MyQ X Server

Sicurezza avanzata

La sicurezza di MyQ è strutturata in livelli distinti, con l’applicazione delle misure gestita da componenti di sistema separati. Questa separazione protegge i dati e i servizi critici per l’azienda, e gli amministratori devono comprenderla per configurare le impostazioni avanzate in modo sicuro e responsabile.

Questa sezione tratta le opzioni di configurazione avanzata della sicurezza. Per le opzioni generali di configurazione avanzata, consultare Advanced Configuration.

La modifica diretta dei file di configurazione può influire sulla stabilità e sulla sicurezza del sistema. Queste impostazioni sono destinate ad amministratori esperti. Modifiche errate potrebbero causare interruzioni del servizio o perdita di dati. In caso di dubbi, contattare l’assistenza MyQ prima di procedere.


Convenzioni sui percorsi

  • {install} – Directory
    di installazione dell’applicazione I valori predefiniti sono C:\Program Files\MyQ\ e C:\Program Files\MyQ Central Server\

  • {data} – Directory dei dati dell’applicazione.
    I valori predefiniti sono C:\ProgramData\MyQ\ e C:\ProgramData\MyQ Central Server\

Entrambe le posizioni possono essere personalizzate durante l’installazione.


Panoramica sull’architettura di sicurezza

Livello di sicurezza

Print Server (e Central Server con Patch 25+)

Central Server (prima della Patch 25)

Web TLS (crittografia HTTPS)

Componente: Router HTTP (Traefik)
Configurazione: {data}\config.ini
{data}\traefik.custom.rules.yaml

Componente: Server HTTP (Apache)
Configurazione: {install}\Apache\conf\httpd.conf
(SSLProtocol, SSLCipherSuite)

Intestazioni di sicurezza HTTP

Componente: Apache (dietro Traefik)
Configurazione: {install}\Apache\conf\httpd.conf
(modifica anche httpd.template.conf)

Componente: Apache
Configurazione: {install}\Apache\conf\httpd.conf
(modifica anche httpd.template.conf)


Comunicazione sicura non Web (SMTP, IPP, LPR, WebSockets)


Componente: Componenti interni di MyQ Configurazione: {data}\config.ini ([Security] sslProtocol=)


Componente: Componenti interni di MyQ Configurazione: {data}\config.ini ([Security] sslProtocol=)

Sia sul Print Server che sul Central Server (versione 10.2 Patch 25 e successive), la terminazione TLS è gestita da Traefik. Apache gestisce solo le richieste back-end e non è esposto su porte pubbliche.

Sulle versioni del Central Server precedenti alla Patch 25, la terminazione TLS era gestita direttamente da Apache.


Configurazione TLS Web (router HTTP – Traefik)

L’HTTP Router (Traefik) è responsabile della terminazione delle connessioni HTTPS e della gestione delle versioni del protocollo TLS e delle suite di cifratura.

Configurazione della versione TLS minima

Per definire la versione TLS minima consentita, impostare il protocollo SSL in config.ini.

Apri config.ini in un editor di testo e aggiungere o modificare:

[Security]
sslProtocol=TLS1.3

Valori supportati:

  • TLS1

  • TLS1.1

  • TLS1.2 (impostazione predefinita a partire da Print Server 10.2)

  • TLS1.3

Questa impostazione si applica a:

  • Router HTTP (HTTPS web)

  • SMTP

  • IPP

  • LPR

  • Messaggi (WebSockets)

Riavviare tutti i servizi dopo le modifiche.


Configurare le suite di cifratura

Utilizzare le impostazioni predefinite sicure (consigliato)

Aprire config.ini in un editor di testo e aggiungere o modificare:

[Security]
sslCipherSuites=strict

Modalità disponibili:

  • compatible (impostazione predefinita)
    Consente l'uso di algoritmi di crittografia più deboli selezionati per garantire la compatibilità con i dispositivi legacy.

  • rigorosa
    Disabilita gli algoritmi di cifratura deboli.

I seguenti algoritmi di cifratura sono consentiti solo in modalità "compatibile":

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

  • TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA

Si consiglia la modalità "rigorosa", ma la modalità "compatibile" rimane quella predefinita a causa dei requisiti dei dispositivi legacy.

Consenti suite di cifratura selezionate

Per consentire le suite di cifratura selezionate, modificare il file traefik.custom.rules.yaml. Quindi salvare il file e riavviare tutti i servizi affinché la modifica abbia effetto.

Esempio:

tls:
  options:
    default:
      cipherSuites:
        - TLS_RSA_WITH_AES_256_GCM_SHA384
        - TLS_RSA_WITH_3DES_EDE_CBC_SHA

Importante!

NON modificare questi file:

  • {install}\Server\traefik.rules.yaml

  • {install}\Server\traefik.yaml

Si tratta di file di installazione predefiniti che verranno sovrascritti durante gli aggiornamenti.

Se sslProtocol=TLS1.3 viene applicata, la selezione dell'algoritmo di cifratura non è configurabile e vengono utilizzate le impostazioni predefinite di sicurezza di Traefik.

Assicurarsi che i dispositivi collegati supportino le suite di cifratura selezionate.


Intestazioni di sicurezza HTTP (Apache)

Apache viene eseguito dietro l’HTTP Router e non termina la connessione TLS. Apache è in ascolto solo su localhost e non gestisce le versioni del protocollo TLS né le suite di cifratura.

Apache è responsabile delle intestazioni di sicurezza delle risposte HTTP.

Queste includono:

  • Content-Security-Policy (CSP)

  • Strict-Transport-Security (HSTS)

  • X-Frame-Options

  • X-Content-Type-Options

  • Referrer-Policy

  • Permissions-Policy

  • Altre protezioni a livello di intestazione

Percorso di configurazione

Per modificare la configurazione delle intestazioni di sicurezza HTTP, modificare entrambi questi file. Quindi riavviare i servizi MyQ. Se httpd.template.conf file non viene modificato, le modifiche apportate verranno sovrascritte durante gli aggiornamenti del servizio.

  • {install}\Apache\conf\httpd.conf

  • {install}\Apache\conf\httpd.template.conf


Comunicazione sicura non Web

Alcuni componenti di MyQ utilizzano una comunicazione sicura indipendente dal protocollo HTTPS web.

Tra questi figurano:

  • SMTP

  • IPP

  • LPR

  • Componenti interni in C++

Il comportamento TLS per questi componenti è controllato dal sslProtocol parametro in config.ini. Questa impostazione non modifica le intestazioni HTTP e non modifica direttamente il comportamento TLS di Apache.


Forza l’autenticazione esclusivamente tramite Kerberos

Per gli ambienti che richiedono un'autenticazione rigorosa, aggiungere quanto segue a config.ini:

[Security]
KerberosOnly=true

Ciò disabilita il fallback NTLM e impone l’autenticazione esclusivamente tramite Kerberos.

Assicurarsi che:

  • La corretta registrazione degli SPN.

  • Una corretta configurazione dell'infrastruttura Kerberos.

Una configurazione errata potrebbe impedire l'autenticazione.