Ocho consejos para proteger las impresoras de tu red

Hace poco introduje una impresora Ricoh IM 6500 en la red de la oficina y me recordó que debemos tratar a las impresoras como a los ordenadores. Estos dispositivos deben recibir la misma cantidad de recursos de seguridad, controles, procesos y aislamiento que se necesitan para cualquier otro ordenador de la red.

Concéntrate en estas ocho áreas para evitar que tus impresoras sean un punto de entrada para los atacantes:

1. Limita los privilegios de acceso a las impresoras

Al igual que cualquier otra tecnología, limita el acceso a las impresoras sólo a quienes lo necesiten. Define las direcciones IP de red de los dispositivos con permiso para acceder a cada impresora.

2. Desactiva los protocolos no utilizados

Desactiva los protocolos no utilizados que estén activos en cada dispositivo. Configura sólo aquellos protocolos que sean necesarios. Asegúrate de revisar este proceso con regularidad, ya que las necesidades de tu red cambian.

Muchas impresoras tienen una configuración de seguridad por defecto que preconfigura las conexiones y los protocolos de la impresora basándose en los estándares establecidos por las agencias gubernamentales. FIPS 140 es un nivel estándar de protocolos de seguridad que se utiliza a menudo y puede ser preconfigurado. Desactivará automáticamente TLS1.0 y SSL3.0, y establecerá que el cifrado sea AES 128 bits/256 bits. También desactiva automáticamente Diprint, LPR, RSH/RCP, Bonjour, SSDP, SMB, NetBIOS y RHPP y establece automáticamente que el algoritmo de autenticación y cifrado de Kerberos sea AES256-CTS-HMAC-SHA1-96/AES128-CTS-HMAC-SHA1-96/DES3-CBC-SHA1.

3. Revisa el nivel de firmware de la impresora

Revisa el nivel de firmware de todos los equipos. Limita quién puede actualizar el equipo y cómo obtiene el equipo sus procesos de parcheo. Revisa también las direcciones IP que necesitará la impresora para informar de su estado si opta por ese proceso.

4. Ten cuidado con los informes automáticos de la actividad de la impresora

La mayoría de las impresoras alquiladas requieren un informe de estado de las páginas procesadas. Si no es conveniente que tus dispositivos informen automáticamente sobre estas cantidades, dispón de un proceso de recogida y notificación de dicha información. Si optas por la recopilación automática de datos, determina con tu proveedor la dirección IP que tus dispositivos utilizarán para conectarse y notificar esta información. Notifica al administrador de tu firewall este tráfico previsto.

5. Conoce la información que procesan tus impresoras

Revisa la información que procesa cada dispositivo y el nivel de protección necesario. Si se va a utilizar para el envío de faxes y necesitará procesos seguros, habilita IPsec y revisa qué personal de tu empresa debe tener derechos para revisar la carpeta a la que escanear. Revisa también si quieres que se configure la función de servidor de documentos y quién debe tener derechos sobre esa función.

6. Gestiona correctamente los archivos de registro de la impresora

Revisa las funciones de los archivos de registro y asegúrate de que los registros se almacenan en un proceso de almacenamiento de registros preferido, ya sea en un servidor de registros en la nube o en un servidor local de Splunk. Revisa a qué zona horaria quieres que se configure la impresora y si debe configurarse en un proceso de sincronización de reloj.

7. Confirma los controles de seguridad

Al desplegar las impresoras en áreas sensibles, revisa y confirma sus controles de seguridad. A menudo, los sistemas son examinados según los Criterios Comunes para dispositivos aprobados. Estos Criterios Comunes incluyen:

• Auditoría de seguridad: El dispositivo genera registros de auditoría de las acciones del usuario y del administrador. Almacena los registros de auditoría tanto localmente como en un servidor syslog remoto.
• Soporte criptográfico: El dispositivo incluye un módulo criptográfico para las operaciones criptográficas que realiza. Los números de certificado del Programa de Validación de Algoritmos Criptográficos (CAVP) correspondientes se anotan en el objetivo de seguridad.
• Control de acceso: El dispositivo aplica la política de control de acceso para restringir el acceso a los datos del usuario. El dispositivo garantiza que los documentos, la información del trabajo de procesamiento de documentos y los datos relevantes para la seguridad sean accesibles sólo para los usuarios autentificados que tengan los permisos de acceso adecuados.
• Cifrado de datos de almacenamiento: El dispositivo encripta los datos en el disco duro y en la memoria para proteger los documentos y la información confidencial del sistema si esos dispositivos se retiran de la red.
• Identificación y autenticación: Salvo un conjunto mínimo definido de acciones que puede realizar un usuario no autenticado, el dispositivo garantiza que todos los usuarios deben autentificarse antes de acceder a sus funciones y datos.
• Roles administrativos: El dispositivo proporciona la capacidad de gestionar sus funciones y datos. Los controles de acceso basados en roles garantizan que la capacidad de configurar los ajustes de seguridad del dispositivo esté disponible sólo para los administradores autorizados. Los usuarios autentificados pueden realizar operaciones de copia, impresora, escáner, servidor de documentos y fax en función del rol de usuario y los permisos asignados.
• Operaciones de confianza: El dispositivo realiza autopruebas de encendido para garantizar la integridad de los componentes del TSF. Proporciona un mecanismo para realizar actualizaciones de confianza que verifica la integridad y autenticidad del software de actualización antes de aplicar las actualizaciones. Utiliza un servidor NTP para obtener la hora exacta.
• Acceso al dispositivo: Las sesiones interactivas de los usuarios en las interfaces de usuario locales y remotas son terminadas automáticamente por el dispositivo después de un período configurado de inactividad.
• Comunicaciones de confianza: El dispositivo protege las comunicaciones de sus usuarios remotos mediante TLS/HTTPS, y las comunicaciones con los servidores LDAP, FTP, NTP, syslog y SMTP mediante IPsec.
• Separación de la red de fax PSTN: El dispositivo restringe la información recibida desde la red telefónica o transmitida a ella a sólo datos de fax y protocolos de fax. Garantiza que el módem de fax no se pueda utilizar para hacer un puente con la LAN.
• Sobrescritura de imágenes: El dispositivo sobrescribe los datos de imagen residuales almacenados en el disco duro después de que se haya completado o cancelado un trabajo de procesamiento de documentos.

8. Revisa las últimas orientaciones para la autentificación con tarjeta inteligente

En julio de 2021, Microsoft realizó cambios para CVE-2021-33764 con el fin de endurecer los procesos de impresión que dependen de la autentificación con tarjeta inteligente. A partir de las actualizaciones de agosto, Microsoft dejará de aplicar esta mitigación temporal. Si utilizas la autentificación con tarjeta inteligente para las impresoras, revisa el artículo KB5005408 para obtener más consejos sobre cómo tratar los posibles problemas cuando se instalen las actualizaciones de seguridad de agosto en tus controladores de dominio.