 L'imprimante Unique Un pas vers les impressions totalement sécurisées Eric WIES – JRES 2011

JRES 2011L'imprimante Unique2 Plan  Motivations  L'impression dans nos établissements  L'imprimante Unique ¯Un seul périphérique d'impression ¯Chiffrage des communications ¯Limitations et sécurité  Implémentations futures

JRES 2011L'imprimante Unique3 Motivations  Impression et sécurité du document ? ¯Chaîne finale du traitement du document ¯Beaucoup de périphériques  Imprimante, Multifonction ¯Beaucoup de protocoles (IPP, CUPS, SAMBA) ¯Partage automatique (cups, samba)  Et la sécurité ? ¯Peu utilisé  Mais des efforts récents ¯On partage d'abord les ressources puis...

JRES 2011L'imprimante Unique4 Impression dans nos établissements  De l'impression locale ¯De l'imprimante USB  A l'impression réseau ¯Partage d'une imprimante USB ¯Boîtiers d'impressions (USB ↔ IP) ¯Utilisation d'imprimante réseaux  Jusqu’à l'impression centralisée ¯Serveur d'impression  Avec au sans réseau dédié à l'impression

JRES 2011L'imprimante Unique5 Impression réseau  Avantages ¯Un seul réseau ¯Proximité physique  Risques : ¯Protection des documents ? ¯Choix de l'imprimante ? ¯Écoute du réseau ¯Perte d’une imprimante ¯Partage d'une imprimante

JRES 2011L'imprimante Unique6 Impression réseau : Serveur d'impression  Avantages : ¯Centralisation des ressources ¯Groupement d'impression  Risques : ¯Protection des documents ? ¯Écoute du réseau ¯Partage d'une imprimante ¯SPOF

JRES 2011L'imprimante Unique7 Impression réseau : Serveur et réseau dédié  Avantages : ¯Flux séparés  Risques : ¯Protection des documents ? ¯Partage d'une imprimante ¯SPOF

JRES 2011L'imprimante Unique8 Impression réseau : Piratage de ressources  Cas d'un partage ¯Peut être involontaire  Le serveur d'impression ¯Transmet le document ¯Ne peux valider la source

JRES 2011L'imprimante Unique9 L’imprimante unique  Proposer un périphérique ¯Qui isole les imprimantes ¯Qui sera l’unique cible d’impression  Indépendant des ¯Imprimantes ¯Protocoles d’impressions ¯Postes clients

JRES 2011L'imprimante Unique10 Imprimante Unique : Cible unique d'impression  Rôle ¯Prend la place du serveur d'impression ¯Devient la seule imprimante ¯Dissimule les imprimantes  Avantages ¯Décide de la vraie cible ¯Protocole natif de l'imprimante ¯Une seule adresse IP

JRES 2011L'imprimante Unique11 Imprimante Unique : Fonctionnement  Re-directeur de paquets TCP ¯Basé sur IPTABLES ¯Reçoit les paquets destinés à l'imprimante  Les redirige vers la « bonne » imprimante ¯Reçoit les paquets de l'imprimante pour le poste  Les redirige vers le « bon » poste ¯Fonctionnement  Basé sur l'adresse IP du poste, l'adresse IP de l'imprimante  Basé sur le port d'impression (souvent 9100)  Basé sur un fichier de configuration pour lier le poste et l'imprimante

JRES 2011L'imprimante Unique12 Imprimante Unique : Fonctionnement  Exemple de règles ¯Macros  export Nat_Post_Vers_Ext="-t nat -A POSTROUTING -o eth0"  export Nat_Pre_Depuis_Ext="-t nat -A PREROUTING -i eth0 -d IP_Ext »  export Nat_Post_Vers_Int="-t nat -A POSTROUTING -o eth1"  export Forward_I_E="-A FORWARD -i eth1 -o eth0"  export Forward_E_I="-A FORWARD -i eth0 -o eth1"

JRES 2011L'imprimante Unique13 Imprimante Unique : Fonctionnement  Exemple de règles ¯Règles  iptables $Forward_E_I -s $IP_Poste -d $IP_Imprimante -p TCP --dport $Port -j ACCEPT  iptables $Forward_I_E -s $IP_Imprimante -d $IP_Poste -p TCP --sport j ACCEPT  iptables $Nat_Pre_Depuis_Ext -s $IP_Poste -p TCP --dport $Port -j DNAT --to-destination ${IP_Imprimante}:9100  iptables $Nat_Post_Vers_Int -s $IP_Poste -d $IP_Imprimante -p TCP --dport $Port -j ACCEPT

JRES 2011L'imprimante Unique14 Imprimante Unique : Interfaces utilisateurs  Commandes ¯Liste_Imprimantes :  Liste les imprimantes avec leurs clients ¯Liste_Clients :  Liste les clients avec les imprimantes attachées ¯Lier_Imprimante :  Lie un client avec une imprimante

JRES 2011L'imprimante Unique15 Imprimante Unique : Protocole unique  Choix libre du protocole ¯Changement d'imprimante limité ¯Il faut trouver une imprimante compatible  Utilisation d'un seul protocole (PCL/ Postscript) ¯Changement d'imprimante illimité ¯En temps réel ¯Sans intervention sur le poste utilisateur ¯Attention aux capacités du périphériques (mémoire/ recto-verso)

JRES 2011L'imprimante Unique16 Imprimante unique : Protocole unique  Gestion d'une défaillance ¯L'imprimante unique redirige les impressions ¯Le client n'a rien à faire ¯L'impression continue sur la nouvelle imprimante  Retour à la normale ¯Aucun impact sur le client

JRES 2011L'imprimante Unique17 Imprimante unique : Impressions chiffrées  Chiffrer la communication ¯Entre les clients et l'imprimante  Protocole natif ¯IPPS ¯HTTPS  Proposer un tunnel chiffré ¯Entre les clients ¯Et l'imprimante unique

JRES 2011L'imprimante Unique18 Imprimantes Unique : Limitations et Sécurité  Limitations ¯Impose un double réseau par bureau ¯Surcharge de management de commutateurs (VLAN)  Sécurité ¯Imprimante Unique = Point Unique de Rupture (SPOF) ¯Mais facilement remplaçable  Machine de remplacement en veille (peut être virtualisée)  Surveiller l'imprimante unique, puis remplacement à la volée ¯Attention à l'écoute dans le réseau d'impression

JRES 2011L'imprimante Unique19 Imprimante Unique Implémentations futures  Ajouter d'autres protocoles pour la gestion ¯SNMP ¯HTTP ¯Telnet  Mixage Imprimante Unique / Serveur d'impression ¯Gestion des quotas ¯Gestion des utilisateurs

JRES 2011L'imprimante Unique20 Questions ?