WhitePaper

ES

CPM WHITEPAPER

Nubeprint Copyright -2020 WhitePaper_ES_1706

WhitePaper_ES_1703
 WhitePaper

Introducción: qué es el CPM

CPM es el software diseñado para capturar la información de las impresoras,

empaquetarla y transmitirla de manera correcta al servidor principal de
procesamiento de datos (CPS).
CPM está diseñado para trabajar con impresoras de red o equipos conectados
por USB/LPT que cumplan el estándar DOT4 (IEEE 1284.4). Para el resto de
dispositivos será posible utilizar herramientas intermedias o soluciones
específicas del fabricante de impresoras.

Características de CPM

CPM ha sido diseñado bajo tres pilares fundamentales:

• No invasividad. Su ejecución resulta transparente para las impresoras o
copiadoras, para el PC/VM donde se lo ejecute y para la electrónica de red que
lo controla.
• Seguridad. Se cumple un amplio abanico de directivas de seguridad y se
distribuye el código fuente para que sea auditado por los responsables de
seguridad de la red.
• Flexibilidad. El comportamiento de la aplicación puede ser estrictamente
determinado a través de un archivo de configuración (xml) manipulable por el
implantador. No existen limitaciones en cuanto a redes, aplicaciones
concurrentes, rangos o segmentos.
Según la tipología de red y las directrices marcadas por los jefes de proyecto,
será posible utilizar la flexibilidad del software CPM para ajustarse a las
necesidades.

Nubeprint Copyright - 2020 WhitePaper_ES_1706 1

 WhitePaper

Seguridad del CPM:

• Totalmente respetuoso con la red y sus equipos, cumpliendo los criterios

de comunicaciones y seguridad más exigentes y las más importantes
regulaciones internacionales:

o RFCs de comunicaciones y seguridad

o HIPAA: Health Insurance Portability and Accountability Act
o Sarbanes-Oxley Act
o Gramm-Leach-Bliley Act
o Federal Information Security Management Act
o ENISA Advising Directives
o GDPR (General Data Protection Regulation de la CE)
• El DCA de Nubeprint (CPM) no almacena información de lecturas in-
situ, evitando generar nuevos vectores de ataque.
• El DCA de Nubeprint (CPM) en ningún caso utiliza puertos extra o
no estándar para funcionar. Por ejemplo, para recibir
actualizaciones (manuales o automáticas), comprometiendo la
estructura de red.
• El DCA de Nubeprint (CPM) no se instala como servicio por lo que
no se mantiene residente en memoria. Su ejecución está controlada
al 100% por el instalador.
• El servidor de Nubeprint (CPS) utiliza servicios de Hosting que
cumplen los requisitos de seguridad extremos.
• Las transmisiones entre CPM y CPS utilizan capas de cifrado
públicas, permitiendo al usuario conocer con total certeza qué datos
se transmiten en todo momento y al mismo tiempo, utilizar un canal
seguro de transmisión.
o Otros

• No captura ningún dato confidencial (jobs, nombres, tipos de paquetes

etc.).

• Solamente los datos existentes en la MIB de la impresora o copiadora que

son necesarios para la gestión de MPS: número de serie, MAC, modelo,
pila de errores, contadores de páginas, niveles de los cartuchos y/o
piezas, display (nota: cuando un determinado modelo no dispone de ese
campo de información, CPM no intenta ni siquiera capturarlo al objeto de
minimizar el tráfico de red).
• Admite capas de cifrado y comunicaciones sobre SSL (1024-bit HTTPS).
• No necesita acceso al Servidor de impresión. Los datos que se transmiten
desde el cliente al servidor CPS son totalmente auditables por el cliente y
el proveedor del servicio.

Nubeprint Copyright - 2020 WhitePaper_ES_1706 2

 WhitePaper

Conceptos de seguridad del CPM

El CPM es un software que se instala en el cliente de la red y por lo tanto, además

de su alto rendimiento de seguridad por defecto, es adaptable a cualquier
demanda en términos de políticas de seguridad interna o particularidades de las
redes en las que trabaja. La observancia de los requisitos de seguridad puede
establecerse en diferentes categorías complementarias.
Capas de seguridad
Seguridad por diseño Debido al SDD (Security Driven Development), el CPM
cumple las más estrictas políticas de seguridad (Banca, Servicios de Salud,
Agencias).
• 100% auditable, de código abierto: el CPM se entrega con sus fuentes (kit
de herramientas PAR) con el fin de ser examinado fácilmente por el
equipo de seguridad.
• Core admitted y lanzamiento público en CPAN
• Lenguaje interpretado: con acceso directo al código que se ejecuta.
• Implementación con estricto cumplimiento de normas y reglas: RFCs para
comunicaciones y seguridad de redes, IETF, HIAPP, etc.
• Seguridad en las transmisiones de datos: En todos los niveles, el CPM
permite que el tratamiento de los datos recopilados pueda ser definido por
el equipo de seguridad para llevar a cabo sus propias políticas de
seguridad (HIAPP, etc.).
• Recogida de datos: recopilación estricta de contadores de páginas,
niveles de consumibles y alertas de operación (por ejemplo: tambor
dañado).
• La frecuencia de recolección: se define por el equipo de IT usando el
programador de sistema operativo estándar en lugar de un temporizador
de aplicación interna o ad hoc.
• Canal HTTP: capacidad de transmitir a través de HTTP con capa SSL
fuerte (256 bits), con soporte para proxies autenticados o anónimos.
• Canal SMTP: capacidad de conexión a través del servidor SMTP del
cliente con capa SSL (256 bits) con la posibilidad de copias desde el
origen (sin el uso de reglas de reenvío) de cada mensaje con fines de
auditoría.
• Seguridad en la red: El CPM es totalmente adaptable a las políticas y
procedimientos de seguridad de red debido a sus arquitecturas de
despliegue flexibles y a su configuración extensible.
• CPM ilimitados por red, múltiples redes de un solo CPM y / o múltiples
rangos por red: el equipo de IT decide el número y la ubicación lógica de
los CPM para satisfacer sus necesidades.

Nubeprint Copyright - 2020 WhitePaper_ES_1706 3

 WhitePaper

• Compatibilidad con firewalls, redes segmentadas y rutas dinámicas:

admite el bloqueo de puertos y rutas también durante el proceso de
descubrimiento mediante escalaciones.
• Lista de lecturas de direcciones IP: con su funcionamiento en "modo de
lista", el CPM escanea al grupo específico de IPs.
• Latencia y tiempo de espera: admite la definición interna del tiempo de
espera y la latencia siendo suaves sus valores para ajustarse y no ser
invasivo.
• Seguridad por aislamiento: El CPM funciona como una capa transparente
que no interrumpe el elemento de red de ningún cliente. Es un software
completamente portátil que se puede conectar sin ninguna modificación
del sistema.
• No se necesita instalación: permite al personal de IT y Seguridad definir
sus políticas de uso particulares.
• No se necesitan cambios de red: las rutas y la arquitectura de red
específica se gestionan mediante la configuración extensible de CPM.
Varias redes, subredes, Vlans, etc.
• No se necesitan cambios de impresora / copiadora: sólo usa SNMP (v1,
v2c y v3) y se utiliza en modo estrictamente de sólo lectura en todos los
casos.

Nubeprint Copyright - 2020 WhitePaper_ES_1706 4

 WhitePaper

CPM: desde el punto de vista de IT

Seguridad
1 ¿Qué pasa con el CPM y privacidad?
CPM no preguntará a la impresora ni por lo tanto recopilará información sensible
(usuarios, los trabajos enviados a la impresora o configuraciones). Recopila
datos relacionados con el estado de la impresora (contadores de páginas, niveles
de consumibles, errores).
2 ¿Qué pasa con CPM y seguridad?
El CPM es Software Libre y, como tal, se ajusta a los criterios de Seguridad por
Diseño. Recibes las fuentes para que puedas analizarlas y evaluarlas.
3 ¿Se puede auditar el CPM?
Absolutamente sí. Es Software Libre.
4 ¿Necesita el CPM un acceso de escritura a través de SNMP?
Por supuesto no. El CPM sólo lee contadores e información de estado.
No Invasivo
• ¿Qué pasa con el CPM y el ancho de banda? CPM no emite la red. En
caso de que el software no incluya una lista de impresoras a monitorizar,
seguirá un proceso para descubrirlas en la red con una tasa de uso
extremadamente baja de recursos (desde la red, el PC y la impresora).
• ¿El CPM necesita bibliotecas externas y marcos (.NET, Java, SQL,
etc)? Absolutamente no. El CPM es portátil y no tiene ningún requisito de
software.
• ¿Necesita CPM algún sistema operativo específico? Hay versiones
CPM para Windows XP / 2000/2003 / Vista / 2008/7, Mac OS X, Unix /
Linux, FreeBSD y Solaris.
• ¿Cuántas veces el CPM lee las impresoras? El CPM es controlado por
la utilidad Programador de Tareas. Es el cliente, responsable de red, quien
decide cuándo y cuántas veces se deben leer las impresoras. También
puede configurarse para ejecutarse en segundo plano.
• ¿Debería ser accesible el puerto Ping y / o 9100 de las impresoras al
CPM? Absolutamente no. Incluso durante el proceso de descubrimiento,
el CPM sólo utiliza el servicio SNMP (161 / UPD) para detectar y leer
impresoras. Ambos, el echo (ping) y el puerto 9100, facilitan el proceso
de descubrimiento pero no son estrictamente necesarios en absoluto.

Nubeprint Copyright - 2020 WhitePaper_ES_1706 5

 WhitePaper

Despliegue y Activación en redes tipo WAN

El presente documento detalla los requisitos necesarios para realizar con éxito
la implantación sobre redes tipo WAN (de área amplia).
Se debe tener en cuenta que el despliegue de la solución sólo necesita la puesta
en marcha de las herramientas de monitorización (CPM) al ser éstas las
responsables de la captura y envío de datos que serán transformados en
información a través de un servidor ya operativo y puesto a su disposición en
Cloud.

Las arquitecturas de implantación habituales en redes WAN se corresponden

con:
• Instalación de un CPM en un punto central con acceso general a la red (por
ejemplo, centro de datos)
• Instalación de un CPM de respaldo para iniciar bajo demanda
• Ejecución de un proceso diario de descubrimiento de equipos para la
generación y actualización del inventario físico de máquinas
• Ejecución de CPM en modo listado (sólo leyendo las direcciones IP del
inventario) en conjunto con el proceso de descubrimiento
NOTA: Puede encontrar más información sobre redes WAN en el anexo.

Nubeprint Copyright - 2020 WhitePaper_ES_1706 6

 WhitePaper

Preguntas frecuentes:

1. ¿Qué es el CPM-software? Es una aplicación que permite descubrir y

recolectar los datos de las impresoras de una red TCP/IP, para luego realizar
el envío de la información a la Nube.
2. ¿Qué datos recolecta? Aunque depende del modelo de impresora, el CPM
es capaz de capturar datos básicos del equipo como su número de serie,
valores de sus contadores de páginas, el estado de los consumibles, y los
mensajes que aparecen en el display de la impresora.
3. ¿Qué se puede decir del CPM y la privacidad? En ningún caso el CPM
recolecta información sensible (usuarios, trabajos impresos o
configuraciones). Además, el código del CPM es Software Libre, con lo que
puede ser utilizado libremente; estudiado, evaluado y modificado para
cualquier necesidad, distribuído y por supuesto auditado.
4. ¿En dónde está el código fuente? El programa CPM está empaquetado
utilizando PAR (Perl Archiving Toolkit). El ejecutable puede ser directamente
descomprimido (zip) para extraer todo el código fuente.
5. ¿Qué se puede decir del CPM y la seguridad? Es importante recalcar que
no se recolectan datos sensibles, sino sólo del propio estado de la impresora.
Además al tratarse de Software Libre el CPM aplica criterios de seguridad
por diseño.
6. ¿Qué se puede decir del CPM y el consumo de ancho de banda? Por
diseño, el CPM en ningún caso realiza broadcast sobre la red. Si no contase
con una lista de dispositivos a monitorizar, realiza un proceso de
descubrimiento, sobre la red local, en el que el bajo consumo de recursos (de
la red, de la CPU y de la impresora) es el requisito más importante.
7. ¿Qué se puede decir del CPM y la conexión al exterior? Una vez
monitorizada una impresora, el CPM intentará enviar los datos al servidor en
la Nube para lo cual deberá contar con acceso a Internet a través de HTTPs.
8. ¿Cómo sube los datos a la Nube? A través de un protocolo simple no
orientado a conexión sobre HTTPs. Dicho protocolo es público y pronto será
publicado en la web. Actualmente puede ser sencillamente extraído del
propio código del CPM.
9. ¿Por qué tarda tanto en ejecutarse el descubrimiento? Si el CPM no
contiene una lista predefinida de la localización de las impresoras a
monitorizar, procurará realizar un descubrimiento automático procurando en
ningún caso sobrecargar la red o los dispositivos conectados para lo cual
realizará el proceso de manera lenta y segura.

Nubeprint Copyright - 2020 WhitePaper_ES_1706 7

 WhitePaper

ANEXO: Despliegue y Activación en redes tipo WAN

Arquitectura base recomendada para la Instalación

En caso de redes arquitecturalmente complejas con desconocimiento o
movilidad del parque de impresión, se recomienda la utilización de al menos dos
CPMs.
1. CPM de control de inventario: se trata de una configuración de la
herramienta mediante la cual se rastreará la tipología de red en busca de
impresoras. Se ejecuta semanalmente de tal forma que cualquier nuevo
dispositivo es automáticamente integrado en inventario.

2. CPM de lectura: se trata de una configuración eficiente en la que sólo se

monitorizan los equipos de impresión inventariados. Se ejecuta de
manera frecuente (2-4 veces diarias).
Se recomienda la instalación de CPM en un servidor (físico/virtual) dedicado. El
objetivo es aportar la mayor flexibilidad en cuanto a arquitectura y evitar que una
configuración forzada por otra aplicación pueda disminuir su capacidad de
funcionamiento.
Siempre que la arquitectura de la red del cliente lo permita, no es necesaria la
instalación de CPMs redundantes o de servicio auxiliar.
En caso de que la red WAN estuviese fuertemente compartimentada (varias
subredes independientes), entonces se aplicaría el proceso de instalación de
CPM sobre cada una de ellas de manera individualizada.
Una vez activado, el mantenimiento requerido por CPM es bajo (cambio o
actualización de su configuración). En un funcionamiento estándar, no se
almacenan registros de actividad incrementales (la aplicación “no crece”).

Requisitos IT para la implantación de CPM en redes WAN

1.- Instalación de la aplicación en un equipo conectado a la red WAN

• CPM puede ser ejecutado sobre los siguientes sistemas operativos.

• GNU/Linux (recomendado en redes grandes)
• Microsoft Windows 7/8/8.1/10
• Microsoft Windows Server 2003/2008/2012
• MacOS

Nubeprint Copyright - 2020 WhitePaper_ES_1706 8

 WhitePaper

• UNIX FreeBSD, NetBSD, OpenBSD, AIX

• CPM puede ejecutarse en un equipo con pocos recursos y sus requisitos
dependerán del sistema operativo y del número de redes a descubrir de manera
concurrente. Se pueden tomar como parámetros de referencia los siguientes:
• CPU: 1 ECU
• RAM: 4G
• Almacenamiento: 100M
• Ethernet: 1Gbps

2.- Visibilidad del servicio SNMP (puerto 161/tcp/udp) desde el equipo que
ejecute CPM hacia todas las impresoras de la red

• Se trata de la configuración predeterminada de las impresoras. Si se hubiesen

cambiado (comunidad, versión, puerto) será necesario notificarlo.

• Sólo se necesita acceso SNMP de lectura y desde la IP desde donde se ejecute

CPM.

3.- Visibilidad del servicio HTTP/S en internet

• CPM deberá conectarse con el servidor CPS y para ello utilizará una capa sobre
el protocolo HTTP (80) y/o HTTPS (443).
• Una vez instalado, posibilidad de restringir la salida hacia una única IP (o
dominio) de salida: la localización del CPS.
• Posibilidad de utilizar Proxy con autentificación con usuario y contraseña. Debe
tratarse de un proxy estándar (no se admiten soluciones propietarias de
autentificación como NTLM).

4.- (Opcional) Visibilidad del servicio ping desde el equipo que ejecute CPM
hacia todas las impresoras de la red

• Se trata de un parámetro opcional que en caso de activarse permite aumentar

la eficiencia del proceso de descubrimiento de impresoras.
5.- (Opcional) Visibilidad del servicio de impresión (puerto 9100/tcp) desde
el equipo que ejecute CPM hacia todas las impresoras de la red
• Se trata de un parámetro opcional que en caso de activarse permite aumentar
la eficiencia del proceso de descubrimiento de impresoras.

Nubeprint Copyright - 2020 WhitePaper_ES_1706 9