[English]Sicherheitsforscher von Rapid 7 habe sich diverse Multifunktionsdrucker im Hinblick auf Schwachstellen angesehen. In der Firmware von 689 Brother-Druckermodellen sind sie fündig geworden. Aber auch einige Drucker anderer Hersteller sind über Schwachstellen angreifbar.
Sicherheitsanalyse von Rapid 7
Sicherheitsforscher von Rapid 7 wollten wissen, wie es um die Sicherheit von verschiedenen Druckern bestellt ist. In einer umfangreichen Analyse haben sie ein Zero-Day-Forschungsprojekt zu Multifunktionsdruckern (MFP) durchgeführt. Vorrangig wurden Modelle des Herstellers Brother untersucht, aber auch einige weitere Hersteller unter die Lupe genommen.
| CVE | Description | Affected Service | CVSS |
|---|---|---|---|
| CVE-2024-51977 | An unauthenticated attacker can leak sensitive information. | HTTP (Port 80), HTTPS (Port 443), IPP (Port 631) | 5.3 (Medium) |
| CVE-2024-51978 | An unauthenticated attacker can generate the device's default administrator password. | HTTP (Port 80), HTTPS (Port 443), IPP (Port 631) | 9.8 (Critical) |
| CVE-2024-51979 | An authenticated attacker can trigger a stack based buffer overflow. | HTTP (Port 80), HTTPS (Port 443), IPP (Port 631) | 7.2 (High) |
| CVE-2024-51980 | An unauthenticated attacker can force the device to open a TCP connection. | Web Services over HTTP (Port 80) | 5.3 (Medium) |
| CVE-2024-51981 | An unauthenticated attacker can force the device to perform an arbitrary HTTP request. | Web Services over HTTP (Port 80) | 5.3 (Medium) |
| CVE-2024-51982 | An unauthenticated attacker can crash the device. | PJL (Port 9100) | 7.5 (High) |
| CVE-2024-51983 | An unauthenticated attacker can crash the device. | Web Services over HTTP (Port 80) | 7.5 (High) |
| CVE-2024-51984 | An authenticated attacker can disclose the password of a configured external service. | LDAP, FTP | 6.8 (Medium) |
Diese Untersuchung führte zur Entdeckung von 8 neuen Sicherheitslücken (siehe obige Tabelle. Die Sicherheitslücke CVE-2024-51977 ermöglicht es einem entfernten, nicht authentifizierten Angreifer, die Seriennummer des Zielgeräts zusammen mit mehreren anderen sensiblen Informationen auszuspähen. Die Kenntnis der Seriennummer eines Zielgeräts ist erforderlich, um die Sicherheitsanfälligkeit CVE-2024-51978 zur Umgehung der Authentifizierung auszunutzen.
Die Sicherheitslücke CVE-2024-51978 zur Umgehung der Authentifizierung ermöglicht es einem entfernten, nicht authentifizierten Angreifer, das Standard-Administratorkennwort des Zielgeräts zu generieren. Das Standardpasswort wird während des Herstellungsprozesses generiert, indem die eindeutige Seriennummer des Geräts in das Standardpasswort umgewandelt wird. CVE-2024-51977 ermöglicht es einem Angreifer, eine Seriennummer über die HTTP-, HTTPS- und IPP-Dienste des Zielgeräts auszuspähen
Zahlreiche Modelle betroffen
Einige oder alle dieser Schwachstellen betreffen 689 Modelle der Drucker-, Scanner- und Etikettendruckerpalette von Brother. Zusätzlich sind:
- 46 Druckermodelle von FUJIFILM Business Innovation,
- 5 Druckermodelle von Ricoh,
- 2 Druckermodelle von Toshiba Tec Corporation und
- 6 Modelle von Konica Minolta, Inc.
von einigen oder allen dieser Schwachstellen betroffen. Insgesamt sind 748 Modelle von 5 Anbietern betroffen.
Rapid7 hat in Zusammenarbeit mit JPCERT/CC in den letzten dreizehn Monaten mit Brother zusammengearbeitet, um die Offenlegung dieser Schwachstellen zu koordinieren. Die Details wurden von Rapid 7 im Beitrag Multiple Brother Devices: Multiple Vulnerabilities (FIXED) offen gelegt (ist hier und hier aufgefallen). Die nachfolgenden sieben Schwachstellen wurden durch Firmware-Updates der Hersteller geschlossen:
- CVE-2024-51977
- CVE-2024-51979
- CVE-2024-51980
- CVE-2024-51981
- CVE-2024-51982
- CVE-2024-51983
- CVE-2024-51984
Die Schwachstelle CVE-2024-51978 ist dagegen nicht adressiert worden. Der Hersteller hat darauf hingewiesen, dass diese Schwachstelle in der Firmware nicht vollständig behoben werden kann, und hat stattdessen in seinem Sicherheitshinweis eine Umgehungslösung bereitgestellt. Benutzer der betroffenen Modelle sollten sowohl die vom Hersteller bereitgestellten Firmware-Updates als auch die Umgehungslösungen anwenden, um alle 8 Schwachstellen zu beheben. Weitere Einzelheiten finden Sie in den folgenden Herstellerhinweisen:
- Brother Laser and Inkjet Printer Advisory
- Brother Document Scanner Advisory
- Brother Label Printer Advisory
- FUJIFILM Business Innovation Advisory
- Ricoh Advisory
- Toshiba Tec Corporation Advisory
- Konica Minolta, Inc. Advisory
Weitere Details sind dem verlinkten Rapid7-Blog-Beitrag zu entnehmen. Ergänzung: Seit Juli 2025 werden Ausnutzungsversuche beobachtet (siehe Schwachstellen in ca. 750 Druckermodellen werden seit Juli 2025 ausgenutzt
MVP: 2013 – 2016
Also wer bitte der in der IT verantwortlich ist lässt GerätePW auf standard?
Ist doch eines der ersten Schritte die man macht das StandardPW gegen ein individuelles PW zu tauschen…
oder ist das so zu verstehen das ein Hersteller PW fest einprogrammiert (also nicht wechselbar) ist und man das errechnen kann? Lese ich jetzt nicht so raus.
Wenn das PW änderbar ist doch alles ok!
Ein HerstellerPW ist für die sichere Ersteinrichtung notwendig und das ändert man dann auch gleich da! Wird das nicht geäendert ist das ein Userfehler!
Eine Lücke ist es doch nur wenn ich das PW gar nicht ändern kann.
Geräte ohne PW auszuliefern wäre ein größeres Problem…
Das Passwort für die meisten Funktionen (Webinterface) war früher bei Brother 'initpass'
Das wurde jetzt von einem individuellen Passwort abgelöst, das hinten auf einem Aufkleber steht. Macht die Sache schon schwieriger aber wenn des aus der Seriennummer über einen Algo generiert wird und der bekannt ist es natürlich auch für die Katz. Beim ersten Login ins Webinterface soll dann das Passwort geändert werden.
"Also wer bitte der in der IT verantwortlich ist lässt GerätePW auf standard?
Ist doch eines der ersten Schritte die man macht das StandardPW gegen ein individuelles PW zu tauschen…"
Ja, aber das hilft nicht, denn durch die Sicherheitslücke kann ein Angreifer das individuell gesetzte PW auf das Standardpasswort zurücksetzen!
Wo steht das? Aus dem CVE-Text entnehme ich das nicht.
Es scheint lediglich einen Algorithmus zu geben, das Lieferpaßwort eines Gerätes (das seit Jahren nicht mehr eine Konstante wie admin/admin ist, sondern auf einem Aufkleber steht) aus der Seriennummer zu errechnen.
Sobald ich ein neues setze, gilt nur das – bis zu einem Werksreset. Ist bei jedem WLAN-Router, ILO o.ä. nicht anders.
Es gilt das neu gesetzte und vielleicht trotzdem auch noch ein weiteres, das sich anders berechnet, man will ja niemanden aussperren. Aufschluss ergäbe nur ein vollständiger und selbst kompilierbarer und einspielbarer Quellcode aller Komponenten…
Seid nicht naiv, Leute.
FUD. Es gibt nur das eine Adminkennwort und wenn du es vergisst, gibt es einen PW-Reset per Display am Gerät.
Sollte man sich aussperren kann man es über das Druckermenü direkt zurücksetzen (physisch am Display). Das setzt auch die IP-Einstellung und die Shares zurück (Netzwerk-Reset).
Man will keine interessierte externe Dritte aussperren.und dafür gibt es sicherlich Mittel und Wege und undokumentierte wie auch immer berechnete Kennwörter und/oder mit ggf. vorheriger spezieller Ping Sequenz zum Freischalten Fern- und dann lokalem Netzzugriff von aussen usw.
ohne Beweise bleibt es billiger FUD.
Analysiere mal ein paar Firmwares, dann verschwindet ganz schnell die Naivität, dass es etwas ohne "Beweise bei Google & Co." nicht gibt. Setzt natürlich voraus, dass man bis zum entspr. Code durchdringt und den auch verstehen kann. Viel Erfolg.
****************************************
Ja, aber das hilft nicht, denn durch die Sicherheitslücke kann ein Angreifer das individuell gesetzte PW auf das Standardpasswort zurücksetzen!
*****************************************
Kann ich ebenfalls dem CVE so nicht entnehmen… Das Werkseitig gesetzte PW kann aus der Ferne wenn man die Seriennummer hat errechnet werden…. wurde das geändert ist aber nichts mehr!Und das sollte das kleine 1×1 eines jeden ITlers sein! Standard PW beim Einrichten zu ändern!
Moin,
in der Kyo Welt gibt es 2 Admin Passwörter.
Ein genereller Admin Account der übers Netz nutzbar ist, früher war die Kombi Admin Admin.
Und ein Geräte-Admin der NUR am Gerät genutzt werden kann.
Beide sind änderbar, das Device Admin PW recht versteckt.
Sind die PW verstellt, KÖNNEN wir nichts machen.
Aber da das Geräte Admin PW schwer änderbar ist, wird es selten geändert –> damit kann man natürlich alles genehmigen und anpassen.
Und das ursprüngliche PW kann der Hersteller in einer Liste nachschauen.
Bei beiden.
Änderungen dieser Tiefe MÜSSEN nachvollziehbar dokumentiert werden.
Kein Backup der Änderungs Daten, kein Mitleid.
nicht gelesen?
Die Sicherheitslücke CVE-2024-51978 zur Umgehung der Authentifizierung ermöglicht es einem entfernten, nicht authentifizierten Angreifer, das Standard-Administratorkennwort des Zielgeräts zu generieren.
Da ist es total egal welchen Admin oder PW gesetzt wurde, weil man generiert sich einfach was passendes.
Sinnvollste Lösung ist die Drucker in ein eigenes VLAN zu schieben und den Zugriff zum Internet zu deaktivieren. InHouse Printing only.
https://www.cve.org/CVERecord?id=CVE-2024-51978
An unauthenticated attacker can generate the device's DEFAULT administrator password.
Nicht ein selbst gesetztes Passwort. Das mit dem Vlan ist aber eine gute Idee.
Steht so aber nicht im CVE! Es kann das werkseitige gesetzte Admin PW errechnet werden, wenn man die Seriennumer plus den Algo hat… Wurde das Admin PW bei der Ersteinrichtung geändert nützt dir das aber nix!
Hilft dir nur wenn der Admin geschlafen hat und die Werkseitigen Standard PW beibehalten hat!
Und dann ist das eigentlich keine Lücke, sondern ein unfähiger Admin.
Oder ich hab da was überlesen, was aber bisher nicht so ausschaut!
Wenn du da andere Infos hast bitte immer her damit.
Das größere Problem sind doch nicht die Admin-PW auf den Geräten, es sind die in Adressbüchern teilweise ohne Auth auslesbaren Passwörter der Anwender für SMB2Folder und "als Emails" versenden Funktion der Geräte.
Lustig auch wenn Leute die Shares als Domänenadmin einbinden….
Glaub mir, habe ich schon gesehen…
Drucker waren und sind leider schon immer eine Fundgrube für jedes laterale Fortkommen im Netz. Besonders begehrt sind irgendwelche ausrangierte Drucker im Müllcontainer.
Hier ein kostenloser Service-Tipp: Auf jedem Standard GNU/Linux Debian in wenigen Minuten umsetzbar:
Drucker gehören grundsätzlich erstmal in ein eignes vLANs vom Rest isoliert. Zugriff von Arbeitsplätzen/Terminalserver wird durch Firewall/Gateway gegeben. In Anbetracht von Enshitification der Drucker-Hersteller sollten die Drucker grundsätzlich nur noch offline betrieben werden.
– Postfix installieren, der als kleines Mail-Relay Mails aus dem vLAN Segment der Drucker ohne Auth entgegen nimmt und an den internen Mailserver als Smarthost weiterreicht (dann mit Auth). Diesen ggf. beim internen Mailserver in die Allow-List packen.
– Samba und Rsync einrichten, der von den Scannern abgelegte PDF-Dateien auf einen zentralen AD Fileserver schubst. In Ausgangsrichtung zum AD dann im Kontext eines extra Dienstkontos. Optional können die PDFs noch durch ein myocrpdf gejagt werden, wenn man gerne Texte zum Copy&Paste aus den PDFs haben möchte. Sollte jemals einer aus dem vLAN der Druckers in die Samba-Freigabeordner schauen, wird er nur leere Ordner sehen, da Dateien maximal nur für wenige Sekunden erscheinen und anschliessend wieder verschwinden.
Mit entsprechenden Bash/Ansible Skripten alles in 5 Minuten als VM eingerichtet. Für kleine Netze <25 reicht sogar ein schmaler Raspi. Das Teil dann im Monitoring aufnehmen und die Drucker und Scanner im vLAN können einem recht egal sein und sind vor allem frei von Zugangsdaten und einem "nach Hause telefonieren".
Have fun!
Einfach für alle Drucker im Netz in der Firmenfirewall den Zugang nach außen sperren. Dann können die auch nicht nach Hause telefonieren.
Und bzgl. Sicherheit allgemein:
Bei HP erlebt:
Drucker hat ein Webinterface zur Konfiguration des Druckers, ist per http und https erreichbar. http kann man sperren. Also alles gut.
Beim nahezu identischen Nachfolgegerät ist das Webinterface nur noch per http erreichbar, https wurde gestrichen!
HP hat da also absichtlich die Sicherheit des Geräts verschlechtert!
Nicht unbedingt bzw. es kommt darauf an.
Die von den Geräten genutzte TLS Certs sind kein wirklicher Schutz. Die Transportvershclüsselung kann von jedem überwunden werden. Erst wenn Du Deine eigene PKI betreibst und auf den Geräten Deine Certs hinterlegst, hast Du was Ernstzunehmendes.
das ist nicht korrekt, eine Transportverschlüsselung über HTTPs funktioniert auch mit Cert, was sich nicht im TRUST befindet. Gerade bei Druckern geht es ja in erster Linie darum, dass die Verbindung nicht manipulierbar ist und Benutzer/Pw nicht im Klartext auslesbar sind und das ist bereits erfüllt mit einem self-signed untrusted cert vom Drucker.
Alles andere ist zwar eine nette Ergänzung bringt aber weder mehr Sicherheit noch sollte das überhaupt irgendeine Priorität haben, in Unternehmensnetzwerken gibt's da weit wichtigere Baustellen, die es abzusichern gilt.
doch es ist korrekt: Es findet i.d.R. auf den Kisten keine Certüberprüfung und kein Cert-Pinning oder Schutz vor Protokoll downgrade auf z.B. TLS 1.0 oder gar SSL3 statt. Wenn Du Pech hast, holst Du Dir den privaten Schlüssel einfach aus einem Firmware Update Image direkt vom Hersteller. Zur Not reicht auch ein baugleiches Gerät von irgendeinem Depp und seinem dummen Bruder.
Schau mal in Shodan nach duplicated TLS/SSL serialnumbers. Da gibt es drölfzig IoT Zeugs, Drucker und Router mit identischen self-signed Keys offen am Netz.
Am Ende aber eh egal wenn Du Drucker wegisoliert und mit einem Mail/SMB Gateway, wie oben gezeigt, versehen hast.
Du darfst einfach keine Security von einem Drucker erwarten. Von daher ist die Meldung im Grunde eine Nullmeldung. Es sei denn hier liest ein Anwalt, Wirtschaftsprüfer oder allgemein Berufe mit "besonderer Verschwiegenheitspflicht" oder Berufsgeheimnisträger nach §203 StGB mit. Die stehen mit einem Bein im Strafrecht sollten Sie diesem Thema keine Bedeutung bemessen.
Soviel zu Deiner Einschätzung als "nette Ergänzung".
Das mag zwar zutreffen, trotzdem ist es für DAUs leichter,http abzuhören als z.B. einen Downgrade auf z.B. TLS 1.0 zu erzwingen.
Wobei man bei vielen Druckern auch das unterbinden kann und z.B. TLS 1.2 als einziges Protokoll zulässt.
hilft Dir trotzdem nichts, da Du dann auf Clientseite als MitM mt einem transparenten Proxy in die TLS Verbindung reingehst und z.B. auf http umbiegst. Dann liest Du wieder klartext mit. Solange Certs nicht validiert werden, ist jede Transportverschlüsselung zwischen A und B witzfrei. Und HSTS für self-signed certs gibt's nicht :-P
Da ist die Regel, erst gar keine Zugangsdaten auf einem Drucker abzulegen doch defensiver.
"Einfach für alle Drucker im Netz in der Firmenfirewall den Zugang nach außen sperren. Dann können die auch nicht nach Hause telefonieren."
Das reicht teils heute nicht mehr. Die müssen heutzutage leider oftmals Zugriff haben, Stichwort Toner-Abo und so nen Schice. Aber solange von draußen nach drinnen nicht geht und das drinnen nach draußen auf die Herstelleradresse limitiert ist, kann man das machen. Oder Druckerhersteller wechseln. Oftmals erfährt man aber erst dass die Dinger telefonieren wenn sie schon auf dem Tisch stehen.
Netzwerkseparierung sollte immer sein. Drucken nur vom Printserver und Admin-Webinterface auch nur von dort oder gehärteter Admin-Workstation.
Und regelmäßig die Herstellerwebseiten nach Firmware und Treiberupdates abgrasen und aktualisieren. Und da sind wir noch wo: Manche Drucker möchten zwingend die Firmware selbst vom Hersteller runterladen, geht nur wenn man sie "raus" lässt, siehe oben.
Wenn ein Drucker ohne "raus" nicjt funktioniert, entsorgen…
Sorry das ist Bullshit! Ich kenne kein Firmennetz, wo ein Drucker Internetzugriff hat. Für Toner und Monitoring nutzen die Tonerlieferanten apliances wie simpleclicks oder sequisoft ein, oftmals eine vm oder ein raspi, das ins gleiche vlan gehängt wird und das nur zugriff zu seiner Gegenstelle bekommt, nicht gleich das ganze Internet.
Und ich habe noch keinen Drucker gesehen, der seine Updates live aus dem Netz ziehen will. Entweder per WebUI oder USB Stick einspielen, fertig.
Wenn Ihr das anderes macht, dann seit ihr am rumwuseln und benutzt spielzeug-systeme.
Zitat:
"Und ich habe noch keinen Drucker gesehen, der seine Updates live aus dem Netz ziehen will. "
—
Also mein Epson Multifunktionsdrucker XP-342 von 2017 lädt seine neuen Firmwares selber aus dem Internet herunter und installiert die, sobald man die "Neue Firmware verfügbar" Meldung mit OK statt Abbrechen bestätigt.
Diese Firmware-Updates verschlechtern aber gewollt die Kompatibilität mit günstigeren Tintenpatronen.
Also besser die Drucker nicht ins Internet lassen und keine neuen Firmwares installieren.
Wenn es irgend wie geht, dann sollte man als Privatmann sowieso Drucker generell einmotten und Korrespondenz mit Behörden und Krankenkassen über deren Webinterface durchführen.
Einfach deren Formulare runterladen, ausfüllen, unterschreiben und mitsamt Unterschrift wieder als Scan PNG oder JPG hochladen.
Solche eingescannten Unterschriften sind zwar forensisch nicht einwandfrei, aber das wird normalerweise trotzdem akzeptiert, geht schneller und kostet keine Tinte und kein Porto.
Es wird akzeptiert, weil es auch deren Arbeit vereinfacht.
Die müssen keine Briefumschläge mehr öffnen, das Eingangsdatum per Stempel bestätigen, das Blatt Papier nicht einscannen und nicht manuell an den zuständigen Mitarbeiter verteilen.
Warum muss man unbedingt drucken?
Selbst Handwerkerrechnungen gibt es oftmals nur per email und nicht mehr per Briefpost, wenn beide Seiten damit einverstanden sind.
Wird es am Ende des Jahrhunderts immer noch Drucker und Printserver geben und Firewalls, die den Druckern und Printservern die Zugänge regeln?
Vermutlich nicht.
Warum fängt man nicht sofort jetzt an, diesesn Druckerschwachsinn einfach mal sein zu lassen und nie mehr zu benutzen?
Wenn nichts mehr funktioniert, wir es in 100 Jahren noch das Fax geben… Eine bequeme Art, z.B. auch heute noch einen Freistellungsauftrag an die VW-Bank zu schicken. Einfacher gehts nicht ;) /s
Dein Tipp in ehren aber ich empfehle einen Blick in §126 BGB. Vertrag im Sinne von Satz 2 sind:
Alle Formen von Verträgen wo eine Vertragspartei das einfordert. Das können Versicherungs- oder Arbeitsverhältnisses und deren Kündigungen sein. Verbraucherdarlehensverträge, Bürgschaften von Privatpersonen, Verträge zur Erb- und Ehegattenregelung, Verträge über Grundstücksgeschäfte, Testamente, Kündigungen von Mietverhältnissen usw.
Ich wette, auch Du wirst in Deinem Leben mit mehreren solchen Verträgen in Berührung kommen.
Ich bin jetzt nicht alle 689 Modelle durchgegangen, aber die paar auf der Liste, die ich vom eigenen Ansehen kenne sind eher Abteilungsdrucker/Scanner/Dokucenter im Kiloeuro-Bereich.
Damit sind es auch keine "Heimanwender-Drucker", sondern mindestens Abteilungsdrucker, die sich dann auch in einem professionell gemanagten Netzwerk wieder finden.
Bei denen, mit denen ich zu tun habe, kann man sämtliche direkten Telemetriefunktionen abschalten und auf eine zentrale Instanz (bei Xerox etwa CentreWare, die neben dem hauseigenen Material auch Brother, TA, Kyocera und HP verwalten kann) umleiten.
Firmware-Updates geben die Hersteller i.d.R. ohne Wartungsvertrag sowieso nicht heraus und wenn, kann ich sie zentral dort ablegen und für die entsprechenden Druckermodelle freigeben (Treiber sind eine andere Baustelle, aber das passiert clientseitig).
Damit spricht überhaupt nichts dagegen, die Drucker in ein entsprechend reglementiertes VLAN zu sperren und nur für den Printserver erreichbar zu machen. Es gibt weder einen Grund für eine direkte Verbindung zu den Clients noch ins Internet.
Bei uns sind die Drucker in einem eigenen VLAN und dürfen nur mit dem Printserver sprechen!
Das löst gerade das Export Problem gar nicht.
Man muss dazu nur den Drucker abstecken, und an einen eigenen Router anstecken. Dann rekonfigurieren, und man kann die Daten exportieren.
Ja gut ich kann auch über die Putzkolonne reinkommen und die Speicher Platine ausbauen und mitnehmen… ;-P ob ich mich da aber mit dem Drucker aufhalten würde ;-P nen Keylogger am USB Tasta ist effektiver…
und jetzt sagt mir nicht das eure Leute jeden morgen ertsmal unter den Schreibtisch krappeln und schauen ob zwischen USB und Tasta nen Adapter hängt!
Die interne Gefahr sollte man nie unterschätzen und anders als von aussen lässt sich die weniger kontrollieren und verhindern. Was von aussen rein will kannst du überwachen/protokollieren/beschränken…intern bist so gut wie machtlos.
So ein Datrenlogger zwischen der Tasta und USB sieht du in keinem Protokoll. Der ist einfach nicht sichtbar… Installier ich dir in wenigen Sekunden und hol ihn ne Woche Später wieder raus ;-P und du kriegst davon absolut nix mit. Irgend eine Lücke im deiner IT ist dazu nicht notwendig.
Und welche Standard Firma macht bei der Putzkolonne ne Sicherheitsüberprüfung? Die gehen Abends von Büro zu Büro ;-P
Einer der Gründe warum Perimeter Absicherung nicht mehr Zeitgemäß ist.
Bei vielen der Maßnahmen die hier genannten wurden fehlt mir ganz konkret welchen nutzen diese haben.
Drucker offline? pseudo offline? Wenn ein Hersteller die Anwender beim Drucken ausspionieren will, kann er das ganz leicht via Drucker Treiber/App.
und wenn man keine gute Firewall hat oder keinen Zugriff drauf. dann kann man im Drucker 0.0.0.0 als Default Gateway angeben.
Das geht auch per DHCP, wenn auch nicht so transparent.
Der Drucker kommt nur noch ins LAN… für Null Euro.
Und wenn man die Firewall tauschen muss, bleibt der Drucker von großen Internet getrennt, ohne dass wer vergessen könnte, auf der Firewall den Drucker zu sperren.