Cómo configurar Q-SYS pensando en la seguridad


La modernización del sector audiovisual es de vital importancia, y QSC lleva décadas innovando para hacerla posible. Sin embargo, al haber actualmente una mayor aceptación de los sistemas AV en red, y una enorme conciencia de sus beneficios, urge enseñar cómo configurar un sistema dando prioridad a la seguridad.

QSC está comprometida a ofrecer los conocimientos y recursos necesarios para proteger los sistemas Q-SYS, de modo que reflejen nuestras prácticas recomendadas y se adapten a entornos de seguridad corporativa. A continuación, encontrará catorce áreas que requieren especial atención al estructurar su sistema Q-SYS.

Actualice el firmware: Aunque parezca algo sencillo, las actualizaciones de firmware de Q-SYS OS se ignoran con demasiada frecuencia. Este sencillo paso es la única forma para garantizar que su sistema dispone de los últimos y esenciales parches de seguridad y características.

Habilite el control de acceso: No le dé las llaves del reino a todos los usuarios. Q-SYS cuenta con numerosas opciones de control de acceso: desde roles de usuario hasta la creación de permisos de roles personalizados. También se pueden crear contraseñas en dispositivos para proteger determinadas configuraciones.

Configure la fecha y la hora de Q-SYS Core: Quizá se pregunte por qué esto supone una mejora en la seguridad; el motivo es que los certificados de seguridad utilizan la hora y la fecha en el intercambio de certificados. Cualquier tipo de error puede derivar en errores en la negociación de certificados de seguridad.

Habilite 802.1X: No hablamos de su emisora de radio favorita. IEEE 802.1X es un estándar que define cómo proporcionar autenticación al conectar dispositivos en redes de área local. Se utiliza tanto en redes alámbricas como inalámbricas. Una vez habilitado, podrá configurar los productos de Q-SYS para que se autentiquen y obtengan acceso a la red.

Proteja la configuración de su softphone: La telefonía VoIP sigue siendo un posible punto de entrada, y como tal, QSC recomienda utilizar solo comunicaciones de softphone encriptadas y con cifrados seguros.

Desactive el servidor FTP: Los servidores FTP no se crearon para ser seguros: originalmente, se diseñó para ofrecer transmisión de archivos básica y sin cifrar a los usuarios que se conectaran. Hoy en día se considera un riesgo de seguridad. Por ese motivo, el servidor FTP está desactivado por defecto en Q-SYS Core, y se recomienda que se mantenga así. Compruebe su Q-SYS Core para verificar que esté desactivado.

Proteja su servidor SNMP: El protocolo simple de administración de red (SNMP) es una forma común de acceder sin autorización a los dispositivos de una red. Por este motivo, el servidor SNMP está desactivado por defecto en Q-SYS Core, al igual que ocurría con el servidor FTP. Solo si es absolutamente necesario para que su sistema funcione, QSC recomienda implementar únicamente SNMPv3 y seguir las normas de seguridad informática sobre redes de clientes.

Instale un certificado de dispositivo firmado por una autoridad de certificación (CA): Estas entidades de confianza emiten certificados SSL que certifican la titularidad de una clave pública con una entidad concreta (su compañía). Esto permite que los recursos de la red confirmen que un producto de Q-SYS determinado tiene autorización para estar en su red.

Configure el DNS: El sistema de nombres de dominio (DNS) puede ser utilizada por posibles atacantes para redirigir tráfico a recursos de red comprometidos. Para protegerse, configure la red de su Q-SYS Core de modo que solo utilice servidores DNS de confianza (proporcionados por su equipo de TI).

Configure el control externo: Hay momentos en los que necesitará instalar algún tipo de sistema de control externo para controlar o monitorear su sistema Q-SYS. Esta integración puede convertirse en un punto débil, por lo que hay que pensarla con detenimiento. Una posible estrategia sería usar las API de administración a través de HTTPS para controlar su Q-SYS Core mediante una conexión cifrada. A través de la administración APT, puede garantizar que las APT de su organización sean consumibles y seguras. La segunda estrategia sería configurar un PIN (número de identificación personal) de control externo para administrar su acceso con mayor precisión.  

Configure la protección UCI PIN: Hablando de PIN, también es posible configurar claves PIN en las interfaces gráficas de usuario para permitir que solo los usuarios autorizados acedan a dichas interfaces de Q-SYS. Además, también puede hacer privada cualquier interfaz gráfica de usuario de su sistema con solo un clic.

Configure la protección con PIN para usuarios de voceo: ¡Más claves PIN! Si tiene un sistema que usa voceo por PA, también podrá crear claves de acceso para usuarios mediante PIN en las estaciones de voceo. Es algo especialmente importante en las estaciones situadas en espacios públicos. (Y es especialmente útil para evitar que los adolescentes usen el micrófono para cantar unos versos de su canción favorita a través del sistema de PA).

Desactive los servicios de red que no utilice: Este punto precisa de cierta coordinación. Deberá hablar con su diseñador de sistemas para hacer una lista de los servicios de red que no son necesarios para el funcionamiento del sistema en su procesador Core y que podrá desactivar. El objetivo es eliminar la mayor cantidad de posibles puntos de acceso.

Regístrese en Q-SYS Reflect Enterprise Manager: ¿Quiere tener mayor visibilidad? ¿Desea poder monitorear o administrar a distancia incluso dispositivos de terceros? Si se registra en Q-SYS Reflect Enterprise Manager, obtendrá acceso de forma inmediata a todos sus sistemas de AV basados en Q-SYS. Y cuando tenga problemas (amenazas de seguridad incluidas), la prioridad de todos será solucionarlos cuanto antes.

Ahora que tiene un mayor conocimiento sobre lo que se debe hacer y por qué, ¿cómo puede ponerse manos a la obra? El siguiente paso será consultar nuestra documentación de seguridad. En ella encontrará una lista completa de los temas que hemos comentado, con enlaces, instrucciones detalladas y recursos.

Leave a Reply

Your email address will not be published. Required fields are marked *

five × 4 =