Когда вы открываете логи роутера в обычный воскресный вечер, последнее, что ожидаешь увидеть, — это принтер, который беседует с неизвестными серверами. Но именно так современные сетевые принтеры и ведут себя: отправляют телеметрию, тянут обновления, проверяют уровень чернил и оставляют след в логах там, где, казалось бы, им делать нечего. Устройство, которое выглядит безобидной периферией, на деле работает как полноценный IoT-узел. И безопасность принтера начинается не с «антивируса для принтера», а с архитектуры сети.
Что на самом деле делает ваш принтер
Принтеры последних лет — это не простые устройства для печати. Это маленькие компьютеры с собственной операционной системой, встроенной памятью и сетевым интерфейсом. Они собирают и отправляют данные о себе без явного согласия пользователя.
Производители обычно объясняют это функциональностью: телеметрия помогает отслеживать уровень чернил и тонера, автоматические обновления прошивки закрывают уязвимости, облачные сервисы позволяют печатать со смартфона или издалека. Но вместе с этим принтер может отправлять:
- сведения о напечатанных документах, включая размер, тип файла и используемое приложение;
- время печати и режим работы;
- бренд расходников;
- логи событий и статистику использования.
Не вся эта информация обязательно выглядит чувствительной сама по себе, но в совокупности она многое рассказывает о привычках и рабочих сценариях.
Есть и другой класс рисков. Прошивка, которую производитель может обновить в любой момент, иногда приносит изменения, которые пользователю не нужны. Классический пример — обновления, блокирующие совместимость с картриджами сторонних производителей.
Принтер как точка входа в сеть
Сетевой принтер — это не пассивный выход данных, а активный участник вашей сети. Если на нём остаются учётные данные администратора по умолчанию, любой в локальной сети может получить доступ к панели управления. Отсюда уже недалеко до изменения конфигурации, перехвата документов или использования принтера как плацдарма для атаки на соседние машины.
Кроме того, принтер может хранить копии напечатанных документов во встроенной памяти или на внутреннем накопителе. Если устройство скомпрометировано, налоговые декларации, договоры и медицинские формы могут оказаться доступны постороннему.
Старая прошивка — ещё один риск. Производители публикуют исправления уязвимостей, но не все пользователи спешат их ставить. В итоге принтер может оставаться уязвимым месяцами или даже дольше.
Архитектурное решение: минимальные права и сегментация
Безопасность начинается не с панацеи вроде «установите антивирус для принтера», а с правильной модели доступа. Принтеру нужен доступ к вашим устройствам — но не свободный выход в интернет и не лишний доступ к остальной локальной сети.
| Функция | Нужен ли доступ в интернет? | Нужен ли доступ к локальной сети? | Уровень риска |
|---|---|---|---|
| Печать с ноутбука или телефона | Нет | Да | Минимальный |
| Облачная печать | Да | Да | Средний |
| Автообновление прошивки | Да | Нет | Средний |
| Телеметрия | Да | Нет | Средний |
| Удалённое управление через интернет | Да | Нет | Высокий |
| Сканирование на email | Да | Да | Средний |
Главная идея проста: разрешить локальную печать, но блокировать лишний исходящий трафик в интернет.
Первый уровень: firewall-правила
Самый прямой способ — создать правило на роутере или firewall, которое запретит трафику от IP-адреса принтера выходить в WAN. Принтер при этом остаётся видимым для ноутбука и телефона, но не может связаться ни с облачными сервисами производителя, ни с серверами обновлений.
Перед этим стоит закрепить за принтером статический IP-адрес через DHCP-резервирование. Если IP будет меняться, правило перестанет работать. Это простая операция в панели роутера, и обычно она занимает несколько минут.
graph LR A[Ноутбук] -->|печать на порт 9100/631| B[Принтер] C[Телефон] -->|печать через локальную сеть| B B -->|блокировано на firewall| D[Интернет] B -.->|DNS, NTP — если разрешены| D style D fill:#ffcccc style B fill:#ffffcc
Второй уровень: VLAN и сегментация
Если одного firewall-правила мало, следующий шаг — вынести принтер в отдельный виртуальный сегмент сети (VLAN). В домашней или офисной схеме это обычно выглядит так:
- VLAN 1 — основные устройства: ноутбук, рабочая станция, NAS;
- VLAN 2 — IoT-устройства и принтеры.
Между VLAN задаются явные правила: устройства из основной сети могут обращаться к принтеру для печати, а принтеру не дают свободно ходить в интернет. Если нужно обновить прошивку, правило можно временно ослабить, выполнить обновление и затем вернуть блокировку.
Рекомендации по VLAN и firewall зависят от конкретного роутера, коммутатора и схемы сети. Но принцип везде один: принтеру не нужен лишний доступ, если он просто должен печатать.
Проверка подозрительного трафика: как не запутаться
Когда в логах появляется подозрительное соединение с IP-адресом принтера, важно не перепутать сам принтер с рабочей станцией, print server или NAT-узлом.
Если запустить netstat на своём ноутбуке, вы увидите соединения именно ноутбука, а не принтера. Проверка исходящих соединений через netstat на компьютере не доказывает поведение самого принтера. Это частая ошибка: находят в логах IP-адрес, проверяют netstat на рабочей станции и делают вывод о принтере, хотя трафик мог идти совсем с другого устройства.
Чтобы подтвердить реальный трафик принтера:
- Смотрите логи роутера или firewall — там видны сессии, привязанные к конкретному IP-адресу.
- Проверьте DNS-логи — если принтер запрашивал домен обновлений, это уже полезная зацепка.
- Используйте packet capture — зеркалируйте трафик с порта, к которому подключён принтер, или снимайте его на firewall. Даже если трафик зашифрован, вы всё равно увидите IP, порт, время и объём.
Обычно исходящие соединения принтера связаны с портами 443 (HTTPS), 123 (NTP) и 53 (DNS). Если устройство пытается ходить на странные порты или в неизвестные направления, это повод разбираться дальше.
Базовая гигиена: не только изоляция
Сегментация важна, но не заменяет базовую настройку. Начать стоит с трёх простых шагов:
- Смените пароль администратора по умолчанию. Найдите IP-адрес принтера, откройте его веб-интерфейс и задайте сложный уникальный пароль.
- Обновите прошивку. Проверьте раздел обновлений в интерфейсе принтера и установите актуальную версию с сайта производителя.
- Отключите ненужные сервисы. Если не используете Wi‑Fi Direct, гостевой доступ, облачную печать или удалённое управление, лучше их убрать.
На уровне Wi‑Fi убедитесь, что роутер использует WPA3 или хотя бы WPA2 с AES, а не старый WEP. WPS тоже лучше отключить: это удобно, но небезопасно.
Компромисс между безопасностью и удобством
Блокировка исходящего трафика имеет побочный эффект: часть облачных функций может перестать работать. Если вы печатаете со смартфона вне дома или полагаетесь на автоматические обновления, ограничения могут оказаться заметными.
В разных моделях принтеров и прошивках сетевое поведение отличается. Поэтому перед жёсткой блокировкой полезно проверить, какие именно функции завязаны на интернет в вашей модели. Иногда достаточно отключить только облачные сервисы или телеметрию, чтобы принтер остался функциональным, но стал заметно тише.
Блокировка интернета может отключить облачную печать, автообновления или удалённые сервисы.
Итог: принтер как IoT-узел
Ваш принтер — не просто периферия, а полноценный сетевой endpoint. К нему стоит применять те же принципы, что и к другим IoT-устройствам: минимальные права, сегментация, контроль исходящего трафика и базовая гигиена настроек.
Если у вас есть роутер с поддержкой VLAN и firewall-правил, вынесите принтер в отдельный сегмент и запретите ему свободный выход в интернет. Если инфраструктура проще, начните хотя бы с блокировки WAN для IP принтера.
Час на настройку сейчас сэкономит много лишних вопросов потом. И главное — принтер снова будет тем, чем и должен быть: скучным, надёжным устройством, которое печатает, когда вы этого хотите, и молчит в остальное время.
