MyQ X Security
MyQ X Security
Breadcrumbs

Sicurezza della connessione

Configurare il certificato HTTPS

Per MyQ Central Server è necessario configurare un certificato personalizzato che sia considerato attendibile da tutti i computer client e che contenga il nome DNS del server:

Il certificato è fisicamente memorizzato nella directory "C:\ProgramData\MyQ Central Server\Cert" nei seguenti file:

  • server.pfx – certificato con chiavi pubbliche e private

  • server.cer – certificato con chiave pubblica

  • server.key – chiave privata

 Si sconsiglia l'uso di certificati con caratteri jolly, poiché comportano un rischio molto più elevato per la sicurezza in caso di furto.

Bloccare il traffico HTTP non crittografato

Il traffico HTTP non crittografato non deve essere abilitato nella configurazione di MyQ Central Server:

Configuring secure communication in MyQ Easy Config

Il firewall basato su host dovrebbe inoltre essere configurato per abilitare solo il traffico HTTPS:

Configuring the host-based firewall
Crittografare le connessioni al database

Se si utilizza Microsoft SQL Server per archiviare il database MyQ, assicurarsi che la crittografia TLS sia applicata tramite SQL Server Configuration Manager:

SQL force encryption

È inoltre necessario configurare un certificato emesso da una CA attendibile su SQL Server:

SQL certificate
Applicare il traffico LDAP crittografato

Se si utilizza la sincronizzazione degli account utente tramite il protocollo LDAP, impostare la sicurezza della connessione su SSL:

LDAP settings in MyQ web UI

Per motivi di sicurezza, non utilizzare START TLS, poiché è vulnerabile agli attacchi MITM. Un certificato emesso da una CA attendibile deve essere configurato su tutti i server LDAP (controller di dominio Active Directory).

Proteggi il traffico SMTP

Se in MyQ Central Server è configurato un server SMTP, imporre l'uso di TLS con convalida del certificato:

OutSMTP.png


Utilizzare sempre FQDN

Per prevenire attacchi MITM, utilizzare rigorosamente nomi di dominio completi in tutte le finestre di configurazione:

Custom help example

Non contattare mai i server digitando solo indirizzi IP o nomi a etichetta singola.

Traffico RADIUS sicuro

Se si utilizza l'autenticazione RADIUS, generare sempre segreti condivisi complessi specifici per MyQ Central Server:

Radius server settings
Proteggere le chiavi API REST

Quando si utilizzano le API REST, proteggere i segreti client da un'esposizione non necessaria ed eseguire periodicamente il rollover dei segreti:

REST API settings in the MyQ web UI