Mcafee Host Intrusion Protectionは、オールインワンネットワークプリンターをブロックします
新しいHPOfficejet6500プリンターを購入しました。イーサネットポートが内蔵されているので、ネットワークに接続できました。遊んでいると、定期的に反応しなくなってしまいました。周りを見回すと、UDPポートスキャンが原因でファイアウォールがプリンタをブロックしていることがわかりました。
だから私の質問は:
- ネットワークプリンター/スキャナーがUDPポートスキャンを実行するのは正常ですか?
- もしそうなら、どうすればマカフィーに大丈夫だと伝えることができますか?
- それは合法である可能性がありますが、マカフィーは単に過度に慎重になっていますか?
- そうでない場合、どうすれば修正できますか?
編集:
どのUDPポートがアクセスされているかを確認し、これをトリガーする方法はありますか?
同じ問題が発生しました。 https://kc.McAfee.com/corporate/index?page=content&id=KB6628 による修正は、信頼できるネットワークリストにプリンターのIPを追加することです。それは少し過剰反応だと思いますが、彼らにはもっと良い解決策がないようです。
プリンタの 手動 を見ると、プリンタはUDPポート5353を使用しています。このポートを許可すると、印刷の失敗を修正するのに役立ちます。私の経験では、ほとんどのアンチウイルスソフトウェアは、正当な理由で過度に用心深くなっています(彼らは訴えられたくないのです)。ルーターの背後にいて、ファイアウォールがインストールされている場合は、ハッカーが特にUDPポートからアクセスしようとしていない可能性があります。
UDPスキャン
ポートスキャンは通常、TCPポートをスキャンすることを意味します。これはコネクション型であるため、攻撃者に適切なフィードバックを提供します。UDPは異なる方法で応答します。UDPポートを見つけるために、攻撃者は通常、空のUDPデータグラム。ポートがリッスンしている場合、サービスはエラーメッセージを送り返すか、着信データグラムを無視する必要があります。ポートが閉じている場合、ほとんどのオペレーティングシステムは「ICMPポートに到達できません」というメッセージを送り返します。ポートが開いていない場合は、除外して、開いているポートを決定します。UDPパケットもICMPエラーも到着することが保証されていないため、この種のUDPスキャナーは、失われたように見えるパケットの再送信も実装する必要があります(または、誤検知の束を取得します)。
また、RFC 1812の提案を実装し、ICMPエラーメッセージレートを制限するマシンの補償のため、このスキャン手法は低速です。たとえば、カーネルは、宛先の到達不能メッセージの生成を4秒あたり80に制限し、それを超えると1/4秒のペナルティを課す場合があります。