 VLAN。图中的颜色编码是
根据 VLAN 设置的。每个用户的 VLAN 是由其身份自动确定的,而不是由其工作间位置确定的。
例如,如果将一些员工从财务部调到公司的其它部门工作,并且市场部也扩大了规模,新的布局可能
类似于图 3:
4
Page 5
图 3 - 动态物理 VLAN
在图 3 中,用户是身份驱动的管理的一部分;无论用户处于网络中的什么位置,都会将其 VLAN 配
置传输到该位置。这种行为提供了极大的灵活性,并将固定配置的管理开销减少到最低程度,例如,
1 号工作间始终是市场部 VLAN 的一部分,必须发出服务请求才能对其进行更改。
随后,PID 管理小组为目录服务中定义的组分配打印机共享。例如,位于 1 号办公楼 2 层的 PID 归市
场部“所有”。PID 管理小组已设置了打印机共享,只有属于目录服务中相应组的用户才能连接到这
些共享上。要使用归市场部“所有”的打印机,用户需要成为市场组的一部分,这是由于打印机共享
的访问限制所致。虽然坐在 PID 旁边的市场部用户使用的耗材费用计入财务部,但他必须多走上几步
才能取走打印输出件,他们对此可能会颇有微词,但关键问题是,能否访问打印机是由用户身份和
PIM VLAN 中的打印机共享的访问限制决定的。这同样适用于 PID。它们可以移到办公楼中的任何位
置,但仍然是 PID VLAN 的一部分。
对于成像设备(作为需要与服务器进行通信的客户端),PID VLAN 需要与 DNS 服务器、密钥分发
中心 (Kerberos)、安全 LDAP 服务器等进行通信。我们将这些类型的服务器称为基础设施服务器,
同样的道理,我们将它们放在其自己的 VLAN(即,基础设施服务器 VLAN)中。PID VLAN 可以与
基础设施服务器 VLAN 进行通信,并且 PID VLAN 可以与 PIM VLAN 进行通信。请参见图 4 – 基础
设施服务器 VLAN。
5
Page 6
Printing and Imaging Devices (PID) VLAN
Send-To-Email Send-To-Folder
Print Spooler
Printing and Imaging Management (PIM)
VLAN
Routing &
Switching Infrastructure
Kerberos, LDAP, DNS, DHCP, SNTP
Infrastructure Servers VLAN
Marketing VLAN
Finance VLAN
图 4 - 基础设施服务器 VLAN
您可能会想,我们能做的也就这么多了。其实不然,在保护打印和成像设备方面,我们能做的还远不
止这些。接下来可以做的是,为专用 VLAN 分配 PID,以使 PID 只能看到 VLAN 中的路由器端口。此
步骤进一步将到 PID 的通信与路由器隔离开,而不是允许 PID 彼此之间进行通信(通常不需要进行此
类通信)。再下一步是,限制 PID VLAN 和 PIM VLAN 之间的通信以利用 IPsec。由于 IPsec 和基础设
施服务器 VLAN 之间存在很多“鸡生蛋还是蛋生鸡”的问题,因此,我们不要求在其中使用 IPsec,
但将可在它们之间进行通信的协议限制为所需的协议。
正如我们所看到的一样,通过利用现今基础设施设备的强大功能(尤其是 HP ProCurve 交换机),
我们可以为非常重要的打印和成像设备提供进一步的保护。我们将在下面更详细地介绍需要执行的
操作。
步骤 1:域名系统和静态 IP 地址
对于 PID,我们可以做的一项最重要的工作是,为其制订一致的命名方案并分配静态 IP 地址。然后,
可以将这些名称输入到域名系统 (DNS) 中。将名称输入到 DNS 后,我们可以在创建数字证书时使用
该名称以提供更多安全保护。
对于我们的环境来说,静态 IP 地址实际上是比 DHCP 更好的解决方案。原因是,很少会为 DHCP 部
署 DHCP 服务器验证。通常,如果没有进行正确验证,恶意 DHCP 服务器可能会修改 DHCP 客户端
配置。此外,我们实际上希望开始将 PID 视为服务器,而不是视为客户端。IPv6 在无状态自动地址配
置方面存在类似的安全问题。我们假定还要手动设置 IPv6 地址。在分配了静态 IP 地址并将其关联名
称输入到 DNS 后,即可在数字证书中使用该名称了。要创建数字证书(也称为“安全证书”),我
们需要使用公钥基础结构 (PKI)。
注:有关 DNS 和名称解析的详细信息,请参见白皮书“Practical IPv6 Deployment for Printing and
Imaging Devices”(打印和成像设备的实用 IPv6 部署)。
6
Page 7
步骤 2:公钥基础结构
在 Web 浏览器中使用
警告对话框吗?
该对话框的标题是 Security Alert(安全警报),它描述的是称为“安全证书”的内容。什么是安全证
书呢?安全证书的作用是帮助将网站标记为可以信任的站点。但是,Security Alert(安全警报)对话
框显示,我们可能不希望信任该安全证书,这间接意味着该网站可能不是我们所认为的网站。该对话
框有两个关联的警告图标。第一个警告图标的帮助文本提示我们查看证书。让我们单击 View Certificate
(查看证书)。
https://(转到任何安全网站,如登录或购物车)时,您曾经见过图 5 所示的
图 5 – 安全警报
Certificate
(证书)
图 6 – 证书详细信息
7
Page 8
证书上有一个红色 X,它表示存在安全问题。此外,还有一条非常具体的错误消息:This certificate
cannot be verified up to a trusted certification authority.(无法将这个证书验证到一个受信任的证书
颁发机构。)我们可以从中看到,“颁发者”的名称为“RootCA”。该消息要传达的意思是,颁发
“635n”证书的“RootCA”不可信。
我们可以做一个非常有用的类比,将证书颁发者看作是加利福尼亚州机动车管理局 (DMV)。在美国,
每个州都有一个由州政府管理的 DMV。DMV 负责颁发驾驶执照,即授予在特定州进行驾驶的权限。
如果某个人前往 DMV 申请驾驶执照,他必须通过一系列测试,这可帮助 DMV 确定他是否适合在该
州公路上进行驾驶。州公路巡逻队负责实施公路驾驶细则,他们承认 DMV 颁发驾驶执照的合法性。
因此,如果某人违反了公路驾驶细则,公路巡逻队警官让其将车停在路边,并要求他出示 DMV 颁发
的驾驶执照。对于 DMV 之外的机构颁发的驾驶执照,公路巡逻队不承认其有效性。简而言之,DMV
是为个人颁发“证书”(驾驶执照)的可信第三方。公路巡逻队信任由 DMV 颁发的这些“证书”。
Security Alert(安全警报)对话框之所以发出警告,是因为它要指出存在信任问题。按照上述类比,
对应的情况是:公路巡逻队让某个司机将车停在路边,并要求他出示驾驶执照,但他向警官出示的是
他母亲写的一张便条,上面说明她儿子已得到授权,可以在该州驾驶汽车。虽然她的姐妹可能会相信
他母亲写的便条,但公路巡逻队却不会相信。
实际上,计算机使用的数字证书将身份绑定到密钥,并且需要由可信第三方来颁发。什么是密钥呢?
密钥是指加密算法中使用的机密。公钥和私钥用于非对称加密;对称密钥用于对称加密。让我们先看
一下对称加密。
Unencrypted Message
User
Encryption Performed
Message Delivery
Decryption Performed
User
Unencrypted Message
图 7 – 对称加密
在图 7 中,为消息提供的机密性是通过单个密钥完成的。由于加密和解密过程使用相同的密钥,因此
该过程称为对称加密。对称加密通常具有两个相关的特性:
• 操作方便 — 速度快且易于实现
• 存在密钥分发问题 — 如何安全地将对称密钥分发给每个需要密钥的人?
也可以使用非对称加密,但其工作方式与对称加密大不相同。它具有两个密钥:一个公钥和一个私
钥。不会与任何人共享私钥。公钥类似于公共电话号码。可以与任何人共享该密钥。
8
Page 9
John’s Public Key
Unencrypted Message
Jack
Encryption Performed Using John’s Public Key
图 8 – 非对称加密
Jack’s Public Key
Message Delivery
Decryption Performed Using John’s Private Key
Unencrypted Message
John
在图 8 中,我们可以看出非对称加密和对称加密之间的区别。可以使用一个密钥进行加密,然后使用
相应的密钥进行解密。非对称加密似乎已解决了密钥分发问题;不过,非对称加密通常有两个相关的
新特性:
• 速度慢
• 存在信任问题。如何知道这是 John 的公钥,而不是属于某个假扮成 John 的人呢?
为了解决第一个问题,通常使用非对称加密来安全地分发对称密钥以及对哈希代码进行签名。简而言
之,实际加密和解密的内容通常比实际消息小得多。其优点是,解决了对称加密存在的密钥分发问
题。因此,实际上,对称密钥是使用非对称加密安全发送的,而实际消息本身是使用对称加密保护
的。太酷了!我们既获得了非对称加密具有的灵活性,又获得了对称加密具有的较快速度。现在,
我们只需要解决信任问题了。
要解决信任问题,我们需要讨论以下五个方面的内容:
• 认证机构 — 通过证书申请创建数字证书的可信第三方。
• 证书申请 — 与身份信息相关联的公钥,它用作认证机构创建并签名的数字证书的基本组成
部分。
• 数字证书 — 与身份信息相关联的公钥,认证机构将对其进行数字签名。
• 数字签名 — 数字证书的哈希,将使用认证机构的私钥对其进行加密。
• 哈希 — 也称为消息摘要。哈希是一个单向函数的输出,它尝试确保消息的完整性(即消息未
被修改)。它通常与验证信息合并在一起,以确保可以验证消息创建者以及消息完整性没有
被破坏。可以将哈希视为高级校验和或高级循环冗余检查 (CRC)。
让我们先介绍一下哈希和数字签名。我们假定 Jack 要向 John 发送消息。Jack 希望确保 John 知道消
息是他发送的,并且消息在传输过程中没有被修改。但是,Jack 对机密性并不关心(换句话说,可以
按“明文”方式发送实际消息),但关心验证和完整性。我们可以使用哈希和数字签名来完成此操作。
9
Page 10
Jack
Jack’s Private Key
Message to be
provided
Authentication and
Integrity protection
One-Way Function/Hash Function
Hash
Value
Encryption
Jack’s Public Key
Hash encrypted
with Jack’s
Private Key =
Digital Signature
Message + Digital
Signature
DS
DS
Message Delivery
图 9 – 数字签名
在图 9 中,Jack 向 John 发送了一个带有数字签名的消息。让我们看一下,John 如何验证该消息以确
保其来自 Jack 并且没有被修改。请参见图 10。
10
Page 11
John
DS
Message Delivery
One-Way Function/Hash Function
Received
Message Hash
Value
YES
Message
received with
Authentication
and Integrity
Compare
Equal?
Decrypted
Sent Hash
Value
NO
Discard
Message –
Authentication
or Integrity
violated
Decryption
Jack’s Public Key
图 10 – 数字签名验证
我们可以从中看到,John 使用 Jack 的公钥来验证消息。Jack 的公钥是唯一可以解密数据签名并获取
消息哈希值(Jack 在发送消息之前计算出来的)的密钥。由于哈希是使用 Jack 的私钥(只有 Jack 知
道)加密的,因此,John 可以确定消息就是由 Jack 发送的。
我们还有一个疑问,John 如何知道 Jack 的公钥确实属于他称之为“Jack”的那个人呢?世界上有很
多名字叫“Jack”的人,John 怎么知道他不是其中的某个人呢?我们还需要一个可信第三方以 John
可以信任的形式提供 Jack 的公钥,并且还可能需要让 Jack 提供更多的身份信息。这正是认证机构发
挥使用的地方。请参见图 11 – 认证机构。
11
Page 12
Jack
Create
Key Pair
Identity Info +
Jack’s Public Key
Jack’s Private Key
CA’s Public Key
Jack
Jack’s Private Key
(Stays Private)
Jack’s Public Key
Certificate Request
Identity Info +
CA Info +
Jack’s Public Key
CA’s Digital
Signature
Jack’s Public Key
Certificate
(Also performs Identity Verification on Jack)
Certificate Authority
Identity Info +
CA Info +
Jack’s Public Key
Preliminary Certificate
One-Way Function/Hash Function
Encryption
图 11 – 认证机构
CA’s Private Key
Jack 执行密钥对生成过程,并创建一个公钥和私钥对。私钥是保密的。公钥与一些身份信息相关联,
并提供给认证机构。认证机构生成一个证书(通常针对于某一用途,如电子邮件),然后使用其数字
签名对证书进行签名。假定在某个地方公开提供了这些数字证书,只要 Jack 和 John 同意信任特定认
证机构,他们自然就会信任该机构签名的证书。请参见图 12。
12
Page 13
A Public Certificate Store
Jack
Jack’s Private Key
Certificate Authority
CA’s Private Key
John
Identity Info +
CA Info +
Jack’s Public Key
CA’s Digital
Signature
Jack’s Public Key
Certificate
Identity Info +
CA Info +
John’s Public Key
CA’s Digital
Signature
John’s Public Key
Certificate
John’s Private Key
Identity Info +
CA Info +
CA’s Public Key
CA’s Digital
Signature
CA’s Public Key Certificate
图 12 – 公钥证书
我们可以从中看到,每个人的公钥证书都是公开的。要注意的一个重要事项是,认证机构也具有一个
识别自身的公钥证书。该证书是使用其自己的私钥签名的,因而是“自签名”证书。没有比顶级认证
机构“更高”的信任级别。因此,John 和 Jack 必须选择他们都信任的某个认证机构。在大多数情况
下,客户地点中具有认证机构层次结构。这就形成了所谓的证书链,其中的顶级 CA 或根 CA 是最高
的信任级别。
此外,我们还应指出的是,使用证书的 Internet 信任和使用证书的 Intranet 信任之间通常是有区别
的。Internet 信任涉及已知的认证机构,如 Verisign 和 Entrust。但是,Intranet 模型通常涉及的是
Windows 2003 Server 附带的 Microsoft 认证机构。每个公司都建立其自己的公钥基础结构 (PKI),
其中包括有关证书的完整策略。
13
Page 14
现在,我们已介绍了有关证书的一些基础知识,接下来将具体讨论 Jetdirect。Jetdirect 是一个内嵌式
系统,因此,证书的存储空间非常有限。Jetdirect 可以存储一个身份证书和一个 CA 证书。当 Jetdirect
接收来自其它实体的证书时,CA 证书告诉 Jetdirect 应该信任哪些身份证书(即,必须由该 CA 进行
签名)。Jetdirect 身份证书是指,当另一个实体提出申请时发出的证书。一定要注意,Jetdirect 上的
CA 证书经过严格配置,以便为发送到 Jetdirect 的身份证书提供信任点:从其它实体接收的身份证书
必须由该 CA 进行签名,或者是以该 CA 结尾的链中的一部分。
由于 Jetdirect 只有一个可配置的身份证书,因此,它必须能够在各种情况下使用。Jetdirect 可能用作
客户端或服务器,具体取决于所使用的协议。例如,如果 Web 浏览器使用 HTTPS 与 Jetdirect 进行通
信,Jetdirect 将在 SSL/TLS 协商过程中返回其身份证书,此过程将 Jetdirect 识别为一个服务器。在其
它情况下,Jetdirect 类似于 EAP-TLS,它发送其身份证书以进行客户端验证。
默认情况下,Jetdirect 在首次启动时创建一个“自签名”证书。该证书并不安全,因为它尚未经过可
信 CA 进行签名。Jetdirect 产品安全保护的一个重要步骤是,将默认自签名身份证书替换为由可信
CA 签名的证书。
PKI:安装认证机构 (CA)
注:出于示例目的,我们在下面显示了有关安装 PKI 服务器的详细信息,并说明了如何在测试网络中
使用这些信息。对于生产部署,一定要考虑得更加周详并且必须谨慎行事,通常应由单独的安全小组
负责完成此项工作。
通过使用 Windows 2003,我们只需转到 Control Panel(控制面板),选择 Add/Remove Programs
(添加/删除程序),然后选择 Windows Components(Windows 组件)。
选择
Certificate
Services(证书
服务),然后
单击 Next
(下一步)。
• Windows
Components
(Windows
组件)
• Certificate
Services
(证书
服务)
14
Page 15
在本示例中,
我们将安装
一个是企业
根 CA。
单击 Next
(下一步)。
注:
如果选择独立
CA,将无法使
用下述证书模
板功能。
CA type
(CA 类型)
此处是我们的
CA 身份信息。
单击 Next
(下一步),
然后完成
安装。
CA identifying
information
(CA 标识
信息)
在安装完成后,我们可以转到 Start(开始)-> Run(运行)-> mmc。
15
Page 16
Microsoft 管理
控制台是一个允
许加载各种“管
理单元”的框
架。每个“管理
单元”管理一个
特定的服务。例
如,有一个“管
理单元”用于管
理认证机构
(Microsoft 有
时将其称为证书
颁发机构)。
Console Root
(控制台根)
此时,我们需要在 Microsoft 管理控制台 (MMC) 中加载单独的管理单元。管理单元是向 MMC 提供
特定管理功能的模块。请转到 File(文件)菜单,然后选择 Add/Remove Snap-In(添加/删除管理
单元)。
单击 Add
(添加)。
• Add/
Remove
Snap in
(添加/
删除管理
单元)
• Console
Root
(控制
台根)
16
Page 17
选择
Certificate
Templates
(证书模
板),然后
按 Add
(添加)。
• Add
Standalone
Snap in
(添加独
立管理
单元)
• Certificate
templates
(证书
模板)
选择
Certification
Authority
(证书颁
发机构)
并按 Add
(添加)。
然后按 Close
(关闭)。
• Add
Standalone
Snap in
(添加独
立管理
单元)
• Certificate
Authority
(证书颁
发机构)
17
Page 18
选择 Local
Computer
(本地计算
机)。然后
单击 Finish
(完成)。
Certificate
Authority
(证书颁发
机构)
选择 OK
(确定)。
Add/Remove
Snap in
(添加/删除
管理单元)
18
Page 19
操作完成。
Console Root
(控制台根)
19
Page 20
PKI:创建证书模板
认证机构需要使用可用于为服务创建证书的模板。Microsoft CA 提供一些预定义的模板以便为管理员
提供帮助。Microsoft 还允许创建新的模板。我们在下面说明了专门为 HP Jetdirect 打印服务器创建证
书模板的过程。
注:仅 Windows 2003 Enterprise Edition 和 Windows 2003 Datacenter Edition 中提供了下面介绍的
证书模板功能。
选择 Certificate
Templates(证
书模板)。
突出显示 Web
Server(Web
服务器)模板。
右击并复制证书
模板,然后将其
命名为“HP
Jetdirect”。
现在,右击“HP
Jetdirect”,
然后选择
Properties
(属性)。
• Console
Root/
Certificate
templates
(控制台根/
证书模板)
• Certificate
templates
(证书模板)
20
Page 21
为证书模板提供
所需的名称。
• Properties of
new template
(新模板的
属性)
• General
(常规)
在 Request
Handling(请求
处理)标签中,
选中 Allow
private key to
be exported
(允许导出私
钥)复选框。
• Properties of
new template
(新模板的
属性)
• Request
Handling
(请求处理)
21
Page 22
在 Extensions
(扩展)标签
中,选择
Application
Policies(应用程
序策略)扩展。
单击 Edit
(编辑)。
• Properties of
new template
(新模板的
属性)
• Extentions
(扩展)
单击 Add…
(添加…)。
Edit Application
policy extention
(编辑应用程序
策略扩展)
22
Page 23
选择 Client
Authentication
(客户端身份验
证),然后单击
OK(确定)。
• Add
Application
policy
(添加应用程
序策略)
• Client
Authentication
(客户端身份
验证)
单击 OK
(确定)。
Edit Application
policy extention
(编辑应用程序
策略扩展)
23
Page 24
单击 OK
(确定)。
• Properties of
new template
(新模板的
属性)
• Extentions
(扩展)
现在已创建了新的证书模板,我们需要将其启用以供认证机构使用。
选择“HP
Jetdirect”证书
模板,右击并
选择 Enable
(启用)。
• Console
Root/
Certificate
templates
(控制台根/
证书模板)
• Certificate
templates
(证书模板)
24
Page 25
选择“HP
Jetdirect”,
然后单击 OK
(确定)。
• Enable
Certificate
Templates
(启用证书
模板)
• Server
Authentication,
Client
Authentication
(服务器身份
验证、客户端
验证)
查看
Certification
Authority
(证书颁发机
构)管理单元
MMC 中的
Certificate
Templates
(证书模板)
文件夹,确保
HP Jetdirect
存在。
操作完成。
• Console
Root\Certifica
te authority
(local)\root
CA\Certificate
Templates
(控制台根\
证书颁发机构
(本地)\
根 CA\证书
模板)
• Certificate
templates
(证书模板)
25
Page 26
PKI:颁发证书
现在已安装了认证机构,我们可以使用 CA 的 Web 服务器界面为 Jetdirect 颁发证书,并将 CA 的公
共证书复制到文件中以供 Jetdirect 使用。
启动 CA 的 Web 服务器。
通过使用证书服
务的 URL,转到
认证机构的 Web
界面。由于我们
要为 Jetdirect 创
建证书,因此单
击 Request
a certificate
(申请一个
证书)链接。
• Microsoft
Certificate
Services -
Root CA
(Microsoft
证书服务 —
根 CA)
• Welcome
(欢迎)
单击 advanced
certificate request
(高级证书
申请)。
Request
a certificate
(申请一个
证书)
26
Page 27
单击 Create
and submit a
request to this
CA(创建并向
此 CA 提交一
个申请)。
Advanced
Certificate
Request
(高级证书
申请)
27
Page 28
确保选择了
“HP Jetdirect”
证书模板,然
后选中标题为
Mark keys as
exportable
(标记密钥为
可导出)的复
选框。虽然本
示例没有显示
DNS 名称,
但我们通常在
Name(名称)
字段中使用
DNS 名称。
Advanced
Certificate
Request
(高级证书
申请)
单击 Yes
(是)。
Potential
Scripting
Violation
(潜在的脚本
冲突)
28
Page 29
单击 Install this
certificate(安
装此证书)以
在本地计算机
中安装它。稍
后,我们将导
出该证书,然
后将其从该计
算机中删除。
Certificate
issued
(证书已颁发)
单击 Yes
(是)。
Potential
Scripting
Violation
(潜在的脚本
冲突)
29
Page 30
操作完成。
Certificate
Installed
(证书已安装)
到现在为止,我们已在运行 Web 浏览器的计算机的本地证书存储中加载了 Jetdirect 证书。稍后,
我们将返回并导出该证书,以便将其导入到 Jetdirect 中。现在,我们需要为 Jetdirect 下载 CA 证书。
30
Page 31
在主 Web
界面中,单击
Download
a CA
certificate…
(下载 CA
证书…)。
Microsoft
Certificate
Services -
Root CA
(Microsoft
证书服务 —
根 CA)
选择 Current
[RootCA]
(当前
[RootCA]),
选择“DER”
或“Base 64”
(如果使用以
前的 Jetdirect
产品),然后
单击 Download
CA certificate
(下载 CA
证书)。
Download a
CA Certificate,
Certificate
Chain or CRL
(下载 CA
证书、证书链
或 CRL)
31
Page 32
单击 Save
(保存)。
File Download Security
Warning
(文件下载 —
安全警告)
将该文件
命名为
“cacert.cer”。
Save as
(另存为)
我们还需要在本地计算机上安装 CA 证书链。这样,浏览器便可将 CA 颁发的证书识别为可信证书。
32
Page 33
单击 Install this
CA certificate
chain(安装此
CA 证书链)。
Download a
CA Certificate,
Certificate
Chain or CRL
(下载 CA
证书、证书链
或 CRL)
单击 Yes
(是)。
Potential
Scripting
Violation
(潜在的脚本
冲突)
33
Page 34
操作完成。
CA Certificate
Installation
(CA 证书
安装)
此时,我们需要导出证书,以便将证书与其私钥一起加载到 Jetdirect 中。我们需要再次启动 MMC 并
加载 Certificates(证书)管理单元。
转到 File
(文件)菜
单,然后选择
Add/Remove
Snap-In
(添加/删除
管理单元)。
Console Root
(控制台根)
34
Page 35
A
单击 Add…
(添加…)。
Add/Remove
Snap in
(添加/删除管
理单元)
单击
Certificates
(证书)。
•
dd/Remove
Snap in
(添加/删除
管理单元)
• Certificates
(证书)
35
Page 36
单击 My user
account(我的
用户帐户)。
Certificates
Snap in
(证书管理
单元)
单击 Local
Computer
(本地计
算机)。
Select
Computer
(选择计
算机)
36
Page 37
选择 Personal
(个人)下面
的 Certificates
(证书)文件
夹。突出显示
颁发的 Jetdirect
证书。右击并
选择 Export…
(导出…)。
Console Root\
Certificates Current
User\Personal\
Certificates
(控制台根\
证书 — 当前
用户\个人\
证书)
将启动
Certificate
Export Wizard
(证书导出向
导);按 Next
(下一步)。
Certificate
Export Wizard
(证书导出
向导)
37
Page 38
由于我们要将
此证书导入到
Jetdirect 中,
因此还需要导
出私钥。选择
Yes, export the
private key
(是,导出
私钥),然后
单击 Next
(下一步)。
Export
Priviate Key
(导出私钥)
注:大多数情况下,在导出证书时,并不需要导出私钥。最好将私钥保存在生成它的计算机中,
而绝不要将其移到其它地方。通常,该功能是通过在 Jetdirect 上生成证书签名请求 (CSR) 完成的。
Jetdirect 上的 CSR 过程创建一个公钥和私钥对,并将公钥包含在 CSR 中,而将私钥存储在闪存中,
而绝不对 Jetdirect 设备外部公开。随后,将 CSR 发送到认证机构,后者根据请求中的信息来颁发证
书。该证书只是“安装”在 Jetdirect 中,而没有“导入”。遗憾的是,企业 CA 修改证书的方式与
Jetdirect 的 CSR 并不兼容,这导致 Jetdirect 在证书安装过程中拒绝接受证书。Jetdirect 从 V.36.11
版开始就已解决了这一问题。通过使用 V.36.11 和更高版本,将接受使用 Jetdirect CSR 文件从企业
CA 颁发的证书。由于该过程比较安全并且是首选过程,因此,我们将在本白皮书后面对其进行介绍。
键入密码以
保护私钥。
单击 Next
(下一步)。
Password
(密码)
38
Page 39
将该文件命
名为
“jdcert.pfx”,
然后单击 Next
(下一步)。
File to export
(要导出的
文件)
单击 Finish
(完成)。
Completing the
Certificate
Export Wizard
(正在完成证
书导出向导)
单击 OK
(确定)。
Certificate
Export Wizard
(证书导出
向导)
39
Page 40
PKI:创建 Jetdirect CSR 和安装证书
从 Jetdirect 固件版本 V.36.11 开始,可以安装通过 CSR 创建并由企业 CA 颁发的证书。这种方法是
比较安全的证书安装方法(并且是首选方法)。首先,我们需要在 Jetdirect 上创建 CSR。
单击
Networking(联
网)标签,转到
Authorization
(授权),然后
单击 Certificates
(证书)。单击
Jetdirect
Certificate
(Jetdirect
证书)部分下
面的 Configure
(配置)。
选择 Create
Certificate
Request(创
建证书申请),
然后单击 Next
(下一步)。
Certificate
Options
(证书选项)
在描述设备的字
段中输入相应内
容。单击 Next
(下一步)。
Certificate
Information
(证书信息)
40
Page 41
Jetdirect 将生成
公钥/私钥对,
这可能需要一
些时间。
Configuration
Result
(配置结果)
您可以保存该文
件,或者只复制
从“-----BEGIN
CERTIFICAT
REQUEST-----”
开始一直到
“END
CERTIFICATE
REQUEST-----”
之间的文本
(含开头和
结尾的虚线)。
Configuration
Result
(配置结果)
41
Page 42
返回到企业 CA 的
Web 界面。在跳过
几个屏幕快照后,
我们转到 Advanced
Certificate Request
(高级证书申
请)。与导入证书
时单击 Create and
submit a request to
this CA(创建并向
此 CA 提交一个申
请)不同,我们将
单击第二个链接
Submit a certificate
request…(提交一
个证书申请…)。
将证书申请粘贴
到此处并选择
“HP Jetdirect”
证书模板。然后
单击 Submit
(提交)。
Submit
a certificate
request
or Renewal
Request
(提交一个证书
申请或续订
申请)
42
Page 43
现在,我们已创
建了证书。大多
数 Jetdirect 卡同
时支持 DER 和
Base64,但所
有的卡都支持
Base64。直接
单击 Download
Certificate(下
载证书)。
Certificate
issued
(证书已颁发)
保存证书。
Save as
(另存为)
43
Page 44
PKI:HP Jetdirect 证书配置
现在,我们可以讨论 HP Jetdirect 证书配置了。首先,我们在 HP Jetdirect 设备上安装 HP Jetdirect 身
份证书和 CA 证书。SSL、IPsec 以及 802.1X EAP 验证都使用 HP Jetdirect 证书。由于多种验证方法
都使用这些证书,因此,我们使用证书模板来创建证书以同时用作客户端和服务器。
要安装 HP Jetdirect 身份证书和 CA 证书,我们需要使用内嵌式 Web 服务器 (EWS)。
将 IE 指向 HP
Jetdirect 设备的
IP 地址。
Internet
Explorer
Enhanced
Security
Configuration
is enabled
(启用了
Internet
Explorer 增强
的安全配置)
对于某些 HP Jetdirect 打印服务器,将自动重定向浏览器以使用 SSL (https://)。对于其它 HP Jetdirect
产品,请将 URL 更改为使用 https://(而不是 http://)以确保 EWS 通信的安全性。要重定向到 SSL,
HP Jedirect 打印服务器需要将其默认证书发送到 Internet Explorer。由于每个 HP Jetdirect 打印服务器
都附带提供了自签名证书,因此将发出安全警报,因为浏览器无法确定证书是否有效。
44
Page 45
Security Alert
(安全警报)
单击 Yes(是)继续。在我们替换 Jetdirect 证书后,上述对话框将发生变化。
此处是 HP
Jetdirect 设备
主页。单击
Networking
(联网)标签。
45
Page 46
根据 HP
Jetdirect 机型和
固件,可能会看
到如下所示的屏
幕。它允许收集
有关 HP Jetdirect
配置的匿名售后
信息。参加此计
划是完全自愿
的。请根据您的
喜好,单击
Yes(是)或
No(否)。
Sending
Product
Information
to HP
(将产品信息
发送到 HP)
此时,您将转
到 Jetdirect 的
TCP/IP Settings
(TCP/IP
设置)链接。
在左侧导航
菜单上,选择
Authorization
(授权)。
• TCP/IP
Settings
(TCP/IP
设置)
• Summary
(摘要)
46
Page 47
单击
Certificates
(证书)标签。
• Authorizaton
(授权)
• Admin.
Account
(管理员
帐户)
HP Jetdirect 上有两个证书。一个是 HP Jetdirect 证书,它用于 SSL、某些 EAP 协议和 IPsec,等等。
另一个证书是认证机构 (CA) 公钥证书,它告诉 HP Jetdirect 应该信任哪个 CA。可以交换证书,并且
HP Jetdirect 需要能够验证收到的证书是由可信 CA 签名的。我们先安装 CA 证书。
单击 CA
Certificate
(CA 证书)
标题下面的
Configure…
(配置…)。
• Authorizaton
(授权)
• Certificates
(证书)
47
Page 48
Install(安装)
是唯一的选
项。单击 Next
(下一步)。
Certificate
Options
(证书选项)
将 Web 浏览
器指向前面
创建的
“cacert.cer”
文件。单击
Finish
(完成)。
Install CA
Certificate
(安装 CA
证书)
48
Page 49
操作完成!
Configuration
Result
(配置结果)
如果没有使用证书申请方法生成证书,则需要将“证书和私钥导入”到 Jetdirect 中。
现在,我们将
导入 Jetdirect
证书:单击
Jetdirect
Certificate
(Jetdirect
证书)标题
下面的
Configure…
(配置…)。
• Authorizaton
(授权)
• Certificates
(证书)
49
Page 50
选择 Import
Certificate and
Private Key
(导入证书和
私钥)。
单击 Next
(下一步)。
Certificate
Options
(证书选项)
50
Page 51
选择
“jdcert.pfx”
文件,其中包
含 Jetdirect 私
钥和用于保护
该私钥的密码。
单击 Finish
(完成)。
Import
Certificate and
Private Key
(导入证书和
私钥)
操作完成!
Configuration
Result
(配置结果)
51
Page 52
如果使用证书申请方法生成证书,则需要选择 Install Certificate(安装证书),而不是选择 Import
Certificate and Private Key(导入证书和私钥)。
返回到 Jetdirect
证书向导,选择
Install Certificate
(安装证书)选
项。单击 Next
(下一步)。
• Authorizaton
(授权)
• Certificate
Options
(证书选项)
选择前面保存
的证书文件。
单击 Finish
(完成)。
• Authorizaton
(授权)
• Install
Certificate
(安装证书)
操作完成!
Configuration
Result
(配置结果)
现在,我们已创建了代表 Jetdirect 身份证书和我们所信任的 CA 的公钥证书的文件。现在,我们可以
依靠网络基础设施来帮助控制网络访问了。
52
Page 53
步骤 3:802.1X 和 VLAN
IEEE 802.1X 端口访问控制是一个通用框架,它允许基础设施设备控制端节点的网络访问。从以太网
的角度看,我们可以参见图 13 – 802.1X 交换机端口以了解以太网交换机的详细信息。
图 13 - 802.1X 交换机端口
端节点设备必须先在网络中验证自己的身份,然后本地交换机才会授予其网络访问权限。端节点设备
具有到交换机的有效链接,但交换机仅将 802.1X 可扩展的身份验证协议 (EAP) 帧从端节点转发到网
络。图 14 – 802.1X 术语中显示了所涉及设备的技术术语。
图 14 - 802.1X 术语
事实上,验证方(交换机)将 802.1X EAP 帧从请求方转发到验证服务器。将根据验证服务器配置和
请求方提供的信息,确定是否对请求方进行验证。该验证的结果决定了是否向网络“开放”交换机端
口,以使请求方能够发送/接收非 EAP 帧来执行正常网络操作。通过使用 HP ProCurve 交换机,验证
服务器可以返回非常多的信息(如应为请求方分配的 VLAN、请求方的带宽限制等),并且交换机可
对其自身进行动态配置以支持这些参数。
53
Page 54
由于“可扩展的”是 EAP 名称中的一部分,因此在 EAP 框架下开发了多个协议。所有支持 802.1X
的 HP Jetdirect 产品也支持受保护的 EAP (PEAP)。很多 HP Jetdirect 产品还支持 EAP-传输层安全协议
(EAP-TLS)。这两种 EAP 类型在有线 802.1X 部署中最常用。两种协议都使用在 EAP 下运行的 SSL/TLS,
以便对建立安全隧道的验证服务器进行验证。在进行网上购物时,通常使用 SSL/TLS 来保护在网络上
进行的交易并建立以下信任关系:所联系的网站实际上就是该网站本身,而不是冒名顶替的网站。
SSL/TLS 建立在数字证书的基础上。对于 PEAP 和 EAP-TLS,验证服务器发送一个数字证书,请求方
将尝试对其进行验证。执行完一系列检查后,请求方需要确定该数字证书是由可信机构创建的。如果
它通过测试,则可以建立 SSL/TLS 隧道。在这一点上,PEAP 和 EAP-TLS 有所不同。PEAP 使用隧道通
过另一个协议将凭证(通常是用户名和密码)安全传递到验证服务器;而 EAP-TLS 则使用客户端数字
证书进行验证。
有关 HP Jetdirect 上的 802.1X 配置的深入讨论,请参见白皮书“How to use 802.1X on HP Jetdirect
Print Servers”(如何在 HP Jetdirect 打印服务器上使用 802.1X)。
802.1X:打印和成像虚拟 LAN
让我们假定,将某个办公楼的所有打印机安装在相同 VLAN 中。在通过 802.1X 确定打印机身份后,
将其与办公楼中的所有其它网络打印机或 MFP 放在 VLAN 中。通常会为 VLAN 分配其自己的 IP 子
网。因此,打印和成像设备管理组可以使用证书和完整 IP 配置对 HP Jetdirect 进行预配置,然后将其
部署到办公楼中的任意位置。智能网络基础设施的另一个不同寻常的优点是,它可以将未配置 802.1X
的端节点分配给“开放 VLAN”。例如,该 VLAN 也具有其自己的 IP 子网。打印机管理员组可以运
行网络查找,并方便地确定使用的哪些打印机不受打印机管理员的控制。请参见图 15 – 多个 VLAN。
图 15 – 多个 VLAN
54 55
Page 55
下面以 10 号办公楼为例:
• 10 号办公楼的 PID VLAN IPv4 子网: 10.0.0 /24
• 10 号办公楼的 PID VLAN IPv6 子网:2001:0DB8:0000::/64
• 10 号办公楼的打印机管理 VLAN IPv4 子网: 10.0.255/24
• 10 号办公楼的打印机管理 VLAN IPv6 子网:2001:0DB8:00FF::/64
• 基础设施服务器 VLAN IPv4 172.16 /16
• 基础设施服务器 VLAN IPv6 2001:0DB8:FFFF::/64
注:假定从路由的角度禁用了非 IPv4 和非 IPv6 协议。
PID 管理 (PIDA) 小组收到了 LaserJet 4345mfp。PIDA 小组分配静态 IP 地址 10.0.0.25 和
2001:0DB8::25,并向 IT 安全小组申请身份证书(DNS 名称为 hppid.example.internal)和根 CA
证书。PIDA 小组向网络基础设施小组 (NI) 指出,为该设备分配的 VLAN 是 PID VLAN,在 802.1X
验证成功后,应将 PID 放在该 VLAN 中。将 LaserJet 4345mfp 和 MFP 运送到 10 号办公楼。在
10 号办公楼安装完毕后,如果 802.1X 验证成功,则会自动将其放在 PID VLAN 中。
由于 PID VLAN 代表了单一故障点,因此,建议交换机使用冗余电源以及冗余或主干互连线路。此外,
还建议使用备用路由器在 VLAN 之间进行路由。最后,作为一项重要的安全保护措施,建议使用专用
VLAN。专用 VLAN 是一种控制哪些端口可与 VLAN 上的其它端口进行通信的方法;简而言之,PID
VLAN 上的打印机只能与路由器端口进行通信,而不能与其它设备进行通信。这会强制所有打印机通
信必须通过路由器。
一个替代设计是,将打印机或 MFP 与使用它们的组放在相同的 VLAN 中。这可防止在大多数打印中
始终需要使用路由器。在阅读完下一节后,您就会清楚使用 PID VLAN 到底有哪些优点。
步骤 4:基于交换机的 IP 访问控制列表
阅读完上一节后,客户可能会担心将所有打印机放在相同 VLAN 中的问题。这些客户可能会担心这样
的问题:将财务部使用的打印机与市场部使用的打印机放在相同 VLAN 和子网中。他们担心的是,如
果侵入者获取了打印机 VLAN 的访问权限,他就几乎可以阅读所有打印的内容。这种担心不无道理。
让我们总结一下,到目前为止介绍了哪些 PID VLAN 内容:
(1) 必须通过 802.1X 验证才能进入 PID VLAN
(2) 如果交换机支持专用 VLAN,PID 只能与路由器进行通信
确保网络安全的一个基本前提是,实施“深度防御”。在限制对网络第二层功能的访问方面(前面 (1)
和 (2) 中提到的内容),我们已经做了所有能做的事情。现在,我们开始看一下第三层,我们如何使
用路由器和 IPsec 进一步保护打印设备。
我们依旧以 10 号办公楼为例。其中,打印机 VLAN 是 10.0.0 /24;打印机管理 VLAN 是
10.0.255 /24。不难看出,打印机/MFP 进行的唯一通信就是与打印机管理 VLAN 之间进行的
通信。因此,我们可以在 VLAN 路由器上设置一个访问控制列表 (ACL),如下所示:
access-list permit ipv4 10.0.0.0/24 10.0.255.0/24
access-list permit ipv6 2001:0DB8:000::/64 2001:0DB8:00FF::/64
这些 ACL 放在入站方向作为 PID VLAN 一部分的接口上(从路由器的角度看)。将丢弃所有其它数
据包。我们还可以在出站路径上设置相应的 ACL。
access-list permit ipv4 10.0.255.0/24 10.0.0.0/24
access-list permit ipv6 2001:0DB8:00FF::/64 2001:0DB8:000::/64
Page 56
实际上,只允许将来自打印机管理 VLAN 的数据包传送到 PID VLAN。我们还需要允许访问基础设施
服务器 VLAN。
access-list permit ipv4 10.0.0.0/24 172.16 /16
access-list permit ipv6 2001:0DB8:000::/64 2001:0DB8:FFFF::/64
access-list permit ipv4 172.16 /16 10.0.0.0/24
access-list permit ipv6 2001:0DB8:FFFF::/642001:0DB8:000::/64
通过使用路由器的访问控制功能,我们有效地限制了在打印机管理 VLAN、PID VLAN 以及基础设施
服务器 VLAN 之间进行的通信。但是,有经验的攻击者可能会伪造数据包的源 IP 地址,使其看起来
似乎来自打印机管理 VLAN。这是创造“拒绝服务”条件所需的全部操作。一种应对 IP 地址欺骗的
方法是,在路由器接口上进行入口过滤。入口过滤将丢弃所有源 IP 地址与路由器配置不匹配的数据
包。要采取进一步的安全保护措施,请将 PID VLAN 与基础设施服务器 VLAN 之间的通信限制为使用
特定协议,如 Kerberos、DNS 和 LDAPS。
我们还有另一个选择:使用 IP 安全保护。
步骤 5:IP 安全保护 (IPsec)
通过使用 IPsec,我们可以对所有 PIM VLAN 和 PID VLAN 通信提供进一步的保护。IPsec 为应用程序
提供透明的安全保护。由于基础设施服务器 VLAN 存在一些“鸡生蛋还是蛋生鸡”的问题,因此,我
们仅使用 IPsec 对 PIM VLAN 和 PID VLAN 进行保护。我们将 PID VLAN 和基础设施 VLAN 协议限制
为所需的协议,如 Kerberos、LDAPS 和 DNS。
以这种方式配置的 IPsec 可防止任何其它 VLAN 与 PID VLAN 建立任何通信,即使它们可以绕过路由
器访问控制列表。
示例:PID VLAN 上的路由器。入站访问控制列表。
(1)
允许
源 IP 10.0.0 /24
目标 IP 10.0.255 /24
协议 UDP
端口 500
允许
源 IPv6 2001:0DB8:0000::/64
目标 IPv6 2001:0DB8:00FF::/64
协议 UDP
端口 500
(2)
允许
源 IP 10.0.0 /24
目标 IP 10.0.255 /24
协议 ESP
允许
源
IPv6 2001:0DB8:0000::/64
目标 IPv6 2001:0DB8:00FF::/64
协议 ESP
56
Page 57
PID VLAN 路由器上的出站访问控制列表
(1)
允许
源 IP 10.0.255 /24
目标 IP 10.0.0 /24
协议 UDP
端口 500
允许
源 IPv6 2001:0DB8:00FF::/64
目标 IPv6 2001:0DB8:0000::/64
协议 UDP
端口 500
(2)
允许
源 IP 10.0.255 /24
目标 IP 10.0.0 /24
协议 ESP
允许
源 IPv6 102001:0DB8:00FF::/64
目标 IPv6 2001:0DB8:0000::/64
协议 ESP
此配置允许路由器丢弃不使用 ESP 的数据包,或者丢弃不属于 PID VLAN 和 PIM VLAN 之间的 Internet
密钥交换 (IKE) 协商的数据包(在 HP Jetdirect 实现中,IKE 使用 UDP 500)。此外,如果不使用为
ESP 配置的 IPsec,则无法与打印机/MFP 进行通信。
这些只是路由器上的示例访问控制列表,并没有提供详细的设备或服务器 IPsec 配置。有关对端节点
IPsec 配置的深入讨论,请参见白皮书“Practical IPsec Deployment for Printing and Imaging
Devices”(打印和成像设备的实用
IPsec 部署)。
IPsec:打印机管理 VLAN
PIM VLAN 包含与 PID VLAN 直接交互的所有设备和服务。其中包括 Web Jetadmin、Windows 打印
服务器、系统日志服务器以及数字发送软件,等等。强烈建议您将提供用户功能(如打印和数字发送)
的计算机与用于打印机管理的计算机分开。SMTP 服务器是该 PIM VLAN 上的最重要的服务器之一。
该 SMTP 服务器专用于 MFP,并且可能仅用于将邮件转发到公司的主电子邮件服务器。但是,将它们
分开后,可能会对此电子邮件服务器进行非常严格的审计,并将其限制为 MFP 用户可能执行的操作。
例如,可能会禁止从 MFP 向公司外部的任何位置发送电子邮件;禁止在晚 6 点到早 6 点之间从 MFP
发送电子邮件;还可能禁止在星期六、星期日或节假日从 MFP 发送电子邮件。
在与打印机 VLAN 进行通信时,所有这些计算机都需要能够使用 IPsec。默认情况下,Windows 计算
机具有 IPsec 功能,但必须使用 Microsoft 管理控制台对其进行配置。此外,还应该严格锁定这些计
算机中不需要的服务和功能。
57
Page 58
根据当前配置,所有用户必须通过 Windows 打印服务器进行打印。打印机 VLAN 中的每台打印机都
需要在 Windows 打印服务器上定义相应的打印机。可随后通过共享(例如,其访问权限是由 Active
Directory 中定义的组控制的)来访问该打印机。这允许打印机变为“公共”打印机,或者将其限制为
市场组或任何分配了打印机/MFP 的组。这些计算机上的 IPsec 策略可能非常具体,因为只有到 PID
VLAN 的通信受 IPsec 保护,而其它通信不受 IPsec 保护。这意味着,发往 PIM VLAN 的打印通信不
受 IPsec 保护。
步骤 6:设备安全保护
本白皮书重点介绍了网络基础设施,并说明了如何有效地使用网络基础设施来帮助保护 HP PID。为
了确保 HP PID 自身的安全,强烈建议您阅读《HP Jetdirect 安全准则》白皮书。
总结
本白皮书介绍了一些常见技术,通过 HP Jetdirect 和“深度防御”技术保护客户的打印资产以免受攻
击和滥用。客户可能无法部署此处建议的所有技术,但本文希望可以为客户提供一些参考信息,以便
使用网络基础设施获得额外的安全保护。
© 2007 年 7 月 Hewlett-Packard Development Company, L.P. 本文档中包含的信息
如有更改,恕不另行通知。HP 不对与本信息有关的任何事宜提供担保。HP 明确否
认对特定用途的适销性或适用性作任何暗示担保。对于因本信息的供应或使用而导
致的任何直接、间接、偶发性、继发性或其它方面的损失,HP 不承担任何责任。
Microsoft、Windows 和 Windows NT/2000/XP 是 Microsoft Corporation 在美国
和其它国家/地区的注册商标。所有其它品牌和产品名称均为各自公司的商标或注册
商标。
58
Loading...