インターネットに接続したセキュアでないネットワーク(Net:B)があります。
1台しかないプリンタでどちらからも印刷できるようにするために、
そのプリンタのセントロニクスポートとEthernetポートをそれぞれ接続しようと
考えています。
Net:A側をEthernetポートに、Net:B側をセントロニクスポートに接続して運用しようと考えていますが、
これがネットワーク間侵入のセキュリティホールになる可能性はあるでしょうか?
なお、使用しようとしてるプリンタは、NEC Multiwriter 2800Nってモデルです。
ありえませーん。大丈夫です。そんなことはできません。
できるためには、セントロのポートから進入するか、PCのセントロのポートに侵入するかしないといけませんが、そんなことはできないです。
ただ、可能性の問題を考えると、セキュアでないネットからプリンタに進入し、セントロのポートに入ってくるデータをネット経由で、どこかに送ることができそうです。
情報漏えいを防ぐためには、セキュアなネット側にネットのポートをつないだほうが安全と思います。
ただ、これもかなり困難なので、考えなくてもいいと思いますが。
http://q.hatena.ne.jp/1145693743
URLはダミーです。
ご質問の場合、ネットAへの侵入が起こりうる可能性を考慮しますと…。
という3段階の侵入を行う必要があります。
ルータ・PC・プリンタの全部に脆弱性が存在していないとこれは
不可能ですので相当に困難です。
リクスマネジメント的に考えるなら、NetAで処理している
保護されるべき情報に、侵入者がそれだけ面倒な作業を行っても
得られるだけの価値があるかどうかを判定する方が早いかな、と。
一般的には心配に及ばない規模だと思います。
国家レベルでの機密情報を扱うと考えてください。
本来ならプリンタをもう一台買えばいい話なのですが、予算が下りないところに(設置場所の問題がありますが)最大の問題点があることは頭の中にあります。
原理的に不可能といえない限り、脆弱性の「可能性の低さ」を期待するのはセキュリティとしてはまずいんじゃないかと思います。0でないもの同士を掛け合わせても、0にはなりません。
ネットワークがセキュアでないという仮定を置いてますのでここは脆弱だと思っていいでしょう。
上でも書いたとおり、パラレルポート経由での侵入によって、プリンタイメージをネットB経由でどこかに送るような攻撃を考えた場合、
ネットBとプリンタ間の通信を一方向にすれば、たとえプリンタ側に脆弱性があってもPCが受け取れないために情報は流れない様な気がしてきました。
セントロニクスポート経由でプリンタにバッファオーバーフロー攻撃を行って、PIP接続して侵入 なんてモデルを考えたのですが、
ありえないですかね。
パラレルポートを入出力にせずに、出力のみにすれば安全な気がしてきました。
#リモートからだとBIOS設定は変えられませんしね。