Brother Drucker Internetsperre nicht mehr vorhanden

[DonSerious]

Moin,
Ich habe vor Jahren eine Sperre für einen Brother MFC L2750DW eingerichtet damit dieser nicht gekapert wird da oftmals Lücken bekannt wurden. Dieser war 3 Monate nicht mehr an und nach dem letzten 7.62 Update ist diese Sperre und das Gerät verschwunden. Dabei war die unter der Kindersicherung Rubrik fest gesperrt worden.

Wie kann ich den jetzt in Betrieb nehmen ohne dass der direkt zerschossen wird? Er läuft über WLAN und wurde seit Beginn nie geupdatet wegen den Tonern.

Router ist eine 7490.

Danke

 

[Falk-Verena]

Moin, sperre die IP in der Fritte für das Internet.
mfg Falk

 

[Whistl0r]

Dieser war 3 Monate nicht mehr an und nach dem letzten 7.62 Update ist diese Sperre und das Gerät verschwunden. Dabei war die unter der Kindersicherung Rubrik fest gesperrt worden.

Die Fritz!Box bereinigt nicht mehr verbundene Geräte nach einer gewissen Zeit automatisch.

Dem kannst du begegnen, indem du dem Geräte in der Fritz!Box eine feste IP zuweist, siehe https://fritz.com/en/apps/knowledge...ssign-the-same-IP-address-to-a-network-device

Aber liegt hier ein Missverständnis vor? Vor wem willst du den Drucker schützen? Nur weil der Drucker in deinem Heimnetzwerk ist, kann er nicht von Dritten über das Internet genutzt werden, da dein Router (offenbar eine Fritz!Box 7490), standardmäßig alle eingehenden Verbindungen blockiert.

Die Internetsperre die du innerhalb der Fritz!Box einrichten kannst betrifft lediglich ausgehende Verbindung. D.h. bei aktiver Internetsperre in der Fritz!Box für ein Gerät, kann selbiges nicht mehr über die Fritz!Box, welche das Gerät als Gateway verwendet, nach draußen kommunizieren. Wenn du bspw. verhindern wollen würdest, dass der Drucker "nach Hause" telefoniert, würde das Sinn machen.

Aber im Normalfall, gerade bei einem MFC L2750DW, sollte es keinen Grund geben den Internetzugang zu blockieren...

 

[DJMadMax]

Meine Internetsperre ist ein Stromschalter im Stromkabel zum Drucker - hilft überraschend gut.

Ergänzung (Dienstag um 06:20)

da dein Router (offenbar eine Fritz!Box 7490), standardmäßig alle eingehenden Verbindungen blockiert.

Das ist pauschal falsch, denn ohne offene Rückkanäle wäre Browsen oder die generelle Verbindung zum Internet gar nicht möglich. Einige Standardports müssen daher in beide Richtungen offen sein und das sind dann auch die, über die Angriffe ausgeführt würden.

Aber erneut: keine Panik auf der Titanik! Zum Einrichten den Drucker meinetwegen bei deaktiviertem Internet lokal per USB anschließen und Treiber installieren, anschließend ins Netz integrieren.

Und dann eben immer nur dann einschalten, wenn gedruckt werden soll. Es gibt sowieso überhaupt keine Gründe, den dauerhaft im Standby rumdümpeln zu lassen.

Es ist übrigens nicht so, dass permanent ein Exploit an deine Internettür klopft und ununterbrochen nach Drucker-Schwachstellen sucht.

 

[prian]

Ich denke die größte "Angst" des TE ist, dass der Bruder ein Update macht und ihm seine Ersatztoner verhagelt werden. Da müsste man einfach das Update-Programm lokal am PC entweder loswerden oder in der Windows-Firewall (falls Windows genutzt wird) blockieren.
Natürlich besteht keine Gefahr dass der Drucker von Außen, obwohl er ggf. Schwachstellen wegen veralteter Firmware hat, angegriffen wird.

Ansonsten wurde ja bereits was gesagt wie der Drucker dauerhaft vom Internat abgehalten wird in der Fritzbox.

 

[Phil_81]

Geb dem Drucker ne feste IP-Adresse und lass das Gateway weg, dann sollte sich das Thema erledigt haben. Dann musst du auch an der Fritzbox nichts mehr blockieren...

Ausser natürlich, die Software am PC/Notebook schiesst dir die Updates drauf.

 

[nkler]

Das ist pauschal falsch, denn ohne offene Rückkanäle wäre Browsen oder die generelle Verbindung zum Internet gar nicht möglich. Einige Standardports müssen daher in beide Richtungen offen sein und das sind dann auch die, über die Angriffe ausgeführt würden.

Naja, das klingt so aber auch nicht richtig.
Ja, es benötigt Rückkanäle aber diese sind nicht die pauschal in beide Richtungen geöffnet. Rückkanäle werden dynamisch erlaubt, passend zur jeweiligen ausgehenden Verbindung. Ohne ausgehende Verbindung sollte es also auch keinen Rückkanäle geben.

 

[Mojo1987]

Einige Standardports müssen daher in beide Richtungen offen sein und das sind dann auch die, über die Angriffe ausgeführt würden.

Das ist nicht wie Browser oder generell der Verbindungsaufbau funktioniert und ist schlichtweg falsch. Da werden keine Standardports geöffnet. Da wird mit Sockets gearbeitet dediziert auf die nötige Verbindung Quell:Ziel über Random High Range Ports. Ein Hacker kann da erstmal nichts machen für ihn sieht der Port weiter geschlossen aus.

Die Internetsperre auf dem Brother ist höchstens interessant um die FW Updates zu unterbinden, ansonsten aber eigentlich nicht nötig.

 

[eigsi124]

Das ist pauschal falsch, denn ohne offene Rückkanäle wäre Browsen oder die generelle Verbindung zum Internet gar nicht möglich. Einige Standardports müssen daher in beide Richtungen offen sein und das sind dann auch die, über die Angriffe ausgeführt würden.

Die Aussage stimmt so nicht.
Die target Ports sind standardisiert, die Source Ports sind random und nur für die jeweilige Verbindung und nicht für alle offen.
Dazu hast du bei IPv4 wahrscheinlich noch NAT/PAT am Router.

Zum TE:
Wie bereits erwähnt, eine fixe IP vergeben und danach die Internetsperre aktivieren sollte auch dauerhaft. funktionieren.

 

[alexx_pcfreak]

Aber liegt hier ein Missverständnis vor? Vor wem willst du den Drucker schützen? Nur weil der Drucker in deinem Heimnetzwerk ist, kann er nicht von Dritten über das Internet genutzt werden, da dein Router (offenbar eine Fritz!Box 7490), standardmäßig alle eingehenden Verbindungen blockiert.

This!

 

[Bahkauv]

Meine Internetsperre ist ein Stromschalter im Stromkabel zum Drucker - hilft überraschend gut.

Gar kein Drucker ist übrigens noch besser!

Das ist pauschal falsch, denn ohne offene Rückkanäle wäre Browsen oder die generelle Verbindung zum Internet gar nicht möglich. Einige Standardports müssen daher in beide Richtungen offen sein und das sind dann auch die, über die Angriffe ausgeführt würden.

Überhaupt nichts ist da offen. Jede ausgehende (!) Verbindung erzeugt dynamisch einen Rückkanal. Der Router lässt über diesen Rückkanal nur Verbindungen zu, die zur ausgehenden Verbindung passen (IP + Port).

Und dann eben immer nur dann einschalten, wenn gedruckt werden soll. Es gibt sowieso überhaupt keine Gründe, den dauerhaft im Standby rumdümpeln zu lassen.

Bequemlichkeit wäre so ein Grund.

Es ist übrigens nicht so, dass permanent ein Exploit an deine Internettür klopft und ununterbrochen nach Drucker-Schwachstellen sucht.

Doch, genau das passiert. Kannst du ja mal mit geeigneten Maßnahmen loggen. Vermutlich wärst du überrascht. Sofern man seinen Router aber nicht verbastelt hat, sind die harmlos.

 

[nutrix]

Das ist pauschal falsch, denn ohne offene Rückkanäle wäre Browsen oder die generelle Verbindung zum Internet gar nicht möglich.

Das ist so nicht richtig. Es wird nur dynamisch auf das reagiert, was von innnen nach außen ins Netz geht, aber nicht umgekehrt.

Einige Standardports müssen daher in beide Richtungen offen sein und das sind dann auch die, über die Angriffe ausgeführt würden.

Autsch? Wenn dem wirklich so wäre, wäre das der absolute Gau für jedes Netzwerk und Firmennetz. 😆🙃
Da hast Du bestimmt was verwechselt.

Und nein, es werden alle unbekannten Anfragen von außen immer erst geblockt, außer es wurde vorher ein Verbindung von innen nach außen zugelassen, der geroutet, genattet wird (vermutlich meinst Du das hier) oder es gibt entsprechende Netzfilterregeln.

Ergänzung (Dienstag um 09:18)

Ich habe vor Jahren eine Sperre für einen Brother MFC L2750DW eingerichtet damit dieser nicht gekapert wird da oftmals Lücken bekannt wurden.

Was gabs da für einen konkrekten Vorfall?

 

[DJMadMax]

@nutrix
Sorry, da habe ich mich sehr ungenau und stark vereinfacht ausgedrückt. Ausgehend gibts ne Anfrage und rückwärtig kommt dann (temporär) das Okay durch, sofern das Anfragepaket verifiziert wurde.

Du hast mit dem, was du schreibst, natürlich vollkommen Recht.

 

[areiland]

Meine Internetsperre ist ein Stromschalter im Stromkabel zum Drucker - hilft überraschend gut.

Bei mir auch. Sämtliche Drucker sind nur dann mit Strom versorgt, wenn sie tatsächlich benötigt werden. Und damit keiner von uns beim Brother in die Ecke krabbeln und nach seinem Schalter suchen muss, hängt er an einer Zigbeesteckdose und kann entweder per App oder einem am Zimmereinfang positionierten Szenenschalter ein- und ausgeschaltet werden.

 

[Whistl0r]

Hier sollten sich ein paar Leute einmal darüber informieren, was eine Stateful Firewall macht, wie man sie bspw. auf jeder Fritz!Box antrifft:

Natürlich muss die Antwort des im Internet stehenden Webservers zurück an den Browser auf dem Client im Heimnetzwerk gelangen können. Eingehender Datenverkehr benötigt immer einen offenen Port. Aber hier greift eben die Stateful Firewall: Diese weiß genau, dass der Client zum Webserver mit der IP-Adresse 1.2.3.4 eine Verbindung aufgebaut hat und dass "der Rückkanal" auf Port 10321 (den Port würfelt zum einen der Client... aber da der Client ja keine Direktverbindung hat sondern über den Router ins Internet geht schaut dieser auch noch einmal ob bei sich der Port 10321 gerade nutzbar ist bzw. würfelt eh von sich aus neu und setzt dann den selbst gewürfelten Port auf auf die LAN-Adresse und Port 10321 um) lauscht. Wenn jetzt jemand anderes wie auch immer davon Kenntnis erlangt (das alleine wäre schon eine Lotterie), dass da jemand gerade auf Port 10321 lauscht und auf die Idee kommt da jetzt Daten hinzuschicken, dann würde die Stateful Firewall eingreifen und diese Pakete verwerfen, weil sie ausschließlich auf Port 10321 von der IP 1.2.3.4 Daten erwartet.

Es ist also technisch ausgeschlossen, dass der Drucker im Heimnetzwerk von außen angegriffen werden kann.

 

[DonSerious]

Was gabs da für einen konkrekten Vorfall?

Dieser hier beispielsweise
https://www.heise.de/news/Sicherhei...uckern-verschiedener-Hersteller-10461742.html

Bezieht sich das nur auf Firmendrucker die von außen erreichbar sind? Ist das meiner der am Router hängt nicht auch? Wie unterscheidet sich das genau? Mir geht es wirklich nur um auslesen der Dokumente usw. automatische firmwareupdates passieren normal nicht.

Gruss

 

[redjack1000]

@DonSerious

Hast Du den Artikel und gelesen und erkannt, was da als Abhilfe beschrieben wird?

CU
redjack

 

[Whistl0r]

Bezieht sich das nur auf Firmendrucker die von außen erreichbar sind? Ist das meiner der am Router hängt nicht auch? Wie unterscheidet sich das genau? Mir geht es wirklich nur um auslesen der Dokumente usw. automatische firmwareupdates passieren normal nicht.

Niemand kann von außen auf deinen Drucker zugreifen. Du brauchst ihn nicht zusätzlich durch Konfigurationen wie einer Internetsperre innerhalb des Routers zu schützen.

Das durch Rapid7 gefundene Problem betrifft Leute bzw. Firmen, welche ihre Drucker für das Internet freigegeben haben (aktiv, dass passiert nicht automatisch), in so genannten DMZ betreiben. Wenn du auf Shodan und Co. suchst wirst du einige Drucker finden, welche "freigegeben" sind. Das ist eben keine gute Idee (und oftmals auch einfach nur eine Fehlkonfiguration).

Wenn du deinen Drucker aber nicht explizit für das Internet freigibst, d.h. im Router keine Portfreigaben für diese konfigurierst, kann niemand außerhalb deines Netzwerks etwas machen.

Wenn du ein Unternehmen bist und Dritte Zugang zu deinem Netzwerk haben, dann sieht es etwas anders aus. Denn jeder der in deinem Netzwerk ist könnte auch erst einmal, ohne weitere Sicherheitsmaßnahmen, auf andere Geräte im Netzwerk zugreifen. Würdest du dich davor schützen wollen, würdest du aber ganz andere Geräte benötigen (Stichwort verwaltete Switche, VLANs usw.).

 

[DonSerious]

was da als Abhilfe beschrieben wird?

Ja und ich will kein Passwort ändern müssen wenn ihr alle behauptet dass der Router nicht kontaktiert werden kann. Es macht absolut keinerlei sinn auf irgendeine Sicherheitslücke zu reagieren wenn diese doch privat sowieso nicht nutzbar sind? Also ist die Annahme entweder alles egal oder alles wichtig.

Warum das Passwort nicht das Problem ist: morgen wird eine neue Lücke entdeckt bei dem man den Namen des Druckers ändern muss. Ich bekomme es aber 3 Monate später erst mit. Macht für mich keinen Sinn.

Niemand kann von außen auf deinen Drucker zugreifen.

Also ist es egal ob ich das Standardpasswort verwende oder sämtliche Protokolle in der Router config ausgewählt habe wie Air Print usw?

Danke

 

[Whistl0r]

Ja, die Konfiguration am Gerät selbst (ob du also am Gerät selbst AirPrint aktiviert hast), betrifft nur dein lokales Netzwerk.

Solange du den Drucker nicht explizit im Router freigibst, im Falle der Fritz!Box also ein Port-Forwarding für diesen konfigurierst, kann niemand außerhalb deines LANs darauf zugreifen.