Die MyQ-Sicherheit ist in verschiedene Ebenen gegliedert, wobei die Durchsetzung durch separate Systemkomponenten erfolgt. Diese Trennung schützt geschäftskritische Daten und Dienste, und Administratoren müssen sie verstehen, um erweiterte Einstellungen sicher und verantwortungsbewusst zu konfigurieren.
Dieser Abschnitt behandelt die erweiterten Sicherheitskonfigurationsoptionen. Allgemeine Informationen zu erweiterten Konfigurationsoptionen finden Sie Advanced Configurationunter (10.2) Erweiterte Konfiguration.
Das direkte Bearbeiten von Konfigurationsdateien kann die Systemstabilität und -sicherheit beeinträchtigen. Diese Einstellungen sind für erfahrene Administratoren vorgesehen. Falsche Änderungen können zu Unterbrechungen der Dienste oder zum Datenverlust führen. Wenn Sie sich unsicher sind, wenden Sie sich bitte an den MyQ-Support, bevor Sie fortfahren.
Pfadkonventionen
-
{install}– Installationsverzeichnis
der Anwendung Die Standardwerte lautenC:\Program Files\MyQ\undC:\Program Files\MyQ Central Server\ -
{data}– Verzeichnis für Anwendungsdaten.
Die Standardwerte lautenC:\ProgramData\MyQ\undC:\ProgramData\MyQ Central Server\
Beide Speicherorte können während der Installation angepasst werden.
Übersicht über die Sicherheitsarchitektur
|
Sicherheitsschicht |
Print Server (& Central Server, Patch 25+) |
Central Server (vor Patch 25) |
|---|---|---|
|
Web-TLS (HTTPS-Verschlüsselung) |
Komponente: HTTP-Router (Traefik)
|
Komponente: HTTP-Server (Apache)
|
|
HTTP-Sicherheits-Header |
Komponente: Apache (hinter Traefik)
|
Komponente: Apache
|
|
|
Komponente: Interne MyQ-Komponenten
|
Komponente: Interne MyQ-Komponenten
|
Sowohl auf dem Print Server als auch auf dem Central Server (ab Version 10.2 Patch 25) wird die TLS-Terminierung von Traefik übernommen. Apache verarbeitet ausschließlich Backend-Anfragen und ist nicht über öffentliche Ports erreichbar.
Bei Central Server-Versionen vor Patch 25 wurde die TLS-Terminierung direkt von Apache übernommen.
Web-TLS-Konfiguration (HTTP-Router – Traefik)
Der HTTP-Router (Traefik) ist für die Beendigung von HTTPS-Verbindungen sowie für die Verwaltung der TLS-Protokollversionen und Verschlüsselungssuiten zuständig.
Konfigurieren der minimalen TLS-Version
Um die minimal zulässige TLS-Version festzulegen, setzen Sie das SSL-Protokoll in config.ini.
Öffnen config.ini in einem Texteditor und fügen Sie Folgendes hinzu oder ändern Sie es:
[Security]
sslProtocol=TLS1.3
Unterstützte Werte:
-
TLS1
-
TLS1.1
-
TLS1.2 (Standard ab Print Server 10.2)
-
TLS1.3
Diese Einstellung gilt für:
-
HTTP-Router (Web-HTTPS)
-
SMTP
-
IPP
-
LPR
-
Nachrichten (WebSockets)
Starten Sie nach der Änderung alle Dienste neu.
Verschlüsselungssuiten konfigurieren
Sichere Voreinstellungen verwenden (empfohlen)
Öffnen Sie config.ini in einem Texteditor und fügen Sie Folgendes hinzu oder ändern Sie es:
[Security]
sslCipherSuites=strict
Verfügbare Modi:
-
compatible (Standard)
Erlaubt ausgewählte schwächere Verschlüsselungsalgorithmen zur Kompatibilität mit älteren Geräten. -
strict
Deaktiviert schwache Verschlüsselungsalgorithmen.
Die folgenden Verschlüsselungsalgorithmen sind nur im Modus „kompatibel“ zulässig:
-
TLS_RSA_WITH_AES_128_CBC_SHA -
TLS_RSA_WITH_AES_256_CBC_SHA -
TLS_RSA_WITH_AES_128_GCM_SHA256 -
TLS_RSA_WITH_AES_256_GCM_SHA384 -
TLS_RSA_WITH_3DES_EDE_CBC_SHA -
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
Der strenge Modus wird empfohlen, der kompatible Modus bleibt jedoch aufgrund der Anforderungen älterer Geräte die Standardeinstellung.
Ausgewählte Verschlüsselungssuiten zulassen
Um ausgewählte Verschlüsselungssuiten zuzulassen, bearbeiten Sie traefik.custom.rules.yaml. Speichern Sie anschließend die Datei und starten Sie alle Dienste neu, damit die Änderung wirksam wird.
Beispiel:
tls:
options:
default:
cipherSuites:
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Wichtig!
Bearbeiten Sie diese Dateien NICHT:
-
{install}\Server\traefik.rules.yaml -
{install}\Server\traefik.yaml
Es handelt sich um Standardinstallationsdateien, die bei Upgrades überschrieben werden.
Wenn sslProtocol=TLS1.3 erzwungen wird, ist die Auswahl der Verschlüsselungsalgorithmen nicht konfigurierbar, und es werden die sicheren Standardwerte von Traefik verwendet.
Stellen Sie sicher, dass die verbundenen Geräte die ausgewählten Verschlüsselungssuiten unterstützen.
HTTP-Sicherheits-Header (Apache)
Apache läuft hinter dem HTTP-Router und beendet die TLS-Verbindung nicht. Apache hört nur auf „localhost“ und verwaltet weder TLS-Protokollversionen noch Verschlüsselungssuiten.
Apache ist für die Sicherheits-Header in den HTTP-Antworten zuständig.
Dazu gehören:
-
Content-Security-Policy (CSP)
-
Strict-Transport-Security (HSTS)
-
X-Frame-Options
-
X-Content-Type-Options
-
Referrer-Policy
-
Permissions-Policy
-
Weitere Schutzmaßnahmen auf Header-Ebene
Konfigurationsort
Um die Konfiguration der HTTP-Sicherheits-Header zu ändern, bearbeiten Sie diese beiden Dateien. Starten Sie anschließend die MyQ-Dienste neu. Wenn httpd.template.conf Datei nicht geändert wird, werden Ihre Änderungen bei Aktualisierungen der Dienste überschrieben.
-
{install}\Apache\conf\httpd.conf -
{install}\Apache\conf\httpd.template.conf
Sichere Kommunikation außerhalb des Webs
Einige MyQ-Komponenten nutzen eine sichere Kommunikation, die unabhängig von Web-HTTPS ist.
Dazu gehören:
-
SMTP
-
IPP
-
LPR
-
Interne C++-Komponenten
Das TLS-Verhalten dieser Komponenten wird über den sslProtocol Parameter in config.ini. Diese Einstellung verändert weder die HTTP-Header noch das TLS-Verhalten von Apache direkt.
Kerberos-Authentifizierung erzwingen
In Umgebungen, die eine strenge Authentifizierung erfordern, fügen Sie Folgendes zu config.ini:
[Security]
KerberosOnly=true
Dadurch wird der NTLM-Fallback deaktiviert und die ausschließliche Kerberos-Authentifizierung erzwungen.
Stellen Sie sicher, dass:
-
Korrekte SPN-Registrierung.
-
Korrekte Konfiguration der Kerberos-Infrastruktur.
Eine fehlerhafte Konfiguration kann die Authentifizierung verhindern.