Bundesamt für Sicherheit in der Informationstechnik

M 5.145 Sicherer Einsatz von CUPS

Verantwortlich für Initiierung: Administrator, Leiter IT

Verantwortlich für Umsetzung: Administrator

Bei Unix-Systemen wird häufig das netzfähige Drucksystem Common Unix Printing System ( CUPS ) verwendet. CUPS ist zu vielen anderen Drucksystemen kompatibel, wie CIFS /SMB (Common Internet File System/ Server Message Block), das Datei- und Druckerfreigaben unter Windows ermöglicht.

Folgende Aspekte, die in der Planung (siehe M 2.397 Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten ) oder bei der Auswahl (siehe M 4.304 Verwaltung von Druckern ) festgelegt wurden, müssen für den sicheren Einsatz von CUPS berücksichtigt werden:

Allgemeine Aspekte

  • Lokaler Betrieb oder zentraler Druckserver
    CUPS kann als verteilte Anwendung (Client auf Arbeitsplatz-PC mit entferntem Server) oder lokal betrieben werden. Entsprechend muss bei der Konfiguration unterschieden werden, ob sich der CUPS-Client und der CUPS-Server auf dem selben IT-System oder auf verschiedenen IT-Systemen befinden. Wenn sie sich auf verschiedenen IT-Systemen befinden, ist die IP-Adresse oder der Rechnername des jeweiligen Servers in der Konfigurationsdatei (client.conf) des CUPS-Clients festzulegen. Bei einer lokalen Nutzung muss dort hingegen die Loopback-Adresse (127.0.0.1) oder der Rechnername "localhost" eingetragen werden. Der CUPS-Server muss bei lokaler Nutzung mit Hilfe des Konfigurationseintrages "Listen" in der Datei cupsd.conf an die Loopback-Adresse gebunden werden, damit der Dienst nicht aus dem Netz erreichbar ist. Unabhängig davon, ob nur lokale IT-Systeme auf den Drucker zugreifen dürfen, kann CUPS zentral administriert werden. Dienste wie SSH oder der CUPS-Webserver (siehe Abschnitt zur Administration) ermöglichen es weiterhin, Einstellungen über das Netz vorzunehmen.
  • Verwaltungs- und Statusinformationen
    Die Clients müssen regelmäßig über die verfügbaren Drucker und deren Status informiert werden. Beim "Broadcasting" sendet der Server in regelmäßigen Abständen unaufgefordert eine Nachricht an alle Druckclients und beim "Polling" ruft der Druckclient die Informationen vom Server ab.
    Soll die Informationsverteilung über die verfügbaren Drucker nicht mit Polling oder Broadcasting, sondern über manuelle Einträge erfolgen, ist dies durch den Eintrag "Browsing" in der cupsd.conf auszuschalten ("off"). Soll "Browsing" genutzt werden, ist der Zugriff nur auf die zwingend benötigten Rechner oder, wenn nötig, auf Netze zu beschränken.
  • Verschlüsselung
    Wenn die Druckaufträge oder Statusabfragen verschlüsselt übertragen werden sollen, muss ein Protokoll eingesetzt werden, das dies unterstützt. Das bei CUPS voreingestellte Internet Printing Protcol (IPP) kann durch den optionalen Einsatz von TLS/SSL (Transport Layer Security / Secure Sockets Layer) verschlüsselt kommunizieren.
    Für die Verschlüsselung ist in der Konfigurationsdatei des CUPS-Clients (client.conf) der Eintrag "Encryption" erforderlich. Es wird empfohlen, diesen Wert möglichst auf "Always" zu setzen. Zusätzlich müssen hierfür TLS/SSL-Zertifikate und kryptographische Schlüssel auf dem CUPS-Server bereitgestellt werden.
  • Hochverfügbarkeit
    CUPS kann als Bestandteil eines hochverfügbaren Drucksystems betrieben werden. Dies bedarf einer detaillierten Planung der damit verbundenen organisatorischen und technischen Aspekte. Insbesondere muss festgelegt werden, welcher grundlegende Ansatz zur Erreichung des angestrebten Verfügbarkeitsniveaus verfolgt wird, beispielsweise "failover-switching" oder "load-balancing".
    Für "failover-switching" müssen in der Konfigurationsdatei cupsd.conf so genannte implizite Druckklassen definiert werden (Konfigurationseintrag "ImplicitClasses On"). Vertiefende Informationen zu dieser Technik sind in der Dokumentation von CUPS zu finden.

Zugriff auf Drucker

  • Benutzerverwaltung
    Auf Druckserver sollten nur berechtigte Benutzer zugreifen können. Die dafür benötigte Rechteverwaltung kann entweder auf dem Druckserver selbst gepflegt werden, oder es kann ein vorhandener Authentisierungsdienst eingebunden werden. Normale Benutzer sollten auf einem Druckserver nur die Drucker-Applikation benutzen können und keinen Zugriff auf die Dateien und Verzeichnisse dieses Servers haben.
    Da in der Regel die Benutzer den Druckserver nur zum Drucken nutzen sollen und sich nicht direkt auf diesem Server anmelden sollen, beispielsweise mit SSH, sollte die Systembenutzergruppe von der Druckerbenutzergruppe getrennt werden. Druckerbenutzer sollten so angelegt werden, dass sie bis auf das Drucken keine weiteren Rechte auf dem Druckserver besitzen. Beispielsweise können mit dem Programmaufruf "lppasswd -a benutzername" Druckerbenutzer angelegt werden.
    Die Zuordnung, welche Benutzer auf welche Drucker zugreifen dürfen, kann in der Datei cupsd.conf vorgenommen werden. Auch hier gilt der Grundsatz, dass Benutzern möglichst nur die tatsächlich erforderlichen Zugriffsrechte eingeräumt werden sollten.
    Die Einstellung, dass alle Benutzer auf alle Drucker zugreifen dürfen, sollte vermieden werden. Eine Ausnahme in dieser Hinsicht ist der Betrieb von lokalen Druckern. Wenn es nur wenige Druckerbenutzer für ein IT-System gibt und wenn alle Druckerbenutzer ohnehin auch gleichzeitig Systembenutzer sind, brauchen keine separaten Druckerbenutzer angelegt werden.
  • Authentisierungsverfahren:
    CUPS unterstützt verschiedene Verfahren zur Authentisierung, wie "HTTP-Basic", "HTTP-Digest" oder Authentisierung anhand von Zertifikaten. Das Authentisierungsverfahren kann über den Eintrag "AuthType" in der Konfigurationsdatei cupsd.conf festgelegt werden. Da bei "HTTP-Basic" Benutzernamen und Passwörter im Klartext über ein Netz übertragen werden, sollte dieses Verfahren nicht ohne zusätzliche Sicherheitsvorkehrungen eingesetzt werden. Stattdessen sollten Zertifikate oder "HTTP-Digest" als Authentisierungsmethode verwendet werden.

Administration

Die Administration von CUPS darf nur von hierzu autorisierten Personen durchgeführt werden. Diese können in der Sektion "/admin" der Konfigurationsdatei cupsd.conf festgelegt werden.

Bei CUPS können zahlreiche Konfigurationseinstellungen über einen mitgelieferten Webserver durchgeführt werden. Die Zugriffsmöglichkeiten auf den Webserver über Netze sind auf das erforderliche Mindestmaß zu beschränken. In der Konfigurationsdatei cupsd.conf in der Sektion "/admin" können die Rechner eingetragen werden, die auf den Webserver zugreifen dürfen. Alternativ kann ein lokaler Paketfilter eingesetzt werden, um die Zugriffsmöglichkeiten auf den Webserver zu beschränken.

Protokollierung

CUPS bietet vielfältige Möglichkeiten zur Protokollierung von Ereignissen. Viele Aspekte, die in der Maßnahme M 4.302 Protokollierung bei Druckern, Kopierern und Multifunktionsgeräten erläutert sind, können durch entsprechende Einträge in der Konfigurationsdatei cupsd.conf umgesetzt werden. Der Detaillierungsgrad der Protokolle kann beispielsweise durch den Eintrag "LogLevel" festgelegt werden.

Archivierung

CUPS bietet Funktionen zur elektronischen Archivierung von ausgedruckten Dokumenten im Dateisystem des Druckservers. Hierzu dient der Konfigurationseintrag "PreserveJobs" in der Datei cupsd.conf. Als Option kann dabei auch die maximale Anzahl der archivierten Dokumente festgelegt werden. Ältere Einträge werden in diesem Fall von neuen Dokumenten überschrieben. Wenn Archive angelegt werden sollen, müssen die archivierten Dokumente durch entsprechende Mechanismen vor unbefugtem Zugriff und vor Datenverlusten geschützt werden. Weitere Hinweise finden sich im Baustein B 1.12 Archivierung .

Prüffragen:

  • Entspricht die Konfiguration von CUPS den festgelegten Regelungen zum Drucken und Multifunktionsgeräten?

  • Wird der administrative Zugriff auf den CUPS-Server beschränkt?

  • Können auf den Druckserver nur berechtigte Benutzer zugreifen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK