MyQ X Security
MyQ X Security
Breadcrumbs

Sécurité des connexions

Configurer le certificat HTTPS

Un certificat personnalisé qui est approuvé par tous les ordinateurs clients et qui contient le nom DNS du serveur doit être configuré pour MyQ Central Server :

Le certificat est physiquement stocké dans le répertoire « C:\ProgramData\MyQ Central Server\Cert » dans les fichiers suivants :

  • server.pfx – certificat avec clés publique et privée

  • server.cer – certificat avec la clé publique

  • server.key – clé privée

 L'utilisation de certificats génériques est déconseillée, car ils présentent un risque de sécurité beaucoup plus élevé en cas de vol.

Bloquer le trafic HTTP non crypté

Le trafic HTTP non crypté ne doit pas être activé dans la configuration du Central Server MyQ :

Configuring secure communication in MyQ Easy Config

Le pare-feu basé sur l'hôte doit également être configuré pour n'autoriser que le trafic HTTPS :

Configuring the host-based firewall
Chiffrer les connexions à la base de données

Si Microsoft SQL Server est utilisé pour stocker la base de données MyQ, assurez-vous que le cryptage TLS est appliqué via le Gestionnaire de configuration SQL Server :

SQL force encryption

Un certificat émis par une autorité de certification de confiance doit également être configuré sur SQL Server :

SQL certificate
Appliquer le trafic LDAP crypté

Si la synchronisation des comptes utilisateurs via le protocole LDAP est utilisée, définissez la sécurité de la connexion sur SSL :

LDAP settings in MyQ web UI

Pour des raisons de sécurité, n'utilisez pas START TLS, car il est vulnérable aux attaques MITM. Un certificat émis par une autorité de certification de confiance doit être configuré sur tous les serveurs LDAP (contrôleurs de domaine Active Directory).

Sécuriser le trafic SMTP

Si un serveur SMTP est configuré dans MyQ Central Server, appliquez l'utilisation de TLS avec validation du certificat :

OutSMTP.png


Toujours utiliser le nom de domaine complet

Pour éviter les attaques MITM, utilisez strictement des noms de domaine complets dans toutes les fenêtres de configuration :

Custom help example

Ne contactez jamais les serveurs en saisissant uniquement des adresses IP ou des noms à étiquette unique.

Sécurisation du trafic RADIUS

Si l'authentification RADIUS est utilisée, générez toujours des secrets partagés forts spécifiques au Central Server MyQ :

Radius server settings
Protégez les clés API REST

Lorsque des API REST sont utilisées, protégez les secrets clients contre toute exposition inutile et effectuez régulièrement un renouvellement des secrets :

REST API settings in the MyQ web UI