La seguridad de MyQ está estructurada en capas diferenciadas, y su aplicación corre a cargo de componentes del sistema independientes. Esta separación protege los datos y servicios críticos para el negocio, y los administradores deben comprenderla para configurar los ajustes avanzados de forma segura y responsable.
Esta sección trata las opciones de configuración de seguridad avanzadas. Para conocer las opciones generales de configuración avanzada, consulte Advanced Configuration.
La edición directa de los archivos de configuración puede afectar a la estabilidad y la seguridad del sistema. Estos ajustes están destinados a administradores con experiencia. Los cambios incorrectos pueden provocar la interrupción del servicio o la pérdida de datos. Si no está seguro, póngase en contacto con el servicio de asistencia de MyQ antes de continuar.
Convenciones de rutas
-
{install}– Directorio de instalación de
la aplicación Los valores predeterminados sonC:\Program Files\MyQ\yC:\Program Files\MyQ Central Server\ -
{data}– Directorio de datos de la aplicación.
Los valores predeterminados sonC:\ProgramData\MyQ\yC:\ProgramData\MyQ Central Server\
Ambas ubicaciones se pueden personalizar durante la instalación.
Descripción general de la arquitectura de seguridad
|
Capa de seguridad |
Print Server |
Central Server |
|---|---|---|
|
Web TLS (cifrado HTTPS) |
Componente: Enrutador HTTP (Traefik)
|
Componente: Servidor HTTP (Apache)
|
|
Encabezados de seguridad HTTP |
Componente: Apache (detrás de Traefik)
|
Componente: Apache
|
|
Comunicación segura
|
Componente: Componentes
|
Componente: Componentes
|
En el Print Server, la terminación TLS la gestiona Traefik. En el Central Server, la terminación TLS la gestiona Apache.
Configuración de TLS web (enrutador HTTP – Traefik)
El enrutador HTTP (Traefik) se encarga de terminar las conexiones HTTPS y de gestionar las versiones del protocolo TLS y los conjuntos de cifrado.
Configurar la versión mínima de TLS
Para definir la versión mínima permitida de TLS, configura el protocolo SSL en config.ini.
Abrir config.ini en un editor de texto y añada o modifique:
[Security]
sslProtocol=TLS1.3
Valores admitidos:
-
TLS1
-
TLS1.1
-
TLS1.2 (predeterminado a partir de Print Server 10.2)
-
TLS1.3
Esta configuración se aplica a:
-
Enrutador HTTP (HTTPS web)
-
SMTP
-
IPP
-
LPR
-
Mensajes (WebSockets)
Reinicie todos los servicios tras la modificación.
Configurar conjuntos de cifrado
Utilizar configuraciones predeterminadas seguras (recomendado)
Abre config.ini en un editor de texto y añada o modifique:
[Security]
sslCipherSuites=strict
Modos disponibles:
-
compatible (predeterminado)
Permite cifrados más débiles seleccionados para garantizar la compatibilidad con dispositivos antiguos. -
estricto
Desactiva los cifrados débiles.
Los siguientes cifrados solo están permitidos en el modo compatible:
-
TLS_RSA_WITH_AES_128_CBC_SHA -
TLS_RSA_WITH_AES_256_CBC_SHA -
TLS_RSA_WITH_AES_128_GCM_SHA256 -
TLS_RSA_WITH_AES_256_GCM_SHA384 -
TLS_RSA_WITH_3DES_EDE_CBC_SHA -
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
Se recomienda el modo estricto, pero el modo compatible sigue siendo el predeterminado debido a los requisitos de los dispositivos heredados.
Permitir conjuntos de cifrado seleccionados
Para permitir conjuntos de cifrado seleccionados, edite traefik.custom.rules.yaml. A continuación, guarde el archivo y reinicie todos los servicios para que el cambio surta efecto.
Ejemplo:
tls:
options:
default:
cipherSuites:
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
¡Importante!
NO edites estos archivos:
-
{install}\Server\traefik.rules.yaml -
{install}\Server\traefik.yaml
Estos son archivos de instalación predeterminados y se sobrescribirán durante las actualizaciones.
Si sslProtocol=TLS1.3 se aplica, la selección de cifrado no es configurable y se utilizan los valores predeterminados seguros de Traefik.
Asegúrate de que los dispositivos conectados sean compatibles con los conjuntos de cifrado seleccionados.
Encabezados de seguridad HTTP (Apache)
Apache se ejecuta detrás del enrutador HTTP y no termina TLS. Apache escucha solo en localhost y no gestiona las versiones del protocolo TLS ni los conjuntos de cifrado.
Apache es responsable de los encabezados de seguridad de las respuestas HTTP.
Entre ellas se incluyen:
-
Content-Security-Policy (CSP)
-
Strict-Transport-Security (HSTS)
-
X-Frame-Options
-
X-Content-Type-Options
-
Referrer-Policy
-
Política de permisos
-
Otras protecciones a nivel de encabezado
Ubicación de la configuración
Para modificar la configuración de los encabezados de seguridad HTTP, edita ambos archivos. A continuación, reinicia los servicios de MyQ. Si httpd.template.conf archivo no se modifica, los cambios se sobrescribirán durante las actualizaciones del servicio.
-
{install}\Apache\conf\httpd.conf -
{install}\Apache\conf\httpd.template.conf
Comunicación segura no web
Algunos componentes de MyQ utilizan comunicación segura independiente del protocolo HTTPS web.
Entre ellos se incluyen:
-
SMTP
-
IPP
-
LPR
-
Componentes internos de C++
El comportamiento de TLS para estos componentes se controla mediante el sslProtocol parámetro en config.ini. Esta configuración no modifica los encabezados HTTP ni modifica directamente el comportamiento de TLS de Apache.
Forzar autenticación solo con Kerberos
Para entornos que requieran una autenticación estricta, añada lo siguiente a config.ini:
[Security]
KerberosOnly=true
Esto desactiva el recurso de NTLM y obliga a la autenticación exclusiva mediante Kerberos.
Asegúrese de:
-
El registro SPN sea correcto.
-
La configuración correcta de la infraestructura de Kerberos.
Una configuración incorrecta puede impedir la autenticación.