Q-SYS sicher konfigurieren


Die Digitalisierung der AV-Branche ist ein wichtiges Ziel, das QSC in den letzten Jahrzehnten mit zahlreichen Innovationen vorangetrieben hat. Da sich vernetzte AV-Technik mittlerweile immer mehr durchsetzt und die zahlreichen Vorteile immer stärker wahrgenommen werden, wird auch das Wissen darüber, wie man ein System sicher konfiguriert, immer wichtiger.

QSC verpflichtet sich, die notwendigen Ressourcen und Bildungsangebote zur Verfügung zu stellen, um Q-SYS Systeme so zu sichern, dass sie unseren Best Practices entsprechen und auf die Sicherheitsumgebungen von Unternehmen und Organisationen abgestimmt sind. Im Folgenden haben wir 14 Punkte aufgelistet, die bei der strukturellen Verbesserung Ihres Q-SYS Systems besonders wichtig sind.

Aktualisieren Sie Ihre Firmware: Auch wenn dieser Punkt banal erscheinen mag, werden Q-SYS OS Firmware-Updates leider viel zu oft vernachlässigt. Dabei ist dieser einfache Schritt die einzige Möglichkeit, um sicherzustellen, dass Ihr System aktuelle (und notwendige) Sicherheitspatches und -funktionen erhält.

Aktivieren Sie die Zugriffssteuerung: Geben Sie die Zugangsdaten für Ihr System nicht an alle Nutzer aus. Q-SYS bietet verschiedene Optionen für die Zugangssteuerung, von Nutzerprofilen bis hin zur Erstellung individueller Profilberechtigungen. Es ist auch möglich, Geräte-Passwörter zum Schutz von Einstellungen festzulegen.

Stellen Sie bei Ihrem Q-SYS Core Datum und Zeit richtig ein: Sie fragen sich vielleicht, wie das zu einem soliden Sicherheitskonzept beitragen kann. Der Grund ist, dass beim Austausch von Sicherheitszertifikaten Datum- und Zeitstempel zum Einsatz kommen. Jede Abweichung kann hier zu Fehlern bei der Übermittlung der Sicherheitszertifikate führen.

Aktivieren Sie 802.1X: Nein, damit ist nicht Ihr Lieblingssender beim Autofahren gemeint. IEEE 802.1X ist ein Standard zur Authentifizierung angeschlossener Geräte in lokalen Netzwerken und wird sowohl für kabelgebundene als auch drahtlose Netzwerke verwendet. Nach der Aktivierung können Q-SYS Produkte authentifiziert und ihr Netzwerkzugang konfiguriert werden.

Stärken Sie Ihre Softphone-Konfiguration: VoIP-Telefonie ist nach wie vor ein beliebter Angriffspunkt für Hacker. QSC empfiehlt ausschließlich den Einsatz verschlüsselter Softphone-Kommunikation mit sicheren Verschlüsselungsverfahren.

Deaktivieren Sie Ihren FTP-Server: FTP-Server sind nicht sicher – sie waren ursprünglich für die einfache, unverschlüsselte Dateiübertragung durch angeschlossene Nutzer konzipiert. Heute gelten sie allgemein als Sicherheitsrisiko. Daher ist der FTP-Server des Q-SYS Core standardmäßig deaktiviert und es wird empfohlen, diesen „Disabled“-Status beizubehalten. Bitte überprüfen Sie immer, ob dies bei Ihrem Q-SYS Core der Fall ist.

Stärken Sie Ihren SNMP-Server: Das Simple Network Management Protocol (SNMP) ist ein häufig verwendetes Mittel, um unautorisierten Zugriff auf Geräte im Netzwerk zu erhalten. Aus diesem Grund befindet sich der SNMP-Server (ähnlich wie der FTP-Server) jedes Q-SYS Cores standardmäßig im „Disabled“-Status. Sollte das Protokoll für den erfolgreichen Betrieb Ihres Systems unbedingt notwendig sein, empfiehlt QSC, ausschließlich SNMPv3 zu implementieren und alle InfoSec-Vorgaben für das Client-Netzwerk zu befolgen.

Installieren Sie ein von einer Zertifizierungsstelle (CA) signierte Gerätezertifikat: Dies sind vertrauenswürdige Entitäten, die digitale SSL-Zertifikate (Secure Sockets Layer) herausgeben, die das Eigentum eines öffentlichen Schlüssels für eine bestimmte Entität (Ihr Unternehmen) bescheinigen. Dies ermöglicht es den Netzwerkressourcen zu bestätigen, dass das Q-SYS Produkt berechtigt ist, sich in Ihrem Netzwerk zu befinden.

Konfigurieren Sie Ihre DNS-Einstellungen: Domain Name System (DNS) Server können von potenziellen Angreifern zum Umleiten von Traffic genutzt werden, um Netzwerk-Ressourcen zu beeinträchtigen. Stellen Sie zum Schutz die Netzwerk-Konfiguration Ihres Q-SYS Cores so ein, dass nur vertrauenswürdige (von Ihrem IT-Team bereitgestellte) DNS-Server genutzt werden können.

Konfigurierung einer externen Steuerung: Eventuell müssen Sie manchmal ein externes Steuerungssystem für die Steuerung oder Überwachung Ihres Q-SYS Systems einsetzen. Diese Integration kann ein potenzieller Schwachpunkt sein, daher ist es ratsam, diese sorgfältig zu strukturieren. Eine von zwei möglichen Vorgehensweisen ist es, Management APIs anstelle von HTTPS für die verschlüsselte Steuerung Ihres Q-SYS Core einzusetzen. Durch das APT-Management können Sie dafür sorgen, dass die APTs Ihrer Organisation sowohl einfach verfügbar als auch sicher sind. Eine zweite Option ist die Konfiguration einer PIN (Personal Identification Number) für die externe Steuerung, um den Zugriff granularer zu gestalten.  

Konfigurieren Sie den UCI-PIN-Schutz: Und wo wir gerade über PINs sprechen: Es lassen sich auch PINs für UCIs (User Control Interfaces) konfigurieren, die ausschließlich autorisierten Nutzern den Zugang zu Ihren Q-SYS UCIs gewähren. Zusätzlich können Sie auf Knopfdruck beliebig viele Ihrer UCIs auf „privat“ setzen.

Konfigurieren Sie einen PIN-Schutz für das Paging durch den Nutzer: Und noch mehr PINs! Falls Sie ein System mit integrierter PA-Paging-Funktionalität besitzen, können Sie einen PIN-basierten Zugriffsschutz für die Anwender der Sprechstellen einrichten. Das ist besonders bei öffentlich zugänglichen Sprechstellen wichtig. (Speziell, um Teenager davon abzuhalten, sich in die PA-Anlage einzuklinken und laut zu gröhlen.)

Deaktivieren Sie nicht genutzte Netzwerkdienste: Dieser Punkt erfordert ein wenig Koordination. Sie müssen sich mit Ihrem Systemplaner zusammensetzen und gemeinsam auflisten, welche Netzwerkdienste für den Betrieb Ihres Designs auf dem Core nicht erforderlich sind und daher deaktiviert werden können. Wichtig ist, dabei so viele potenzielle Eintrittspunkte wie möglich zu beseitigen.

Verwenden Sie den Q-SYS Reflect Enterprise Manager: Sie möchten mehr Transparenz? Und wer hätte nicht gerne eine Fernüberwachung/-verwaltung, die selbst Geräte von Drittanbietern einschließt? Durch eine Registrierung für den Q-SYS Reflect Enterprise Manager erhalten Sie unmittelbaren Einblick in all Ihre Q-SYS-basierten AV-Systeme. Und wenn es um Probleme, wie etwa Sicherheitsbedrohungen, geht, hat eine schnelle Lösung für alle oberste Priorität.

Da Sie jetzt ein besseres Verständnis dafür haben, welche Maßnahmen erforderlich sind, ist die Frage, wie diese am besten umgesetzt werden können? Als nächsten Schritt empfehlen wir Ihnen, sich unsere Sicherheits-Dokumentation durchzulesen. Dort finden Sie eine Liste mit den oben genannten Punkten und Links zu detaillierten Anweisungen und Ressourcen.

Ein Kommentar zu “Configuring Q-SYS with Security in Mind

Comments are closed.