La sicurezza di MyQ è strutturata in livelli distinti, con l’applicazione delle misure gestita da componenti di sistema separati. Questa separazione protegge i dati e i servizi critici per l’azienda, e gli amministratori devono comprenderla per configurare le impostazioni avanzate in modo sicuro e responsabile.
Questa sezione tratta le opzioni di configurazione avanzata della sicurezza. Per le opzioni generali di configurazione avanzata, consultare Advanced Configuration.
La modifica diretta dei file di configurazione può influire sulla stabilità e sulla sicurezza del sistema. Queste impostazioni sono destinate ad amministratori esperti. Modifiche errate potrebbero causare interruzioni del servizio o perdita di dati. In caso di dubbi, contattare l’assistenza MyQ prima di procedere.
Convenzioni sui percorsi
-
{install}– Directory
di installazione dell’applicazione I valori predefiniti sonoC:\Program Files\MyQ\eC:\Program Files\MyQ Central Server\ -
{data}– Directory dei dati dell’applicazione.
I valori predefiniti sonoC:\ProgramData\MyQ\eC:\ProgramData\MyQ Central Server\
Entrambe le posizioni possono essere personalizzate durante l’installazione.
Panoramica sull’architettura di sicurezza
|
Livello di sicurezza |
Print Server (e Central Server con Patch 25+) |
Central Server (prima della Patch 25) |
|---|---|---|
|
Web TLS (crittografia HTTPS) |
Componente: Router HTTP (Traefik)
|
Componente: Server HTTP (Apache)
|
|
Intestazioni di sicurezza HTTP |
Componente: Apache (dietro Traefik)
|
Componente: Apache
|
|
|
|
|
Sia sul Print Server che sul Central Server (versione 10.2 Patch 25 e successive), la terminazione TLS è gestita da Traefik. Apache gestisce solo le richieste back-end e non è esposto su porte pubbliche.
Sulle versioni del Central Server precedenti alla Patch 25, la terminazione TLS era gestita direttamente da Apache.
Configurazione TLS Web (router HTTP – Traefik)
L’HTTP Router (Traefik) è responsabile della terminazione delle connessioni HTTPS e della gestione delle versioni del protocollo TLS e delle suite di cifratura.
Configurazione della versione TLS minima
Per definire la versione TLS minima consentita, impostare il protocollo SSL in config.ini.
Apri config.ini in un editor di testo e aggiungere o modificare:
[Security]
sslProtocol=TLS1.3
Valori supportati:
-
TLS1
-
TLS1.1
-
TLS1.2 (impostazione predefinita a partire da Print Server 10.2)
-
TLS1.3
Questa impostazione si applica a:
-
Router HTTP (HTTPS web)
-
SMTP
-
IPP
-
LPR
-
Messaggi (WebSockets)
Riavviare tutti i servizi dopo le modifiche.
Configurare le suite di cifratura
Utilizzare le impostazioni predefinite sicure (consigliato)
Aprire config.ini in un editor di testo e aggiungere o modificare:
[Security]
sslCipherSuites=strict
Modalità disponibili:
-
compatible (impostazione predefinita)
Consente l'uso di algoritmi di crittografia più deboli selezionati per garantire la compatibilità con i dispositivi legacy. -
rigorosa
Disabilita gli algoritmi di cifratura deboli.
I seguenti algoritmi di cifratura sono consentiti solo in modalità "compatibile":
-
TLS_RSA_WITH_AES_128_CBC_SHA -
TLS_RSA_WITH_AES_256_CBC_SHA -
TLS_RSA_WITH_AES_128_GCM_SHA256 -
TLS_RSA_WITH_AES_256_GCM_SHA384 -
TLS_RSA_WITH_3DES_EDE_CBC_SHA -
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
Si consiglia la modalità "rigorosa", ma la modalità "compatibile" rimane quella predefinita a causa dei requisiti dei dispositivi legacy.
Consenti suite di cifratura selezionate
Per consentire le suite di cifratura selezionate, modificare il file traefik.custom.rules.yaml. Quindi salvare il file e riavviare tutti i servizi affinché la modifica abbia effetto.
Esempio:
tls:
options:
default:
cipherSuites:
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
Importante!
NON modificare questi file:
-
{install}\Server\traefik.rules.yaml -
{install}\Server\traefik.yaml
Si tratta di file di installazione predefiniti che verranno sovrascritti durante gli aggiornamenti.
Se sslProtocol=TLS1.3 viene applicata, la selezione dell'algoritmo di cifratura non è configurabile e vengono utilizzate le impostazioni predefinite di sicurezza di Traefik.
Assicurarsi che i dispositivi collegati supportino le suite di cifratura selezionate.
Intestazioni di sicurezza HTTP (Apache)
Apache viene eseguito dietro l’HTTP Router e non termina la connessione TLS. Apache è in ascolto solo su localhost e non gestisce le versioni del protocollo TLS né le suite di cifratura.
Apache è responsabile delle intestazioni di sicurezza delle risposte HTTP.
Queste includono:
-
Content-Security-Policy (CSP)
-
Strict-Transport-Security (HSTS)
-
X-Frame-Options
-
X-Content-Type-Options
-
Referrer-Policy
-
Permissions-Policy
-
Altre protezioni a livello di intestazione
Percorso di configurazione
Per modificare la configurazione delle intestazioni di sicurezza HTTP, modificare entrambi questi file. Quindi riavviare i servizi MyQ. Se httpd.template.conf file non viene modificato, le modifiche apportate verranno sovrascritte durante gli aggiornamenti del servizio.
-
{install}\Apache\conf\httpd.conf -
{install}\Apache\conf\httpd.template.conf
Comunicazione sicura non Web
Alcuni componenti di MyQ utilizzano una comunicazione sicura indipendente dal protocollo HTTPS web.
Tra questi figurano:
-
SMTP
-
IPP
-
LPR
-
Componenti interni in C++
Il comportamento TLS per questi componenti è controllato dal sslProtocol parametro in config.ini. Questa impostazione non modifica le intestazioni HTTP e non modifica direttamente il comportamento TLS di Apache.
Forza l’autenticazione esclusivamente tramite Kerberos
Per gli ambienti che richiedono un'autenticazione rigorosa, aggiungere quanto segue a config.ini:
[Security]
KerberosOnly=true
Ciò disabilita il fallback NTLM e impone l’autenticazione esclusivamente tramite Kerberos.
Assicurarsi che:
-
La corretta registrazione degli SPN.
-
Una corretta configurazione dell'infrastruttura Kerberos.
Una configurazione errata potrebbe impedire l'autenticazione.