MyQ X Security
MyQ X Security
Breadcrumbs

PS Sicurezza della connessione

Configurare il certificato HTTPS

Per MyQ Print Server è necessario configurare un certificato personalizzato considerato attendibile da tutti i computer client. Sono disponibili tre modalità di gestione dei certificati:

Certificate settings in the MyQ web UI

Per impostazione predefinita, MyQ Print Server crea il proprio certificato CA radice e lo utilizza per firmare i certificati del server e dei client. La parte pubblica di questo certificato può essere esportata e distribuita nell'archivio di certificati attendibili del client, ad esempio utilizzando Criteri di gruppo o MDM.

Le organizzazioni che dispongono già di una propria PKI considerata attendibile potrebbero preferire la seconda opzione. MyQ Print Server utilizza la propria CA intermedia per emettere certificati server e client. Il certificato CA intermedio generato automaticamente deve essere firmato dalla CA aziendale affinché sia considerato attendibile dai client.

Se la politica di sicurezza aziendale non consente l'installazione di un certificato CA intermedio su MyQ Print Server, o se si deve utilizzare un certificato emesso da un'autorità di certificazione pubblica, è necessario ricorrere alla gestione manuale dei certificati.

Indipendentemente dalla modalità CA, i certificati sono fisicamente memorizzati nella directory “C:\ProgramData\MyQ\Cert”, che può contenere i seguenti file:

  • server.pfx – certificato del server con chiavi pubblica e privata

  • server.cer – certificato del server con chiave pubblica

  • server.key – chiave privata del server

  • ca-root.crt – certificato CA radice aziendale con chiave pubblica

  • ca-myq.pfx – certificato CA di emissione con chiavi pubblica e privata

  • ca-myq.crt – certificato CA di emissione con chiave pubblica

  • ca-myq.key – chiavi private della CA emittente

Le chiavi private della CA emittente locale (utilizzate nelle prime due modalità operative) sono sempre protette da una password generata in modo casuale che viene memorizzata nel database interno di Firebird in forma crittografata.

Blocca il traffico HTTP non crittografato

Il traffico HTTP non crittografato non deve essere abilitato nella configurazione di MyQ Print Server:

Web server port settings in MyQ Easy Config
Verifica delle impostazioni di sicurezza delle comunicazioni

Controllare le versioni TLS minime di sicurezza configurate in Impostazioni – Rete – Versione TLS minima. L'impostazione predefinita a partire da MyQ X 10.2 è TLS 1.2.

Per opzioni più avanzate, come ad esempio come impostare invece la versione TLS minima richiesta a 1.3, consultare Sicurezzaavanzata.

Bloccare le porte inutilizzate

Ridurre la superficie di attacco disabilitando le regole del firewall per i protocolli non utilizzati da MyQ Print Server:

Firewall rules
Crittografa le connessioni a MyQ Central Server

Utilizza solo HTTPS per connetterti a MyQ Central Server:

Central server connection settings
Utilizza password complesse per l'autenticazione da server a server

La password per la comunicazione tra il Central Server e il sito deve essere complessa (complessità della password):

Servers communication password
Proteggi il traffico SMTP

Quando si utilizza il protocollo SMTP per inviare e-mail o ricevere documenti dagli scanner di rete, è necessario applicare sempre la crittografia TLS per garantire la riservatezza dei dati.

SMPT server settings

La crittografia TLS deve essere applicata anche quando si utilizza il protocollo IMAP, mentre il protocollo POP3 legacy deve essere evitato:

SMTP server IMAP settings
Utilizza password RADIUS complesse e uniche

Se si utilizza l'autenticazione RADIUS, generare sempre segreti condivisi forti specifici per MyQ Print Server:

Radius server settings
Crittografare il traffico LDAP

La crittografia TLS deve essere utilizzata per proteggere tutto il traffico LDAP:

LDAP settings in MyQ web UI

Per motivi di sicurezza, non utilizzare START TLS, poiché è vulnerabile agli attacchi MITM. È necessario configurare un certificato emesso da una CA attendibile su tutti i server LDAP (controller di dominio Active Directory).

Proteggi il traffico SNMP

È necessario evitare comunicazioni SNMPv1 non sicure con i dispositivi:

SNMP profiles

Utilizzare solo SNMPv3 con una password complessa e configurare algoritmi crittografici più sicuri (SHA1 e AES):

SNMP profile settings
Proteggere le credenziali delle stampanti

La gestione delle credenziali delle stampanti avviene al di fuori di MyQ Print Server ed è specifica del fornitore. Se possibile, per la gestione delle stampanti si dovrebbero utilizzare password complesse generate in modo casuale:

Printer credentials settings
Utilizzare sempre FQDN

Per prevenire attacchi MITM, utilizzare rigorosamente nomi di dominio completi in tutte le finestre di configurazione:

Server hostname setting
Proteggere le chiavi API REST

Quando si utilizzano le API REST, proteggere i segreti del client da un'esposizione non necessaria ed eseguire periodicamente il rollover dei segreti:

REST API settings in the MyQ web UI