MyQ X Security
MyQ X Security
Breadcrumbs

PS Sicherheit der Verbindung

HTTPS-Zertifikat konfigurieren

Für den MyQ Print Server sollte ein benutzerdefiniertes Zertifikat konfiguriert werden, dem alle Client-Computer vertrauen. Es stehen drei Modi der Zertifikatsverwaltung zur Verfügung:

Certificate settings in the MyQ web UI

Standardmäßig erstellt MyQ Print Server ein eigenes Stamm-CA-Zertifikat und verwendet dieses zum Signieren von Server- und Client-Zertifikaten. Der öffentliche Teil dieses Zertifikats kann exportiert und im Trust Store für Client-Zertifikate bereitgestellt werden, z. B. mithilfe von Gruppenrichtlinien oder MDM.

Unternehmen, deren eigene PKI bereits als vertrauenswürdig eingestuft ist, bevorzugen möglicherweise die zweite Option. MyQ Print Server verwendet eine eigene Zwischen-CA zur Ausstellung von Server- und Client-Zertifikaten. Das automatisch generierte Zwischen-CA-Zertifikat muss von der CA des Unternehmens signiert werden, damit es von den Clients als vertrauenswürdig eingestuft wird.

Wenn die Sicherheitsrichtlinie des Unternehmens die Installation eines Zwischen-CA-Zertifikats auf dem MyQ Print Server nicht zulässt oder ein von einer öffentlichen Zertifizierungsstelle ausgestelltes Zertifikat verwendet werden soll, muss stattdessen die manuelle Zertifikatsverwaltung verwendet werden.

Unabhängig vom CA-Modus werden Zertifikate physisch im Verzeichnis „C:\ProgramData\MyQ\Cert“ gespeichert, das die folgenden Dateien enthalten kann:

  • server.pfx – Serverzertifikat mit öffentlichem und privatem Schlüssel

  • server.cer – Serverzertifikat mit öffentlichem Schlüssel

  • server.key – privater Schlüssel des Servers

  • ca-root.crt – Stamm-CA-Zertifikat des Unternehmens mit öffentlichem Schlüssel

  • ca-myq.pfx – Zertifikat der ausstellenden CA mit öffentlichem und privatem Schlüssel

  • ca-myq.crt – Zertifikat der ausstellenden Zertifizierungsstelle mit öffentlichem Schlüssel

  • ca-myq.key – private Schlüssel der ausstellenden CA

Die privaten Schlüssel der lokalen ausstellenden CA (die in den ersten beiden Betriebsmodi verwendet wird) sind stets durch ein zufällig generiertes Passwort geschützt, das in verschlüsselter Form in der internen Firebird-Datenbank gespeichert ist.

Unverschlüsselten HTTP-Datenverkehr blockieren

Unverschlüsselter HTTP-Verkehr sollte in der Konfiguration des MyQ-Print Server nicht aktiviert sein:

Web server port settings in MyQ Easy Config
Überprüfen Sie die Sicherheitseinstellungen für die Kommunikation

Überprüfen Sie die unter „Einstellungen – Netzwerk – Mindest-TLS-Version“ konfigurierten Mindest-TLS-Versionen. Die Standardeinstellung seit MyQ X 10.2 ist TLS 1.2.

Weitere erweiterte Optionen, z. B. wie Sie die erforderliche Mindest-TLS-Version stattdessen auf 1.3 festlegen, finden Sie unter „Erweiterte Sicherheit“.

Nicht verwendete Ports blockieren

Verringern Sie die Angriffsfläche, indem Sie Firewall-Regeln für Protokolle deaktivieren, die vom MyQ Print Server nicht verwendet werden:

Firewall rules
Verschlüsseln Sie Verbindungen zum MyQ Central Server

Verwenden Sie für die Verbindung zum MyQ Central Server ausschließlich HTTPS:

Central server connection settings
Verwenden Sie sichere Passwörter für die Server-zu-Server-Authentifizierung

Das Passwort für die Kommunikation zwischen dem Central Server und dem Standort sollte sicher sein (Passwortkomplexität):

Servers communication password
Sichern Sie den SMTP-Verkehr

Wenn das SMTP-Protokoll zum Versenden von E-Mails oder zum Empfangen von Dokumenten von Netzwerkscannern verwendet wird, sollte stets eine TLS-Verschlüsselung erzwungen werden, um die Vertraulichkeit der Daten zu gewährleisten.

SMPT server settings

Die TLS-Verschlüsselung sollte auch bei Verwendung des IMAP-Protokolls erzwungen werden, während das veraltete POP3-Protokoll vermieden werden sollte:

SMTP server IMAP settings
Verwenden Sie sichere und eindeutige RADIUS-Passwörter

Wenn die RADIUS-Authentifizierung verwendet wird, sollten stets sichere gemeinsame Geheimnisse generiert werden, die spezifisch für den MyQ Print Server sind:

Radius server settings
Verschlüsseln Sie den LDAP-Verkehr

Zur Sicherung des gesamten LDAP-Datenverkehrs sollte TLS-Verschlüsselung verwendet werden:

LDAP settings in MyQ web UI

Verwenden Sie aus Sicherheitsgründen kein START TLS, da dieses anfällig für MITM-Angriffe ist. Auf allen LDAP-Servern (Active Directory-Domänencontroller) muss ein von einer vertrauenswürdigen Zertifizierungsstelle ausgestelltes Zertifikat konfiguriert werden.

Sichern Sie den SNMP-Datenverkehr

Unsichere SNMPv1-Kommunikation mit Geräten sollte vermieden werden:

SNMP profiles

Verwenden Sie nur SNMPv3 mit einem starken Passwort und konfigurieren Sie sicherere kryptografische Algorithmen (SHA1 und AES):

SNMP profile settings
Sichere Drucker-Anmeldedaten

Die Verwaltung der Drucker-Anmeldedaten erfolgt außerhalb von MyQ Print Server und ist herstellerspezifisch. Wenn möglich, sollten starke, zufällig generierte Passwörter zur Verwaltung von Druckern verwendet werden:

Printer credentials settings
Verwenden Sie immer FQDN

Um MITM-Angriffe zu verhindern, verwenden Sie in allen Konfigurationsfenstern ausschließlich vollqualifizierte Domänennamen:

Server hostname setting
REST-API-Schlüssel schützen

Wenn REST-APIs verwendet werden, schützen Sie die Client-Geheimnisse vor unnötiger Offenlegung und führen Sie regelmäßig einen Schlüsselwechsel durch:

REST API settings in the MyQ web UI