Moeten printers in een apart VLAN of mogen ze gewoon op het kantoor-LAN?
Printer-VLAN is een security-quick-win. Printers hebben veel ingangen (web-admin, FTP, SMB, IPP, SNMP) die slecht onderhouden worden. Een eigen VLAN beperkt impact als één printer gehackt wordt.
Probeer dit eerst zelf
- 1Maak een 'PRINT'-VLAN op de switch. Geef het een eigen subnet en DHCP-scope.
- 2Stel firewall-regels in: VLAN PRINT mag alleen worden bereikt vanuit kantoor-VLAN op poorten IPP (631), 9100, SMB (445), HTTP/HTTPS (80/443) voor admin, en SNMP (161) van monitoring-server.
- 3VLAN PRINT mag níet zelf het kantoor-VLAN bereiken. Een gehackte printer kan dan geen interne machines aanvallen.
- 4Geef internet-toegang alleen voor firmware-updates (specifieke vendor-IP's of via een proxy). Niet open, anders is het een bot voor uitgaande aanvallen.
- 5Test scan-naar-SMB en scan-naar-mail vanuit dit VLAN. Pas firewall aan tot alles werkt zonder over-open te zijn.
Wanneer ons inschakelen
Een printer-VLAN met juiste firewall-regels is een halve dag werk per locatie. Wij doen dat liefst gecombineerd met de algehele segmentatie van het netwerk.
Zie ook
- Printer wordt opeens niet meer gevondenBij iedereen tegelijk: print-server of netwerk. Bij één persoon: lokale Windows-driver of een verlopen autorisatie.
- Print-opdracht zit in de wachtrij maar er gebeurt nietsEen vastgelopen wachtrij blokkeert alle volgende prints. Schoonmaken duurt twee minuten.
- Scanner stuurt geen mails meer (scan-to-email)Bijna altijd: een wachtwoord van het account dat de scanner gebruikt is verlopen, of de mailprovider blokkeert oude protocollen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.