MyQ X Security
MyQ X Security
Breadcrumbs

Sicherheit der Verbindung

HTTPS-Zertifikat konfigurieren

Für den MyQ Central Server sollte ein benutzerdefiniertes Zertifikat konfiguriert werden, das von allen Client-Computern als vertrauenswürdig eingestuft wird und den DNS-Namen des Servers enthält:

Das Zertifikat wird physisch im Verzeichnis „C:\ProgramData\MyQ Central Server\Cert” in den folgenden Dateien gespeichert:

  • server.pfx – Zertifikat mit öffentlichen und privaten Schlüsseln

  • server.cer – Zertifikat mit dem öffentlichen Schlüssel

  • server.key – privater Schlüssel

 Von der Verwendung von Wildcard-Zertifikaten wird abgeraten, da sie bei Diebstahl ein viel höheres Sicherheitsrisiko darstellen.

Unverschlüsselten HTTP-Datenverkehr blockieren

Unverschlüsselter HTTP-Datenverkehr sollte in der Konfiguration des Central Server nicht aktiviert sein:

Configuring secure communication in MyQ Easy Config

Die hostbasierte Firewall sollte ebenfalls so konfiguriert werden, dass nur HTTPS-Datenverkehr zugelassen wird:

Configuring the host-based firewall
Datenbankverbindungen verschlüsseln

Wenn Microsoft SQL Server zum Speichern der MyQ-Datenbank verwendet wird, stellen Sie sicher, dass die TLS-Verschlüsselung über den SQL Server-Konfigurationsmanager erzwungen wird:

SQL force encryption

Ein von einer vertrauenswürdigen Zertifizierungsstelle ausgestelltes Zertifikat sollte ebenfalls auf dem SQL Server konfiguriert werden:

SQL certificate
Verschlüsselten LDAP-Datenverkehr erzwingen

Wenn die Synchronisierung von Benutzerkonten über das LDAP-Protokoll verwendet wird, stellen Sie die Verbindungssicherheit auf SSL ein:

LDAP settings in MyQ web UI

Verwenden Sie aus Sicherheitsgründen nicht START TLS, da es anfällig für MITM-Angriffe ist. Auf allen LDAP-Servern (Active Directory-Domänencontroller) muss ein von einer vertrauenswürdigen Zertifizierungsstelle ausgestelltes Zertifikat konfiguriert sein.

Sichern Sie den SMTP-Datenverkehr

Wenn ein SMTP-Server in MyQ Central Server konfiguriert ist, erzwingen Sie die Verwendung von TLS mit Zertifikatsvalidierung:

OutSMTP.png


Verwenden Sie immer FQDN

Um MITM-Angriffe zu verhindern, verwenden Sie in allen Konfigurationsfenstern ausschließlich vollqualifizierte Domänennamen:

Custom help example

Kontaktieren Sie Server niemals, indem Sie nur IP-Adressen oder Namen mit einem einzigen Label eingeben.

Sicherer RADIUS-Datenverkehr

Wenn die RADIUS-Authentifizierung verwendet wird, generieren Sie immer starke gemeinsame Geheimnisse, die spezifisch für den MyQ Central Server sind:

Radius server settings
Schützen Sie REST-API-Schlüssel

Wenn REST-APIs verwendet werden, schützen Sie die Client-Geheimnisse vor unnötiger Offenlegung und führen Sie regelmäßig eine Geheimniserneuerung durch:

REST API settings in the MyQ web UI