MyQ X Security
MyQ X Security
Breadcrumbs

Seguridad de la conexión

Configurar certificado HTTPS

Se debe configurar un certificado personalizado que sea de confianza para todos los equipos cliente y que contenga el nombre DNS del servidor para MyQ Central Server:

El certificado se almacena físicamente en el directorio «C:\ProgramData\MyQ Central Server\Cert» en los siguientes archivos:

  • server.pfx: certificado con claves públicas y privadas

  • server.cer: certificado con la clave pública

  • server.key: clave privada

 Se desaconseja el uso de certificados comodín, ya que suponen un riesgo de seguridad mucho mayor en caso de robo.

Bloquear el tráfico HTTP sin cifrar

El tráfico HTTP sin cifrar no debe habilitarse en la configuración del Central Server MyQ:

Configuring secure communication in MyQ Easy Config

El firewall basado en host también debe configurarse para habilitar únicamente el tráfico HTTPS:

Configuring the host-based firewall
Cifrar las conexiones a la base de datos

Si se utiliza Microsoft SQL Server para almacenar la base de datos MyQ, asegúrese de que el cifrado TLS se aplique a través del Administrador de configuración de SQL Server:

SQL force encryption

También se debe configurar un certificado emitido por una CA de confianza en SQL Server:

SQL certificate
Aplicar tráfico LDAP cifrado

Si se utiliza la sincronización de cuentas de usuario a través del protocolo LDAP, establezca la seguridad de la conexión en SSL:

LDAP settings in MyQ web UI

Por motivos de seguridad, no utilice START TLS, ya que es vulnerable a ataques MITM. Se debe configurar un certificado emitido por una CA de confianza en todos los servidores LDAP (controladores de dominio de Active Directory).

Proteger el tráfico SMTP

Si hay un servidor SMTP configurado en MyQ Central Server, aplique el uso de TLS con validación de certificados:

OutSMTP.png


Utilice siempre FQDN

Para evitar ataques MITM, utilice estrictamente nombres de dominio completos en todas las ventanas de configuración:

Custom help example

Nunca se ponga en contacto con los servidores escribiendo únicamente direcciones IP o nombres de una sola etiqueta.

Tráfico RADIUS seguro

Si se utiliza la autenticación RADIUS, genere siempre secretos compartidos fuertes que sean específicos del Central Server MyQ:

Radius server settings
Proteja las claves API REST

Cuando se utilicen API REST, proteja los secretos del cliente de una exposición innecesaria y realice renovaciones periódicas de los secretos:

REST API settings in the MyQ web UI