Embed Size (px)
Citation preview
1www.mkbservicedesk.nl/automatisering
MFP Beveiliging HandleidingRichtlijnen voor MFP-BeveiligingPrinters hebben de afgelopen jaren een enorme ontwikkeling doorgemaakt. Vroeger duurde het minuten voor je A4-tje was
uitgeprint, waren printers lompe apparaten en kon je er eigenlijk verder niets mee. Tegenwoordig zijn het snelle effectieve
alleskunners en hebben veel ondernemers een multifunctionele netwerkprinter (MFP) die veel meer kan dan alleen printen.
Wist je dat deze MFP’s in veel organisaties een zwakke plek in
de beveiliging zijn? Onachtzaamheid door de gebruikers vormt
hierbij het grootste risico. Maar ze worden ook vaak vergeten
in de plannen om cybercrime te bestrijden. Internetcriminelen
richten zich steeds meer op zulke zwakke schakels in de beveili-
ging om gegevens te stelen en netwerken aan te vallen. Daarom
moet jouw bedrijf maatregelen nemen en je MFP opnemen in je
beveiligingsplan.
Als je niet aan de regels en wetten kan voldoen voor het beschermen
van jouw bedrijfsgegevens dan zijn de financiële en juridische gevolgen
slecht te overzien. In deze whitepaper geven we je praktische tips van
IT-professionals om de ingebouwde beveiligingsfuncties van de MFP
optimaal te gebruiken en hoe je aanvullende manieren kunt inzetten
voor gegevensbescherming.
Deze maatregelen zijn verdeeld over drie niveaus, namelijk het basis-
niveau, het middenniveau en het hoge niveau. Samen zorgen deze
maatregelen ervoor dat onbevoegden geen toegang krijgen tot jouw
bedrijfsnetwerk(en) om via jouw MFP’s gegevens te stelen.
Hoe veilig is mijn printer?
De meeste MFP’s zijn standaard uitgerust met een besturingssysteem
en bevatten, net als een computer, een HDD (Hard Disk Drive) of
SSD (Solid State Drive). Hierop kan gevoelige informatie worden
opgeslagen.
In dit whitepaper
Hoe veilig is mijn printer?
Beveiliging op het basisniveau
Beveiliging op het middeniveau
Beveiliging op hoog niveau
Conclusie
Bijlage A
Bijlage B
Bijlage C
www.mkbservicedesk.nl/automatisering 2
Cybercriminelen kunnen jouw MFP’s gebruiken om bijvoorbeeld:
nInformatie te wijzigen die via het netwerk wordt verstuurd
nInformatie te lekken die op de HDD van het apparaat staat
nVia het netwerk ongeautoriseerde toegang te verkrijgen tot
de apparatuur.
De meeste MFP’s hebben standaard verschillende beveiligingsfuncties. In
deze whitepaper hebben we het over beveiliging op drie niveaus:
1. Het basisniveau: de beveiliging van je MFP met behulp van standaard-
functies en -kenmerken
2. Het middenniveau: de beveiliging van je MFP met de opties die al
aanwezig zijn om informatie te beschermen en de beveiliging te ver-
beteren.
3. Het hoge niveau: hier delen we meer manieren om de printer op
netwerkniveau beter te beveiligen met extra hardware, zoals bijvoor-
beeld firewalls en extra opties.
Beveiliging op het basisniveau
De maatregelen die je in dit hoofdstuk vindt, zijn makkelijk en snel toe
te passen. We zetten de basis voor jouw beveiliging. Voer deze zo snel
mogelijk door, zodat je het voor cybercriminelen minder makkelijk maakt
om bij jouw bedrijfsgegevens te komen. Vanaf hier kun je verder bou-
wen aan je beveiliging.
Basismaatregelen
n Wijzig het standaardwachtwoord van de administrator
n Stel een verificatiecode in
n Schakel alle overbodige protocollen uit
n Vergrendel bepaalde communicatiepoorten
n Beveilig de communicatieprotocollen
n Vergrendel het bedieningsprotocol
n Zet de USB-poortfuncties en de optionele interfaces uit
n Stel beperkingen in voor e-mail, scannen en verzenden.
3www.mkbservicedesk.nl/automatisering
Wijzig het standaardwachtwoord van de administrator
Als de printer uit de fabriek komt, dan staat daar een standaardwacht-
woord in. Wijzig dit zo snel mogelijk. Kies een sterk wachtwoord met
meerdere tekens, hoofdletter(s), een bijzonder teken of gebruik een een
wachtwoordzin. Onthoud het wachtwoord goed. Als je het vergeet moet
een technicus de printer terugzetten naar fabrieksinstellingen.
Verificatiemethode
De meeste MFP’s hebben verschillende niveaus waarop gebruikers zich
kunnen aanmelden. Dit zijn vaak de niveaus van gebruiker, administrator
en apparaatadministrator. Alleen met het niveau apparaat-administra-
tor kan iemand de beveiligingsniveaus wijzigen. Mensen die de printer
willen gebruiken, maar zich niet bij het apparaat kunnen aanmelden,
kunnen maar een paar functies van de MFP gebruiken. Er zijn verschillen-
de verificatiemethoden om het type gebruiker vast te stellen:
nLokale verificatie: in de MFP staat een gebruikerslijst met de gebrui-
kersgegevens erbij. Mensen die de printer gebruiken worden met
behulp hiervan geverifieerd. Alleen geregistreerde gebruikers kunnen
het apparaat gebruiken.
nNetwerkverificatie: de verificatie loopt via de domeincontroller, waar-
bij NTLM- en Kerberos-methoden worden ondersteund. Gebruikers
hebben een wachtwoord nodig om de printer te gebruiken. Hoe
moeilijk het wachtwoord moet zijn en hoe lang het geldig is hangt
af van je wachtwoordbeleid. In dit beleid kun je ook vaststellen hoe
vaak iemand een verkeerd wachtwoord mag invoeren.
nGastfunctie: als je ‘aanmeldbeheer voor gebruikers’ aanzet, dan kun
je een gastfunctie instellen. Hierdoor kunnen bepaalde functies van
je printer worden gebruikt, zonder dat mensen zich hoeven aan te
melden. Zo blijft je MFP beschermd tegen het uitlekken van informa-
tie, terwijl het nog wel gebruiksvriendelijk blijft voor gasten.
Met een netwerkverificatieprotocol kun je jouw communicatie extra
beveiligen.
www.mkbservicedesk.nl/automatisering 4
Overbodige protocollen uitschakelen & bepaalde communicatie-
poorten vergrendelen
Bij de meeste MFP’s kun je de communicatie binnen een netwerk beper-
ken, zodat het apparaat alleen van bepaalde IP-adressen en via bepaal-
de poortnummers gegevens ontvangt en gegevens verzendt. Met een
IP-adresfilter geef je alleen printers met een bepaald IP-adres of type
protocol toegang tot het netwerk. Zo houdt je kwaadaardige IP-adressen
en protocollen buiten de deur.
Beveiligde communicatieprotocollen
Met een beveiligd communicatieprotocol bescherm je het communica-
tiekanaal van het netwerk. Je beschermt de informatie die heen en weer
gezonden wordt voor uitlekken en wijzigen. Welk communicatieprotocol
voor jouw bedrijf geschikt is, hangt af van het doel en de versleuteling die je
nodig hebt en wenst. (zie Bijlage C - Beveiligde communicatieprotocollen).
Bedieningspaneel vergrendelen
Met de functie ‘gedeeltelijke vergrendeling’ worden bepaalde functies op
drie niveaus uitgeschakeld: gebruik van het bedieningspaneel, taakbeheer
en de papierinstellingen. Door het bedieningspaneel te vergrendelen krij-
gen anderen geen toegang tot je systeeminstellingen en kunnen ze geen
taken annuleren.
USB-poortfuncties en optionele interfaces uitschakelen
Soms wil je een USB-stick of -apparaat aansluiten op de printer, via één
van de USB-aansluitingen op de MFP. Hierdoor kun je gegevens kwijtraken
of kun je iemand ongewild toegang geven tot de informatie op het ap-
paraat. Dat wil je niet. De administrator kan de functie ‘USB-opslagklasse’
uitzetten. Hierdoor kunnen bijvoorbeeld kaartlezers en toetsenborden wel
verbinding maken met de printer, maar USB-opslagapparaten niet.
E-mail/scannen/verzenden beperken
Je kunt instellen naar welke e-mailadressen bestanden gestuurd mogen
worden. Als je de functie ‘beperken e-mail verzenden’ inschakelt, dan
moet je een lijst goedgekeurde mailadressen in je MFP zetten. Mails kun-
nen dan alleen naar deze adressen worden verzonden. Je kunt ook een
lijst met verboden adressen in het apparaat zetten.
5www.mkbservicedesk.nl/automatisering
Veel printers hebben ook een functie met betrekking tot het afdrukken
van bijlagen bij e-mails. Deze instelling (afzenderbeperking voor e-mail)
zorgt ervoor dat er minder mail kan worden verstuurd naar de printer.
Ook leg je hierin van tevoren vast wie goed- en afgekeurde afzenders
zijn. De printer krijgt dan alleen mails van adressen die jij van tevoren
hebt goedgekeurd.
Met de instelling ‘PDF-versleuteling’ kunnen gebruikers van de MFP kiezen
uit een gewoon pdf-bestand of een gecomprimeerd pdf-bestand. Door
een pdf te versleutelen en een wachtwoord te geven worden je gescande
gegevens ook beschermd. Een pdf die je hebt ontvangen kun je alleen ope-
nen, afdrukken of wijzigen als je het wachtwoord hebt ingevoerd.
Data Security Kit
Veel printers en MFPs beschikken over een geïntegreerde harde schijf.
Deze wordt voor veel toepassingen gebruikt en na een afdruk-, kopi-
eer- of scantaak kan informatie achterblijven op de harde schijf. Als deze
gegevens niet worden beveiligd, bestaat het risico dat onbevoegden toe-
gang krijgen tot je vertrouwelijke gegevens of dat deze worden gestolen.
Om jezelf te beschermen tegen deze risico’s, is de zogenaamde Data Security
Kit ontwikkeld. Na elke afdruk-, kopieer- of scantaak worden alle gegevens
verwijderd die tijdens het proces op de harde schijf werden opgeslagen.
Beveiliging op het middeniveau
In dit hoofdstuk vind je maatregelen die een aanvulling zijn op je basisbe-
veiliging. Soms zitten deze maatregelen niet standaard op je MFP. Je kunt
het dan als extra module aanvragen en installeren.
Sla gevoelige of vertrouwelijke informatie op, op de HDD of SSD,
en stel extra beveiliging in die voldoet aan de Common Criteria-norm
(ISO 15408).
www.mkbservicedesk.nl/automatisering 6
Maatregelen op het middenniveau
n Zet HDD/SSD-gegevensbescherming aan
n Voer ID-kaart/RFID-toegang door
n Bescherm de taakopslag
n Laat gebruikers beveiligd afdrukken
n Schakel kopieerbeveiliging in
n Stel HDD/SSD-gegevensbescherming in
HDD/SSD-versleuteling
Een HDD/SSD-versleuteling houdt in dat documenten, gebruikersinstel-
lingen en andere informatie van de printer op de HDD of SSD worden
versleuteld met de 128-bit en 256-bit Advanced Encryption Standard: FIPS
PUB 197 (AES) algoritmen. Als je de HDD of SSD uit de printer haalt, dan
kunnen cybercriminelen de informatie die erop staat niet openen of lezen.
HDD overschrijven-wissen
Als je de functie ‘HDD-overschrijven/wissen’ inschakelt, dan voorkom je
dat anderen de gebruikersinstellingen, apparaatinformatie en afbeeldings-
gegevens op de HDD kunnen lezen. Als je dingen afdrukt of kopieert,
dan worden de gescande gegevens tijdelijk op de HDD opgeslagen. De
instellingen die gebruikers kiezen worden ook op de HDD gezet, totdat
er andere informatie over wordt geschreven. Dit is ook het geval als je als
gebruiker deze gegevens al hebt gebruikt of verwijderd.
Criminelen kunnen deze gegevens herstellen van de HDD, waardoor jij een
informatie-lek hebt. Als je de functie ‘HDD-overschrijven/wissen’ aanzet, dan
worden er automatisch willekeurige gegevens waar niemand wat aan heeft
op de HDD gezet, zodra de taken zijn afgerond of geannuleerd. De informa-
tie die er eerst opstond kan dan niet worden teruggehaald. Welke methode
je hiervoor kunt gebruiken, verschilt per MFP. Er zijn grofweg drie manieren:
n Eenmalig overschrijven-wissen: overbodige gegevens worden over-
schreven met lege waarden, zodat cybercriminelen jouw informatie
moeilijk kunnen herstellen of terughalen.
n Driemalig overschrijven-wissen: jouw gegevens worden eerst twee keer
overschreven met willekeurige gegevens en daarna nog een keer met
lege waarden. Hierdoor kan de oorspronkelijke informatie niet worden
hersteld. Deze manier van overschrijven-wissen kan bij bulkinformatie
wat langer duren.
7www.mkbservicedesk.nl/automatisering
n DOD-NORM 5220.22-M van Amerikaanse Ministerie van Defensie
(Driestaps): dit is in vergelijking met de bovenstaande manieren de
hoogste vorm van beveiligen.
ID-kaart/RFID-toegang
ID-media wordt vaak al gebruikt om het gebouw in te komen of om in-
en uit te klokken. Je kunt hiermee ook de toegang tot een MFP beheren.
Combineer dit dan ook met de functie ‘Taakopslag’ van de MFP. Dan
kunnen namelijk ook de gebruikersinstellingen (en eventuele beperkin-
gen) gelijk worden geladen als iemand zich met zijn ID-media aanmeldt
bij de printer.
Gebruikersbox
Je kunt als gebruiker je informatie op de MFP opslaan in een gebruikers-
box. Voor deze box kan de beheerder dan regels instellen, bijvoorbeeld
voor het gebruik en de bewaarperioden voor informatie en wachtwoor-
den. Een gebruikersbox kan alleen worden geopend door de gebruiker
en niet door onbevoegden. Je kunt ook een gedeelde box aanmaken,
zodat andere gebruikers de box ook kunnen openen.
De opgeslagen gegevens kunnen automatisch worden gewist, als de
administrator dit instelt. Hierdoor wordt de informatie op de HDD goed
beveiligd en krijg je een effectief zelfbeheer.
Taakbox
In een taakbox kun je informatie van privé-afdrukken, snel kopiëren,
controleren en vasthouden en opgeslagen taken opslaan. Deze box kan
niet worden gemaakt of verwijderd door gebruikers. Wel kan je een
pincode instellen als toegangscontrole. Ook hier kunnen de gegevens op
de HDD automatisch worden gewist na een bepaalde tijd, als de admi-
nistrator dat instelt.
Faxbox
In een faxbox kun je faxberichten ontvangen. Deze kunnen dan op
basis van het geheugen in de box worden opgeslagen en op basis van
de adressen en/of faxnummers van de afzender aan bepaalde boxen
worden toegewezen. Je kunt berichten op het scherm van de MFP lezen,
zodat je ze direct kunt printen of verwijderen.
www.mkbservicedesk.nl/automatisering 8
Beveiligd afdrukken
Deze afdrukfunctie zit op de meeste MFP’s en kun je gebruiken om
vertrouwelijke documenten af te drukken, zonder dat je daarbij het risico
loopt dat de printjes bij de MFP blijven liggen.
Privé-afdrukken
Deze functie zorgt ervoor dat het bestand niet wordt afgedrukt tot het
juiste wachtwoord is ingevoerd op de MFP. Als gebruiker stel je vanaf de
plek waar je het document naar de printer stuurt (je computer, tablet,
telefoon) een toegangscode in. Als je het document wilt afdrukken, moet
je deze code ook invoeren op de MFP. Zodra de taak is afgerond, worden
de gegevens gewist. Dit gebeurt ook als de printer uitgezet wordt, voor
de taak uitgevoerd is.
Kopieerbeveiliging
Om te voorkomen dat documenten illegaal worden gekopieerd kun je een
deze functies inschakelen:
n Tekststempel/Bates-stempel. Als gebruiker kun je een zogenaamd
documentstempel kiezen, zoals ‘vertrouwelijk’ en ‘niet kopieren’. De
stempel wordt op het afgedrukte document gezet. Met de functie
‘Serienummer’ van Bates-stempel wordt het serienummer van de ge-
bruikte printer afgedrukt, maar je kunt ook kiezen voor de datum of de
gebruikersnaam.
n Beveiligingswatermerk. Dit kan op je geprinte bestand worden gezet.
Als je bestand dan wordt gekopieerd, dan zie je dit aan het beveili-
gingswatermerk. Zo is een illegale kopie makkelijk te herkennen.
n Document Guard Kit. Dit is een optionele functie waarbij er een bevei-
ligingspatroon in het bestand wordt gezet. Als iemand dit document
met guard-patroon wil kopiëren, scannen of faxen dan stopt de MFP
zelf zijn taak. Als de Document Guard Kit niet op de printer is geïnstal-
leerd, dan zie je het patroon van het beveiligingswatermerk. Zo kun je
de illegale kopie nog steeds herkennen.
9www.mkbservicedesk.nl/automatisering
Beveiliging op hoog niveau
In dit hoofdstuk lees je meer over de meer geavanceerde MFP-gerelateer-
de beveiligingsfuncties bij gebruik van aanvullende oplossingen. Deze
functies zijn een aanvulling op de maatregelen uit de hoofdstukken over
het basis- en middenniveau.
Maatregelen op het hoge niveau
n Oplossingen voor afdrukbeheer
n VPN-verbindingen
n Netwerkgegevens bewaken
Oplossingen voor het afdrukbeheer
Er zijn verschillende afdrukbeheersystemen, waarmee je kosten kunt
besparen en afdruktaken kunt beheren. Maar je kunt hier ook informatie
die je via het netwerk verzendt mee beveiligen.
De basisfunctie van een afdrukbeheersysteem is de taak die een gebruiker
naar de MFP stuurt en in een gedeelde virtuele wachtrij zet op de centrale
afdrukserver. De MFP voert de taak pas uit als de gebruiker zich aanmeldt
op de MFP en zijn taak selecteert. Daarna wordt de informatie naar de
printer verstuurd en verwerkt. Om rapportages te kunnen maken wordt
de auditinformatie hiervan op de server geregistreerd. Deze methode heeft
een aantal voordelen:
n De taak wordt pas uitgevoerd als de gebruiker bij het apparaat is
n Het apparaat slaat zelf geen informatie op
n Je kunt beperkte gebruikersrechten instellen
n De afdrukkosten zijn lager
n De beveiliging van het apparaat is beter
Centrale afdrukservers/privé-afdrukken via de cloud
Afdrukken via de cloud en via centrale afdrukservers is heel populair, daar-
om zijn er verschillende systemen en processen ontwikkeld om de bevei-
liging hiervan te verbeteren. Door ‘Lokale afdrukbuffering’ is het mogelijk
om, met behulp van de pc van de gebruiker of de gekozen printer in het
lokale netwerk, de afdruktaak vast te houden. Dan worden namelijk alleen
de auditinformatie en de informatie over het afdrukbeleid naar de server
www.mkbservicedesk.nl/automatisering 10
verzonden. Als de gebruiker bij de MFP is wordt de taak op het geselecteerde
apparaat uitgeprint.
Op die manier blijven documenten binnen het lokale netwerk en als extra
voordeel wordt het gebruik van bandbreedte verminderd. Met een tweede
server op locatie kunnen apparaten, gebruikers en auditinformatie worden
beheerd en gesynchroniseerd met een centrale masterserver.
Tegenwoordig zijn er ook oplossingen om het scannen te beheren, bestem-
mingen te beperken en instellingen te beheren met rechten voor algemene-,
groeps- of individuele toegang.
VPN-verbindingen
Een Virtual Private Network (VPN) is een goedbeveiligde methode om via een
openbaar netwerk verbinding te maken met de infrastructuur van een zakelijk
netwerk. Alle informatie die via een VPN-verbinding wordt verzonden, wordt
versleuteld zodat internet de verbinding kan hosten. Voor VPN heb je speciale
apparatuur nodig. Deze moet worden ingesteld door een gekwalificeerde per-
soon die een zogenaamde VPN-’tunnel’ maakt. Daarbij wordt gebruikgemaakt
van twee types VPN: site-naar-site en clientgebaseerde verbinding. Clientge-
baseerde verbinding wordt gebruikt door individuele clienten om een ad hoc
verbinding via een mobiel apparaat tot stand te brengen. Site-naar-site wordt
meestal gebruikt om verbinding te maken met zakelijke infrastructuren.
Netwerkgegevens bewaken
Jouw MFP kan onder aanval van cybercriminelen komen te liggen. Door bin-
nen jouw netwerk gebruik te maken van apparatuur voor netwerkbewaking
en apparaten te verbinden met een afzonderlijk subnet kan het apparaat wor-
den gebruikt als gateway voor inkomend en uitgaand verkeer voor alle MFP’s.
Hiermee bewaak je ook de datapakketten, waardoor verdachte activiteiten
sneller opvallen.
Malware is tegenwoordig de grootste cyberbedreiging op het internet. Nieu-
we soorten geavanceerde malware worden vaak Avanced Persistent Threats
(APT’s) genoemd. Het systeem wat jouw netwerkgegevens bewaakt ontvangt
updates en definities van een server in de cloud. Zodra malware wordt detec-
teert, kan deze onmiddellijk worden geblokkeerd bij de firewall. Soms glipt
er een zero-day-bedreiging doorheen, terwijl in de cloud analyses worden
11www.mkbservicedesk.nl/automatisering
uitgevoerd. In dat geval kan het systeem onmiddellijk waarschuwen voor een
verdachte code in het netwerk. De IT-medewerkers van de organisatie kunnen
dan direct actie ondernemen.
Conclusie
MFP’s moet je opnemen in je strategie voor netwerk- en informatiebeveiliging.
Hierdoor bescherm je gevoelige informatie tegen cybercriminelen. Begin met de
basismaatregelen en bouw zo verder naar een hoger beveiligingsniveau.
Mocht je nog niet overtuigd zijn: door de discussie rondom het internet der
dingen (Internet of Things) en het naleven van wetten rondom gegevensbe-
scherming (zoals de GDPR/AVG) ben je bijna verplicht om de eerstvolgende kans
te pakken om jouw MFP’s beter te beveiligen. Zo kun je een zwakke schakel in
jouw beveiliging omvormen tot verdedigingswapen tegen cybercriminaliteit.
www.mkbservicedesk.nl/automatisering 12
Bijlage A
Verificatieprotocollen
IEEE802.1x
Met dit protocol kunnen alleen bevoegde gebruikers (en geverifieerde ap-
paraten) communiceren als er verbinding met het netwerk wordt gemaakt.
Niet-geautoriseerde apparaten kunnen geen verbinding maken met het
netwerk. Niet-geautoriseerde toegang door niet-geverifieerde clients op het
netwerk is niet toegestaan. Zo voorkom je een informatielek.
Veel MFP’s maken gebruik van (een aantal van deze) zes types zes types
verificatiemodus.
n PEAP-TLS/PEAP (Protected Extensible Authentication Protocol-Transport
Layer Security): De gebruiker wordt geverifieerd op basis van het ID en
het certificaat. Het certificaat van de verificatieserver wordt tegelijkertijd
gecontroleerd.
n EAP-PEAP (Extensible Authentication Protocol-Protocol Extensible Au-
thentication Protocol) De gebruiker wordt geverifieerd aan de hand van
gebruikersnaam/wachtwoord en alleen de algemene naam of ‘common
name’ van het certificaat van de verificatieserver wordt gecontroleerd.
n EAP-FAST (Extensible Authentication Protocol-Flexible Authentication
via Secure Tunnelling) Dit is een IEEE802.1.x/EAP-verificatiemethode die
is ontwikkeld door Cisco Systems, Inc. Zowel de gebruiker als de verifica-
tieserver wordt geverifieerd aan de hand van de gebruikersnaam en het
wachtwoord, waarna PAC (Protected Access Credential) voor de gebrui-
ker op basis van de unieke gedeelde geheime sleutel een tunnel instelt.
n EAP-TTLS (Extensible Authentication Protocol-Tunnelled Transport Layer
Security) De gebruiker wordt geverifieerd aan de hand van de gebrui-
kersnaam en het wachtwoord. De verificatieserver wordt geverifieerd
aan de hand van het elektronische certificaat. Voor EAP-TLS hebben de
gebruiker en de server ten behoeve van de verificatie een elektronisch
certificaat nodig. In het geval van EAP-TTLS wordt gebruikgemaakt van
de gebruikersnaam en het wachtwoord in plaats van een clientcertifi-
caat. EAP-TTLS is dan ook eenvoudiger te introduceren dan EAP-TLS.
Met elektronische certificaten wordt de geldigheid van de verificatieser-
ver aangetoond. Dit maakt communicatie veiliger.
13www.mkbservicedesk.nl/automatisering
n SMTP-verificatie. Hierbij kan een e-mailbericht alleen worden
verzonden wanneer de gebruikersnaam en het wachtwoord zijn
geverifieerd op een SMTP-server. Hiermee wordt de toegang tot de
server beperkt en kunnen onbevoegde gebruikers geen e-mail via de
SMTP-server verzenden.
n POP-voor-SMTP. it voert POP-verificatie uit voordat e-mails worden
verzonden vanaf de SMTP-server. De e-mails kunnen binnen de inge-
stelde tijd na POP-verificatie worden verzonden. Met POP-verificatie
vóór verzending van een e-mail wordt maskering voorkomen.
www.mkbservicedesk.nl/automatisering 14
Bijlage B
Protocol Poortnr Instelling Opmerking
FTP-server TCP 21 Inschakelen/Uitschakelen FTP-server is een protocol voor het ontvangen van een
document
HTTP TCP 80 Inschakelen/Uitschakelen HTTP is een protocol dat wordt gebruikt als informatie
wordt ontvangen/verzonden via een webpagina tussen
een www-server en een browser.
NetBEUI TCP 139 Inschakelen/Uitschakelen NetBEUI is een protocol voor een klein netwerk dat
wordt gebruikt voor het delen van bestanden, voor
printservices en voor het ontvangen van documenten.
HTTPS TCP 443 Inschakelen/Uitschakelen HTTPS is een protocol dat versleuteling uitvoert met
behulp van SSL/TLS.
IPP over SSL/
TLS
TCP 443 Inschakelen/Uitschakelen IPP over SSL/TLS is een protocol dat SSL/TLS (versleutelt
een kanaal) combineert met IPP (wordt gebruikt voor
online afdrukken). Bovendien kan IPP over SSL/TLS een
geldig certificaat hebben.
LPD TCP 515 Inschakelen/Uitschakelen LPD is een afdrukprotocol dat wordt gebruikt voor het
afdrukken van tekstbestanden of Postscript.
TCP 631 Inschakelen/Uitschakelen IPP is een protocol dat het verzenden/ontvangen van
informatie via TCP/IP inclusief internet, of printers
beheert.
ThinPrint TCP 4000 Inschakelen/Uitschakelen ThinPrint is een afdruktechnologie die beschikbaar is in
de Thin-clientomgeving en ondersteunt ook SSL/TLS.
WSD Scan TCP 5358 Inschakelen/Uitschakelen Windows Vista WSD is een protocol waarmee MFP’s/
printers verbinding kunnen maken met een netwerk.
Gebruikers kunnen hiermee ook MFP’s/printers detecte-
ren (installeren) of eenvoudiger informatie verzenden/
ontvangen. Originele documentafbeelding die wordt
gescand met MFP/printer, kan als een bestand worden
opgeslagen in WSD PC.
15www.mkbservicedesk.nl/automatisering
Protocol Poortnr Instelling Opmerking
WSD Print TCP 5358 Inschakelen/Uitschakelen Windows Vista WSD is een protocol waarmee MFP’s/
printers verbinding kunnen maken met een netwerk.
Gebruikers kunnen hiermee ook MFP’s/printers detecte-
ren (installeren) of eenvoudiger informatie verzenden/
ontvangen.
Enhanced
WSD
TCP 9090 Inschakelen/Uitschakelen Enhanced WSD is een procedure om de verschillende
apparaten eenvoudig te verbinden met een netwerk.
De status van de MFP/printer kan worden bewaakt via
de statusbewaking via deze poort 9090.
Enhanced
WSD over SSL/
TLS
TCP 9091 Inschakelen/Uitschakelen Enhanced WSD (SSL/TLS) is een beveiligingsprotocol en
een Enhanced over SSL/TLS WSD met gebruik van SSL/
TLS voor versleuteling, verificatie en veiligheid (beveili-
gen tegen wijziging).
RAW TCP 9100 -
9103
Inschakelen/Uitschakelen RAW-protocol bestaat uit verschillende stappen in ver-
gelijking met LPR voor afdrukken. Over het algemeen
gebruikt de MFP/printer poortnummer 9100. Ook
gebruikt de MFP/printer SNMP of MIB voor configuratie
en om de printerstatus te bewaken.
SNMPv1/v2 UDP 161 Inschakelen/Uitschakelen SNMP-protocol wordt gebruikt in netwerkbeheersys-
temen. Normale communicatie wordt uitgevoerd met
behulp van communitynamen voor lezen en schrijven.
SNMPv3 UDP 161 Inschakelen/Uitschakelen SNMP-protocol wordt gebruikt in netwerkbeheersys-
temen. Normale communicatie wordt uitgevoerd met
behulp van gebruikersnaam en wachtwoord. Verifica-
tie-of versleutelingoptie kan worden gebruikt.
DSM Scan Inschakelen/Uitschakelen DSM (Distributed Scan Management) maakt gebruik
van Windows Server 2008 R2 voor het verwerken van
grote hoeveelheden gebruikersgegevens in een grote
organisatie.
FTP Client Inschakelen/Uitschakelen FTP-client is een communicatieprotocol voor het door-
sturen van een bestand via een netwerk.
LDAP Inschakelen/Uitschakelen Adresboek op LDAP-server wordt ook wel een extern
adresboek genoemd. Faxnummer en e-mailadres kun-
nen worden toegewezen als bestemming.
www.mkbservicedesk.nl/automatisering 16
Protocol Poortnr Instelling Opmerking
POP3 Inschakelen/Uitschakelen POP3 is een standaardprotocol voor het ontvan-
gen van e-mails.
POP3 over SSL/TLS. Inschakelen/Uitschakelen POP3 over SSL/TLS is een protocol dat POP3
(gebruikt voor het ontvangen van e-mail) en SSL/
TLS (gebruikt voor het coderen van een kanaal)
combineert.
SMTP Inschakelen/Uitschakelen SMTP is een protocol voor het verzenden van
e-mails.
SMTP over SS/TLS Inschakelen/Uitschakelen SMTP over SSL/TLS is een protocol dat SMTP
(voor het verzenden van e-mails) en SSL/TLS
(voor het versleutelen van een kanaal) combi-
neert.
SMB Client Inschakelen/Uitschakelen SMB is een protocol dat bestanden of printers
deelt via een netwerk.
eSCL Inschakelen/Uitschakelen eSCL is een protocol dat wordt gebruikt voor
externe scan van Mac OS X.
eSCL over SSL/TLS LLTD Inschakelen/Uitschakelen eSCL over SSL is een communicatieprotocol
met behulp van SSL-certificaten. Alle eSCL over
SSL-communicatie is versleuteld. LLTD is een
protocol voor ontdekking van netwerktopologie
en diagnostische testen voor servicekwaliteit.
REST Inschakelen/Uitschakelen REST is de software-architectuur van de webtoe-
passing die diverse software ondersteunt binnen
een gedistribueerd hypermediasysteem.
REST over SSL/TLS Inschakelen/Uitschakelen REST over SSL is een REST-communicatieproto-
col dat SSL-certificaten gebruikt. Alle REST over
SSL-communicatie is versleuteld.
17www.mkbservicedesk.nl/automatisering
Bijlage C
Beveiligde communicatieprotocollen
n SNMP v3 SNMP is een standaardprotocol dat apparaten die verbin-
ding maken met het netwerk, bewaakt en beheert. Bovendien biedt
SNMPv3 de mogelijkheid om vertrouwelijke informatie te beschermen
door middel van verificatie en versleuteling.
n IPv6 IPv6-ondersteuning kan worden verbonden met de router en
kan basisbeheerprotocollen zoals ping gebruiken. Naast de bovenge-
noemde basisverbindingen is de verbinding veiliger dankzij drastische
beveiligingsmaatregelen.
n IPSec Een protocol met een functionaliteit die informatie wordt
verstuurd, beschermt. Informatie kan niet worden onderschept of ge-
modificeerd dankzij versleuteling van de respectievelijke IP-pakketten.
Versleuteling met behulp van IPSec wordt toegepast op afdrukgege-
vens die van een pc naar een MFP/printer zijn verzonden, en gescande
gegevens die van een MFP naar een pc moeten worden verzonden.
IPSec ondersteunt dan ook een veiligere uitwisseling van informatie.
n SSL/TLS Een systeem dat gegevens voor overdrachten zoals internet-
toegang versleutelt, en controleert of communicatiebestemmingen
betrouwbaar zijn voor wederzijdse communicaties. MFP’s/printers van
KYOCERA ondersteunen SSL/TLS-versleutelingsprotocollen, waaronder
SSL3.0, TLS1.0, TLS1.1, TLS1.2, zodat modificatie of het onderschep-
pen van informatie in het netwerk niet mogelijk is.
n IPP over SSL/TLS Een combinatie van IPP (voor het uitwisselen van
afdrukgegevens op internet of in het TCP/IP-netwerk) en SSL/TLS
(voor versleuteling van een communicatiekanaal). Gebruikers kunnen
afgedrukte documenten via het netwerk veilig naar de MFP’s/printers
verzenden.
n HTTP over SSL/TLS Een combinatie van HTTP (voor het verzenden/
ontvangen van informatie naar en van webbrowsers in het TCP/IP-net-
werk) en SSL/TLS (voor versleuteling van een communicatiekanaal). Bij
de overdracht overdragen van informatie tussen een pc en een MFP/
printer is het risico van modificatie en uitlekken van informatie door
onbevoegdenlager.
www.mkbservicedesk.nl/automatisering 18
n FTP over SSL/TLS Een combinatie van FTP (voor het doorsturen van
een bestand in het TCP/IP-netwerk) en SSL/TLS (voor versleuteling van
een communicatiekanaal). Wanneer gescande gegevens van een MFP/
printer worden verzonden met behulp van het FTP-protocol, wordt
SSL/TLS-versleuteling op het kanaal toegepast. FTP over SSL/TLS maakt
de overdracht van informatie veiliger.
n SMTP over SSL/TLS Een combinatie van e-mailoverdracht en SSL/
TLS (voor versleuteling van een communicatiekanaal tussen een server
en een MFP/printer). Zo wordt voorkomen dat informatie die wordt
verzonden, wordt gemaskeerd, onderschept of gewijzigd.
n POP3 over SSL/TLS Een combinatie van POP3 (een protocol voor
het ontvangen van e-mails) en SSL/TLS (voor versleuteling van een
communicatiekanaal tussen een server en een MFP/printer). Zo wordt
voorkomen dat informatie die wordt verzonden, wordt gemaskeerd,
onderschept of gewijzigd.
19www.mkbservicedesk.nl/automatisering
Powered by
Het is niet toegestaan om beeldmateriaal en informatie afkomstig uit dit document zonder voorafgaande schriftelijke toestemming van MKB Servicedesk te kopiëren in welke vorm dan ook. Copyright @MKB Servicedesk
Over MKB Servicedesk.Als strategisch partner van MKB-Nederland is de MKB Servicedesk de vraagbaak voor ondernemend Nederland. Op www.mkbservicedesk.nl vind je betrouwbare, concrete en betaalbare antwoorden op alle onder- nemersvragen in het midden- en kleinbedrijf. Maandelijks bezoeken meer dan 200.000 ondernemers mkbservicedesk.nl.
Deze whitepaper is met de grootste zorg samengesteld. Er kunnen echter geen rechten aan worden ontleend.
Versie maart 2018.
