MyQ X Security
MyQ X Security
Breadcrumbs

PS Seguridad de la conexión

Configurar el certificado HTTPS

Se debe configurar un certificado personalizado en el que confíen todos los equipos cliente para el Print Server de MyQ. Hay tres modos de gestión de certificados disponibles:

Certificate settings in the MyQ web UI

De forma predeterminada, MyQ Print Server crea su propio certificado de CA raíz y lo utiliza para firmar los certificados de servidor y de cliente. La parte pública de este certificado se puede exportar e implementar en el almacén de confianza de certificados del cliente, por ejemplo, mediante la Política de grupo o MDM.

Las organizaciones que ya cuenten con su propia PKI de confianza pueden preferir la segunda opción. MyQ Print Server utiliza su propia CA intermedia para emitir certificados de servidor y de cliente. El certificado de CA intermedia generado automáticamente debe estar firmado por la CA de la empresa para que los clientes lo consideren de confianza.

Si la política de seguridad corporativa no permite instalar un certificado de CA intermedia en el Print Server de MyQ, o si se va a utilizar un certificado emitido por una autoridad de certificación pública, se debe recurrir a la gestión manual de certificados.

Independientemente del modo de CA, los certificados se almacenan físicamente en el directorio «C:\ProgramData\MyQ\Cert», que puede contener los siguientes archivos:

  • server.pfx: certificado del servidor con claves pública y privada

  • server.cer: certificado del servidor con clave pública

  • server.key: clave privada del servidor

  • ca-root.crt: certificado de CA raíz de la empresa con clave pública

  • ca-myq.pfx: certificado de la CA emisora con claves pública y privada

  • ca-myq.crt: certificado de la CA emisora con clave pública

  • ca-myq.key: claves privadas de la CA emisora

Las claves privadas de la CA emisora local (utilizadas en los dos primeros modos de funcionamiento) están siempre protegidas por una contraseña generada aleatoriamente que se almacena en la base de datos interna de Firebird de forma cifrada.

Bloquear el tráfico HTTP sin cifrar

El tráfico HTTP sin cifrar no debe estar habilitado en la configuración de MyQ Print Server:

Web server port settings in MyQ Easy Config
Revisar la configuración de seguridad de las comunicaciones

Compruebe las versiones mínimas de TLS configuradas en Ajustes – Red – Versión mínima de TLS. El valor predeterminado desde MyQ X 10.2 es TLS 1.2.

Para opciones más avanzadas, como cómo establecer el TLS mínimo requerido en 1.3, consulte Seguridadavanzada.

Bloquee los puertos no utilizados

Reduzca la superficie de ataque desactivando las reglas del cortafuegos para los protocolos que no utiliza MyQ Print Server:

Firewall rules
Cifre las conexiones al Central Server de MyQ

Utilice únicamente HTTPS para conectarse a MyQ Central Server:

Central server connection settings
Utilice contraseñas seguras para la autenticación de servidor a servidor

La contraseña para la comunicación entre el Central Server y el sitio debe ser segura (complejidad de la contraseña):

Servers communication password
Proteja el tráfico SMTP

Cuando se utilice el protocolo SMTP para enviar correos electrónicos o recibir documentos de escáneres en red, siempre debe aplicarse el cifrado TLS para garantizar la confidencialidad de los datos.

SMPT server settings

El cifrado TLS también debe aplicarse cuando se utilice el protocolo IMAP, mientras que debe evitarse el protocolo POP3 heredado:

SMTP server IMAP settings
Utilice contraseñas RADIUS seguras y únicas

Si se utiliza la autenticación RADIUS, genere siempre secretos compartidos seguros que sean específicos del Print Server MyQ:

Radius server settings
Cifre el tráfico LDAP

Se debe utilizar el cifrado TLS para proteger todo el tráfico LDAP:

LDAP settings in MyQ web UI

Por motivos de seguridad, no utilice START TLS, ya que es vulnerable a ataques MITM. Se debe configurar un certificado emitido por una CA de confianza en todos los servidores LDAP (controladores de dominio de Active Directory).

Proteja el tráfico SNMP

Se debe evitar la comunicación SNMPv1 no segura con los dispositivos:

SNMP profiles

Utilice únicamente SNMPv3 con una contraseña segura y configure algoritmos criptográficos más seguros (SHA1 y AES):

SNMP profile settings
Credenciales seguras de la impresora

La gestión de credenciales de impresoras se realiza fuera del Print Server de MyQ y depende del proveedor. Si es posible, se deben utilizar contraseñas seguras y generadas aleatoriamente para gestionar las impresoras:

Printer credentials settings
Utilice siempre el FQDN

Para prevenir ataques MITM, utilice estrictamente nombres de dominio completos en todas las ventanas de configuración:

Server hostname setting
Proteja las claves de la API REST

Cuando se utilicen API REST, proteja los secretos de cliente para evitar una exposición innecesaria y realice cambios periódicos de los secretos:

REST API settings in the MyQ web UI