Защита Wi-Fi принтера: как закрыть доступ к устройству от хакеров и соседей

Сетевые принтеры с поддержкой Wi-Fi — удобное решение для офиса или дома, но они становятся лёгкой мишенью для злоумышленников. Через незащищённое устройство можно не только распечатать сотни листов мусора, но и получить доступ к локальной сети, перехватить документы или использовать принтер как платформу для атак на другие гаджеты. По данным Kaspersky, в 2023 году 42% инцидентов с IoT-устройствами были связаны именно с принтерами — их владельцы редко меняют заводские настройки безопасности.

Проблема усугубляется тем, что многие пользователи даже не подозревают о рисках. Принтер с открытым портом 9100 или включённым протоколом LPD может быть найден в сети за считанные минуты с помощью сканеров вроде Shodan. А если устройство поддерживает облачную печать (Google Cloud Print, HP ePrint), шансы на взлом вырастают в разы. В этой статье — конкретные шаги по защите Wi-Fi принтера, которые займут не больше 20 минут, но сделают его практически неуязвимым.

1. Почему Wi-Fi принтер уязвим: основные риски

Большинство атак на принтеры эксплуатируют три ключевые уязвимости:

  • 🔓 Заводские учётные данные. Многие модели (Canon PIXMA, Epson EcoTank, Brother HL-L2300D) по умолчанию используют пустой пароль или комбинацию вроде admin/admin. Эти данные легко найти в инструкции или в базе DefaultPasswords.
  • 📡 Открытые порты. Протоколы IPP (порт 631), LPD (порт 515) и JetDirect (порт 9100) часто остаются доступными из интернета, даже если принтер подключён только к локальной сети.
  • 🖨️ Устаревшее ПО. Производители редко выпускают обновления для принтеров старше 3–5 лет, а в прошивках остаются критические уязвимости (например, CVE-2021-3438 для HP LaserJet).

Реальный пример: в 2022 году хакеры использовали уязвимость в принтерах Xerox WorkCentre для распространения расистских листовок в университетах США. Атака стала возможной из-за открытого доступа к веб-интерфейсу устройств. В России аналогичные инциденты фиксировались в 2023 году — злоумышленники печатали требования выкупа на принтерах малых предприятий.

⚠️ Внимание: Если ваш принтер поддерживает AirPrint (для Apple) или Mopria (для Android), он автоматически открывает порты для локальной сети. Это не опасно само по себе, но в сочетании с слабым паролем создаёт риски.

2. Шаг 1: Смена заводского пароля и имени пользователя

Первое, что нужно сделать после подключения принтера к Wi-Fi — сменить стандартные учётные данные. Большинство моделей позволяют это сделать через веб-интерфейс или панель управления.

Как найти веб-интерфейс:

  1. Узнайте локальный IP-адрес принтера (можно распечатать отчёт о сети или посмотреть в роутере в разделе DHCP-клиенты).
  2. Введите этот IP в адресную строку браузера (например, http://192.168.1.105).
  3. Авторизуйтесь с заводскими данными (обычно admin/пустой пароль или admin/admin).

Далее перейдите в раздел Settings → Security → Administrator Settings (название может отличаться). Придумайте сложный пароль длиной не менее 12 символов, включающий:

  • 🔤 Большие и маленькие буквы (AaBbCc)
  • 🔢 Цифры (123)
  • 🔑 Спецсимволы (!@#$)
⚠️ Внимание: Не используйте пароли, связанные с моделью принтера (например, EpsonL3250!). Хакеры в первую очередь проверяют такие комбинации.

☑️ Безопасный пароль для принтера

Выполнено: 0 / 4

Для моделей HP (например, HP OfficeJet Pro 9015e) смена пароля может потребовать установки ПО HP Smart. В этом случае:

  1. Подключите принтер к ПК по USB.
  2. Запустите HP Smart и перейдите в Printer Settings → Security → Change Password.

3. Шаг 2: Настройка шифрования Wi-Fi сети

Если принтер подключён к Wi-Fi, его безопасность напрямую зависит от настроек роутера. Минимальный уровень защиты — это шифрование WPA2-PSK (AES). Однако лучше использовать WPA3, если роутер и принтер его поддерживают.

Как проверить и изменить настройки:

  1. Зайдите в веб-интерфейс роутера (обычно 192.168.0.1 или 192.168.1.1).
  2. Перейдите в раздел Wi-Fi → Security (или Беспроводная сеть → Защита).
  3. Выберите WPA3-Personal (или WPA2/WPA3 Mixed Mode, если принтер не поддерживает WPA3).
  4. Установите сложный пароль для Wi-Fi (отличный от пароля принтера!).
Тип шифрования Уровень безопасности Поддержка принтерами
WEP 🚨 Низкий (взламывается за минуты) Устаревшие модели (до 2010 года)
WPA-PSK (TKIP) ⚠️ Средний (уязвим к атакам) Большинство принтеров 2010–2015 гг.
WPA2-PSK (AES) ✅ Высокий Все модели после 2015 года
WPA3-Personal ✅✅ Максимальный Новые модели (2020+)

Если ваш принтер не поддерживает WPA3, проверьте возможность обновления прошивки. Например, для Brother MFC-L2710DW обновление до версии 1.20 добавляет поддержку WPA3.

📊 Какой тип шифрования использует ваш Wi-Fi роутер?
WEP
WPA
WPA2
WPA3
Не знаю

4. Шаг 3: Отключение ненужных протоколов и портов

По умолчанию принтеры открывают несколько портов для печати по сети:

  • 9100/TCPJetDirect (устаревший, но всё ещё используется)
  • 515/TCPLPD (Line Printer Daemon, небезопасен)
  • 631/TCPIPP (Internet Printing Protocol, более безопасен)

Для домашнего использования достаточно оставить только IPP (порт 631). Отключить остальные можно через веб-интерфейс принтера:

  1. Перейдите в Network → Ports (или Settings → Network Services).
  2. Отключите LPD и JetDirect.
  3. Для IPP включите аутентификацию (опция Require Authentication).

Для моделей Canon (например, PIXMA TR8620) путь будет таким: Settings → Network Settings → LAN Settings → Port Settings.

⚠️ Внимание: Если вы используете принтер в офисе с устаревшими системами (например, Windows XP), отключение LPD может нарушить совместимость. В этом случае ограничьте доступ по MAC-адресам (см. следующий шаг).

5. Шаг 4: Фильтрация по MAC-адресам

Фильтрация по MAC-адресам — дополнительный слой защиты, который ограничивает доступ к принтеру только разрешённым устройствам. Это не панацея (MAC-адреса можно подделать), но усложнит задачу злоумышленникам.

Как настроить:

  1. Узнайте MAC-адреса всех устройств, которым нужен доступ к принтеру (ПК, ноутбуки, смартфоны). На Windows это можно сделать через команду: 
    ipconfig /all

    Ищите строку Physical Address.

  2. Зайдите в веб-интерфейс принтера и найдите раздел Network → MAC Filter (или Security → Access Control).
  3. Добавьте MAC-адреса в белый список и включите фильтрацию.

Пример для принтера Epson EcoTank ET-2800:

  • Перейдите в Settings → Network Settings → Wireless LAN → MAC Address Filter.
  • Выберите Permit (разрешить только указанные адреса).
  • Введите MAC-адреса через запятую (например, 00:1A:2B:3C:4D:5E, 00:1F:2G:3H:4I:5J).
Что делать, если MAC-адрес устройства изменился?

Если вы сбросили сетевые настройки на ПК или сменили сетевую карту, MAC-адрес может измениться. В этом случае добавьте новый адрес в белый список принтера. Узнать текущий MAC можно через команду getmac (Windows) или ifconfig (macOS/Linux).

6. Шаг 5: Обновление прошивки принтера

Производители регулярно выпускают обновления прошивки, закрывающие уязвимости. Например, в 2023 году HP выпустила патч для критической уязвимости CVE-2023-1707, позволявшей удалённо выполнять код на принтерах серии LaserJet.

Как обновить прошивку:

  1. Скачайте последнюю версию с официального сайта производителя (раздел Support или Downloads).
  2. Для большинства моделей (Brother, Canon) обновление устанавливается через веб-интерфейс: Settings → Device Settings → Firmware Update.
  3. Для HP используйте утилиту HP Firmware Update Tool.

Важно: не прерывайте процесс обновления. Для принтеров Epson это может привести к "брику" (неработоспособности) устройства. Если обновление идёт дольше 20 минут, не выключайте принтер — дождитесь завершения или ошибки.

Бренд Способ обновления Среднее время
HP Через HP Smart или утилиту Firmware Update Tool 5–15 минут
Canon Веб-интерфейс или утилита IJ Network Tool 10–20 минут
Brother Веб-интерфейс или BRAdmin Professional 3–10 минут
Epson Веб-интерфейс или Epson Software Updater 15–30 минут
⚠️ Внимание: После обновления прошивки некоторые настройки безопасности (например, пароль администратора) могут сброситься к заводским. Проверьте их повторно!

7. Шаг 6: Отключение облачных сервисов и удалённого доступа

Функции вроде Google Cloud Print, HP ePrint или Epson Connect удобны, но создают дополнительные риски. Они открывают доступ к принтеру из интернета, что может быть использовано для атак.

Как отключить:

  • 🌐 Google Cloud Print: зайдите в аккаунт Google, удалите принтер из списка устройств.
  • 🖨️ HP ePrint: в веб-интерфейсе принтера перейдите в Settings → Web Services → Turn Off.
  • 📧 Epson Connect: Settings → Epson Connect Services → Disable.

Если облачная печать критически важна (например, для удалённой работы), хотя бы:

  • Используйте сложный пароль для аккаунта облачного сервиса.
  • Включите двухфакторную аутентификацию (если поддерживается).
  • Ограничьте доступ по IP (например, только для вашего офиса).

Для моделей Brother отключение удалённого доступа происходит в разделе Network → WAN → Remote Setup → Disable.

8. Шаг 7: Дополнительные меры безопасности

Для максимальной защиты выполните ещё несколько действий:

  • 🔌 Отключите WPS. Эта функция упрощает подключение к Wi-Fi, но уязвима для брутфорс-атак. В роутере отключите её в разделе Wi-Fi → WPS → Disable.
  • 📡 Создайте гостевую сеть для принтера. Настройте на роутере отдельную сеть для IoT-устройств с ограниченным доступом к локальной сети.
  • 🔄 Включите журнал событий. В веб-интерфейсе принтера активируйте логирование (Settings → System → Event Log). Это поможет отследить подозрительную активность.
  • 🔒 Используйте VPN для удалённого доступа. Если нужен доступ к принтеру извне, настройте WireGuard или OpenVPN на роутере вместо проброса портов.

Для офисных принтеров (Xerox AltaLink, Ricoh MP C3004) также рекомендуется:

  • Настроить IPSec для шифрования трафика между ПК и принтером.
  • Использовать сертификаты вместо паролей для аутентификации.
📊 Вы используете принтер в домашних или офисных условиях?
Домашний
Офисный (до 10 человек)
Офисный (10+ человек)
Публичное место (кафе, коворкинг)

FAQ: Частые вопросы о защите Wi-Fi принтеров

Мой принтер не поддерживает WPA3. Что делать?

Используйте WPA2-PSK (AES) и дополнительно включите фильтрацию по MAC-адресам. Также проверьте, есть ли обновление прошивки, добавляющее поддержку WPA3.

Как проверить, не взломан ли мой принтер?

Признаки взлома:

  • Неизвестные задания на печать.
  • Изменённые настройки в веб-интерфейсе.
  • Принтер подключается к незнакомым сетям.

Проверьте журнал событий (Event Log) и список подключённых устройств в роутере.

Нужно ли менять SSID сети для безопасности принтера?

Изменение имени сети (SSID) не повышает безопасность напрямую, но поможет избежать целевых атак. Не используйте в имени личную информацию (например, Ivanov_Printer).

Можно ли полностью заблокировать доступ к принтеру из интернета?

Да. Отключите проброс портов (Port Forwarding) на роутере и деактивируйте облачные сервисы в настройках принтера. Также проверьте, что принтер не имеет белого IP-адреса (должен быть в диапазоне 192.168.x.x или 10.x.x.x).

Какие принтеры самые защищённые?

Модели с сертификатом Common Criteria EAL4+ или поддержкой IPSec:

  • HP LaserJet Enterprise M608 (встроенный фаервол)
  • Xerox AltaLink C8130 (шифрование диска и аутентификация по сертификатам)
  • Brother MFC-L6900DW (поддержка WPA3 и IPv6)

📖 Читайте также

Какой порт принтера выбрать для Wi-Fi: полное руководство 2026 Пошаговая инструкция по выбору порта принтера для беспроводного подключения: LPR, RAW, WSD, IPP. Сра Подключение Epson L3050 к Wi-Fi: пошаговая инструкция 2026 Как подключить принтер Epson L3050 к Wi-Fi за 5 минут? Пошаговое руководство с фото, ошибками и сове HP DeskJet 2720: как подключить к Wi-Fi за 5 минут (пошагово) Подробная инструкция по подключению принтера HP DeskJet 2720 к Wi-Fi сети. Способы через WPS, HP Sma Canon MG3040: как подключить по Wi-Fi к роутеру и ПК Подробная инструкция по настройке Canon Pixma MG3040 через Wi-Fi. Решаем проблемы с драйверами, IP-а Как подключить Epson L355 к Wi-Fi роутеру: полная инструкция Подробная настройка Epson L355 через Wi-Fi Direct и WPS. Решение проблем с драйверами, сброс сети и Как сканировать через Wi-Fi на компьютер: полная настройка Подробная инструкция, как настроить сканирование по Wi-Fi на Windows. Настройка IP-адреса, WSD, драй