La seguridad de MyQ está estructurada en capas diferenciadas, y su aplicación corre a cargo de componentes del sistema independientes. Esta separación protege los datos y servicios críticos para el negocio, y los administradores deben comprenderla para configurar los ajustes avanzados de forma segura y responsable.
Esta sección trata las opciones de configuración de seguridad avanzadas. Para conocer las opciones generales de configuración avanzada, consulte Advanced Configuration.
La edición directa de los archivos de configuración puede afectar a la estabilidad y la seguridad del sistema. Estos ajustes están destinados a administradores con experiencia. Los cambios incorrectos pueden provocar interrupciones en el servicio o la pérdida de datos. Si tiene dudas, póngase en contacto con el servicio de asistencia de MyQ antes de continuar.
Convenciones de rutas
-
{install}– Directorio
de instalación de la aplicación. Los valores predeterminados sonC:\Program Files\MyQ\yC:\Program Files\MyQ Central Server\ -
{data}– Directorio de datos de la aplicación.
Los valores predeterminados sonC:\ProgramData\MyQ\yC:\ProgramData\MyQ Central Server\
Ambas ubicaciones se pueden personalizar durante la instalación.
Descripción general de la arquitectura de seguridad
|
Capa de seguridad |
Print Server (y Central Server con el parche 25 o posterior) |
Central Server (antes del parche 25) |
|---|---|---|
|
Web TLS (cifrado HTTPS) |
Componente: enrutador HTTP (Traefik)
|
Componente: Servidor HTTP (Apache)
|
|
Encabezados de seguridad HTTP |
Componente: Apache (detrás de Traefik)
|
|
|
|
|
|
Tanto en el Print Server como en el Central Server (10.2 Parche 25 y posteriores), la terminación TLS la gestiona Traefik. Apache solo gestiona las solicitudes de back-end y no está expuesto en puertos públicos.
En las versiones del Central Server anteriores al parche 25, la terminación TLS la gestionaba directamente Apache.
Configuración de TLS web (enrutador HTTP – Traefik)
El enrutador HTTP (Traefik) se encarga de terminar las conexiones HTTPS y de gestionar las versiones del protocolo TLS y los conjuntos de cifrado.
Configurar la versión mínima de TLS
Para definir la versión mínima permitida de TLS, configura el protocolo SSL en config.ini.
Abrir config.ini en un editor de texto y añade o modifica:
[Security]
sslProtocol=TLS1.3
Valores admitidos:
-
TLS1
-
TLS1.1
-
TLS1.2 (valor predeterminado a partir de Print Server 10.2)
-
TLS1.3
Esta configuración se aplica a:
-
Enrutador HTTP (HTTPS web)
-
SMTP
-
IPP
-
LPR
-
Mensajes (WebSockets)
Reinicia todos los servicios tras la modificación.
Configurar conjuntos de cifrado
Utilizar ajustes preestablecidos seguros (recomendado)
Abre config.ini en un editor de texto y añade o modifica:
[Security]
sslCipherSuites=strict
Modos disponibles:
-
compatible (predeterminado)
: permite el uso de cifrados más débiles seleccionados para garantizar la compatibilidad con dispositivos antiguos. -
«strict
»: desactiva los algoritmos de cifrado débiles.
Los siguientes algoritmos de cifrado solo están permitidos en el modo «compatible»:
-
TLS_RSA_WITH_AES_128_CBC_SHA -
TLS_RSA_WITH_AES_256_CBC_SHA -
TLS_RSA_WITH_AES_128_GCM_SHA256 -
TLS_RSA_WITH_AES_256_GCM_SHA384 -
TLS_RSA_WITH_3DES_EDE_CBC_SHA -
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
Se recomienda el modo «estricto», pero el modo «compatible» sigue siendo el predeterminado debido a los requisitos de los dispositivos antiguos.
Permitir conjuntos de cifrado seleccionados
Para permitir conjuntos de cifrado seleccionados, edita traefik.custom.rules.yaml. A continuación, guarda el archivo y reinicia todos los servicios para que el cambio surta efecto.
Ejemplo:
tls:
options:
default:
cipherSuites:
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
¡Importante!
NO edites estos archivos:
-
{install}\Server\traefik.rules.yaml -
{install}\Server\traefik.yaml
Son archivos de instalación predeterminados y se sobrescribirán durante las actualizaciones.
Si sslProtocol=TLS1.3 se aplica esta restricción, la selección de cifrado no es configurable y se utilizan los valores predeterminados seguros de Traefik.
Asegúrate de que los dispositivos conectados sean compatibles con los conjuntos de cifrado seleccionados.
Encabezados de seguridad HTTP (Apache)
Apache se ejecuta detrás del enrutador HTTP y no termina la conexión TLS. Apache solo escucha en localhost y no gestiona las versiones del protocolo TLS ni los conjuntos de cifrado.
Apache se encarga de los encabezados de seguridad de las respuestas HTTP.
Entre ellas se incluyen:
-
Content-Security-Policy (CSP)
-
Strict-Transport-Security (HSTS)
-
X-Frame-Options
-
X-Content-Type-Options
-
Referrer-Policy
-
Política de permisos
-
Otras protecciones a nivel de encabezado
Ubicación de la configuración
Para modificar la configuración de los encabezados de seguridad HTTP, edita estos dos archivos. A continuación, reinicia los servicios de MyQ. Si httpd.template.conf no se modifica el archivo, los cambios se sobrescribirán durante las actualizaciones del servicio.
-
{install}\Apache\conf\httpd.conf -
{install}\Apache\conf\httpd.template.conf
Comunicación segura no web
Algunos componentes de MyQ utilizan una comunicación segura independiente del protocolo HTTPS web.
Entre ellos se incluyen:
-
SMTP
-
IPP
-
LPR
-
Componentes internos de C++
El comportamiento de TLS para estos componentes se controla mediante el sslProtocol parámetro de config.ini. Esta configuración no modifica los encabezados HTTP ni modifica directamente el comportamiento de TLS de Apache.
Forzar la autenticación exclusiva mediante Kerberos
En entornos que requieran una autenticación estricta, añada lo siguiente a config.ini:
[Security]
KerberosOnly=true
Esto desactiva el recurso a NTLM y obliga a utilizar únicamente la autenticación Kerberos.
Asegúrese de que:
-
El registro correcto de SPN.
-
La configuración correcta de la infraestructura de Kerberos.
Una configuración incorrecta puede impedir la autenticación.