La sicurezza di MyQ è strutturata in livelli distinti, con l'applicazione gestita da componenti di sistema separati. Questa separazione protegge i dati e i servizi critici per l'azienda e gli amministratori devono comprenderla per configurare le impostazioni avanzate in modo sicuro e responsabile.
Questa sezione tratta le opzioni di configurazione avanzata della sicurezza. Per le opzioni generali di configurazione avanzata, vedere Advanced Configuration.
La modifica diretta dei file di configurazione può influire sulla stabilità e sulla sicurezza del sistema. Queste impostazioni sono destinate ad amministratori esperti. Modifiche errate possono causare interruzioni del servizio o perdita di dati. In caso di dubbi, contattare l'assistenza MyQ prima di procedere.
Convenzioni sui percorsi
-
{install}– Directory di installazione
dell'applicazione I valori predefiniti sonoC:\Program Files\MyQ\eC:\Program Files\MyQ Central Server\ -
{data}– Directory dei dati dell'applicazione.
I valori predefiniti sonoC:\ProgramData\MyQ\eC:\ProgramData\MyQ Central Server\
Entrambe le posizioni possono essere personalizzate durante l'installazione.
Panoramica dell'architettura di sicurezza
|
Livello di sicurezza |
Print Server |
Central Server |
|---|---|---|
|
Web TLS (crittografia HTTPS) |
Componente: Router HTTP (Traefik)
|
Componente: Server HTTP (Apache)
|
|
Intestazioni di sicurezza HTTP |
Componente: Apache (dietro Traefik)
|
Componente: Apache
|
|
Comunicazione sicura non
|
Componente: Componenti interni
|
Componente: Componenti interni
|
Sul Print Server, la terminazione TLS è gestita da Traefik. Sul Central Server, la terminazione TLS è gestita da Apache.
Configurazione TLS Web (router HTTP – Traefik)
L'HTTP Router (Traefik) è responsabile della terminazione delle connessioni HTTPS e della gestione delle versioni del protocollo TLS e delle suite di cifratura.
Configurazione della versione TLS minima
Per definire la versione TLS minima consentita, impostare il protocollo SSL in config.ini.
Apri config.ini in un editor di testo e aggiungere o modificare:
[Security]
sslProtocol=TLS1.3
Valori supportati:
-
TLS1
-
TLS1.1
-
TLS1.2 (impostazione predefinita a partire da Print Server 10.2)
-
TLS1.3
Questa impostazione si applica a:
-
Router HTTP (web HTTPS)
-
SMTP
-
IPP
-
LPR
-
Messaggi (WebSockets)
Riavvia tutti i servizi dopo la modifica.
Configurare le suite di cifratura
Utilizza le impostazioni predefinite sicure (consigliato)
Aprire config.ini in un editor di testo e aggiungere o modificare:
[Security]
sslCipherSuites=strict
Modalità disponibili:
-
compatible (impostazione predefinita)
Consente l'uso di algoritmi di crittografia più deboli selezionati per garantire la compatibilità con i dispositivi legacy. -
rigoroso
Disabilita i codici di cifratura deboli.
I seguenti algoritmi di cifratura sono consentiti solo in modalità compatibile:
-
TLS_RSA_WITH_AES_128_CBC_SHA -
TLS_RSA_WITH_AES_256_CBC_SHA -
TLS_RSA_WITH_AES_128_GCM_SHA256 -
TLS_RSA_WITH_AES_256_GCM_SHA384 -
TLS_RSA_WITH_3DES_EDE_CBC_SHA -
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
Si consiglia la modalità rigorosa, ma la modalità compatibile rimane quella predefinita a causa dei requisiti dei dispositivi legacy.
Consenti suite di cifratura selezionate
Per consentire le suite di cifratura selezionate, modificare traefik.custom.rules.yaml. Quindi salvare il file e riavviare tutti i servizi affinché la modifica abbia effetto.
Esempio:
tls:
options:
default:
cipherSuites:
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Importante!
NON modificare questi file:
-
{install}\Server\traefik.rules.yaml -
{install}\Server\traefik.yaml
Si tratta di file di installazione predefiniti che verranno sovrascritti durante gli aggiornamenti.
Se sslProtocol=TLS1.3 è abilitato, la selezione del cifrario non è configurabile e vengono utilizzate le impostazioni predefinite di sicurezza di Traefik.
Assicurarsi che i dispositivi collegati supportino le suite di cifratura selezionate.
Intestazioni di sicurezza HTTP (Apache)
Apache viene eseguito dietro l'HTTP Router e non interrompe il TLS. Apache è in ascolto solo su localhost e non gestisce le versioni del protocollo TLS né le suite di cifratura.
Apache è responsabile delle intestazioni di sicurezza delle risposte HTTP.
Queste includono:
-
Content-Security-Policy (CSP)
-
Strict-Transport-Security (HSTS)
-
X-Frame-Options
-
X-Content-Type-Options
-
Referrer-Policy
-
Permissions-Policy
-
Altre protezioni a livello di header
Posizione della configurazione
Per modificare la configurazione delle intestazioni di sicurezza HTTP, modificare entrambi questi file. Quindi riavviare i servizi MyQ. Se il httpd.template.conf file non viene modificato, le modifiche verranno sovrascritte durante gli aggiornamenti del servizio.
-
{install}\Apache\conf\httpd.conf -
{install}\Apache\conf\httpd.template.conf
Comunicazione sicura non Web
Alcuni componenti di MyQ utilizzano una comunicazione sicura indipendente dal protocollo web HTTPS.
Questi includono:
-
SMTP
-
IPP
-
LPR
-
Componenti C++ interni
Il comportamento TLS per questi componenti è controllato dal sslProtocol parametro in config.ini. Questa impostazione non modifica le intestazioni HTTP e non modifica direttamente il comportamento TLS di Apache.
Forza l'autenticazione solo Kerberos
Per gli ambienti che richiedono un'autenticazione rigorosa, aggiungere quanto segue a config.ini:
[Security]
KerberosOnly=true
Questo disabilita il fallback NTLM e impone l'autenticazione solo Kerberos.
Assicurarsi che:
-
La corretta registrazione SPN.
-
Configurazione corretta dell'infrastruttura Kerberos.
Una configurazione errata potrebbe impedire l'autenticazione.