MyQ X Security
MyQ X Security
Breadcrumbs

PS Sécurité de la connexion

Configurer le certificat HTTPS

Un certificat personnalisé reconnu par tous les ordinateurs clients doit être configuré pour MyQ Print Server. Trois modes de gestion des certificats sont disponibles :

Certificate settings in the MyQ web UI

Par défaut, MyQ Print Server crée son propre certificat CA racine et l'utilise pour signer les certificats serveur et client. La partie publique de ce certificat peut être exportée et déployée dans le magasin de certificats de confiance du client, par exemple à l'aide de la stratégie de groupe ou d'un système MDM.

Les organisations disposant déjà d’une infrastructure PKI de confiance peuvent préférer la deuxième option. MyQ Print Server utilise sa propre autorité de certification intermédiaire pour émettre les certificats serveur et client. Le certificat d’autorité de certification intermédiaire généré automatiquement doit être signé par l’autorité de certification de l’entreprise afin d’être reconnu par les clients.

Si la politique de sécurité de l'entreprise n'autorise pas l'installation d'un certificat d'autorité de certification intermédiaire sur MyQ Print Server, ou si un certificat émis par une autorité de certification publique doit être utilisé, il faut alors recourir à la gestion manuelle des certificats.

Quel que soit le mode CA, les certificats sont physiquement stockés dans le répertoire « C:\ProgramData\MyQ\Cert », qui peut contenir les fichiers suivants :

  • server.pfx – certificat de serveur avec clés publique et privée

  • server.cer – certificat de serveur avec clé publique

  • server.key – clé privée du serveur

  • ca-root.crt – certificat CA racine de l'entreprise avec clé publique

  • ca-myq.pfx – certificat de l'autorité de certification émettrice avec clés publique et privée

  • ca-myq.crt – certificat de l'autorité de certification émettrice avec clé publique

  • ca-myq.key – clés privées de l'autorité de certification émettrice

Les clés privées de l'autorité de certification émettrice locale (utilisées dans les deux premiers modes de fonctionnement) sont toujours protégées par un mot de passe généré aléatoirement, qui est stocké sous forme chiffrée dans la base de données interne de Firebird.

Bloquer le trafic HTTP non chiffré

Le trafic HTTP non chiffré ne doit pas être activé dans la configuration de MyQ Print Server :

Web server port settings in MyQ Easy Config
Vérifier les paramètres de sécurité des communications

Vérifiez les versions TLS minimales configurées dans Paramètres – Réseau – Version TLS minimale. La valeur par défaut depuis MyQ X 10.2 est TLS 1.2.

Pour des options plus avancées, telles que la configuration de la version TLS minimale requise à 1.3, consultez lasection Sécurité avancée.

Bloquer les ports inutilisés

Réduisez la surface d'attaque en désactivant les règles de pare-feu pour les protocoles non utilisés par MyQ Print Server :

Firewall rules
Cryptez les connexions au Central Server MyQ

Utilisez uniquement le protocole HTTPS pour vous connecter à MyQ Central Server :

Central server connection settings
Utilisez des mots de passe forts pour l'authentification de serveur à serveur

Le mot de passe utilisé pour la communication entre le Central Server et le site doit être fort (complexité du mot de passe) :

Servers communication password
Sécurisez le trafic SMTP

Lorsque le protocole SMTP est utilisé pour envoyer des e-mails ou recevoir des documents provenant de scanners en réseau, le chiffrement TLS doit toujours être appliqué pour garantir la confidentialité des données.

SMPT server settings

Le chiffrement TLS doit également être appliqué lorsque le protocole IMAP est utilisé, tandis que l'ancien protocole POP3 doit être évité :

SMTP server IMAP settings
Utilisez des mots de passe RADIUS forts et uniques

Si l'authentification RADIUS est utilisée, générez toujours des secrets partagés forts spécifiques au Print Server MyQ :

Radius server settings
Chiffrer le trafic LDAP

Le chiffrement TLS doit être utilisé pour sécuriser tout le trafic LDAP :

LDAP settings in MyQ web UI

Pour des raisons de sécurité, n'utilisez pas START TLS, car il est vulnérable aux attaques de type « man-in-the-middle » (MITM). Un certificat émis par une autorité de certification (CA) de confiance doit être configuré sur tous les serveurs LDAP (contrôleurs de domaine Active Directory).

Sécurisez le trafic SNMP

Il convient d'éviter les communications SNMPv1 non sécurisées avec les périphériques :

SNMP profiles

N'utilisez que le protocole SNMPv3 avec un mot de passe fort et configurez des algorithmes cryptographiques plus sécurisés (SHA1 et AES) :

SNMP profile settings
Sécurisation des identifiants d'imprimante

La gestion des identifiants d'imprimante s'effectue en dehors de MyQ Print Server et dépend du fournisseur. Dans la mesure du possible, utilisez des mots de passe forts générés de manière aléatoire pour gérer les imprimantes :

Printer credentials settings
Utilisez toujours le nom de domaine complet (FQDN)

Pour prévenir les attaques de type MITM, utilisez strictement des noms de domaine complets dans toutes les fenêtres de configuration :

Server hostname setting
Protégez les clés API REST

Lorsque des API REST sont utilisées, protégez les secrets client contre toute exposition inutile et procédez à un renouvellement périodique des secrets :

REST API settings in the MyQ web UI