Configurer Q-SYS en tenant compte de la sécurité


La modernisation du secteur audiovisuel est indispensable et QSC innove dans ce sens depuis des décennies. Avec l’adoption massive de l’audiovisuel en réseau et le constat généralisé de ses nombreux avantages, il est désormais impératif que les utilisateurs apprennent à configurer un système en tenant compte de la sécurité.

QSC s’engage à fournir les ressources et la formation nécessaires pour renforcer les systèmes Q-SYS, afin qu’ils reflètent nos bonnes pratiques et s’alignent sur les environnements de sécurité des entreprises. Voici quatorze points importants lors de la conception de votre système Q-SYS.

Mettre à jour votre firmware: Cela peut sembler simple, mais les mises à jour du firmware de Q-SYS OS ne sont pas effectuées aussi souvent qu’il le faudrait. Cette étape n’est pas compliquée et c’est le seul moyen de s’assurer que votre système bénéficie des correctifs de sécurité et des fonctionnalités mis à jour (et indispensables).

Activer le contrôle d’accès: Ne laissez pas un libre accès à tous les utilisateurs. Q-SYS propose plusieurs options de contrôle d’accès, depuis les rôles utilisateur jusqu’à la possibilité de créer des autorisations personnalisées. Des mots de passe sont également disponibles pour protéger certains paramètres.

Configurer la date et l’heure de votre processeur Q-SYS Core: Vous vous demandez peut-être en quoi cela renforce un plan de sécurité, mais il faut savoir que les certificats de sécurité utilisent l’heure et la date lors de l’échange de certificats. Toute erreur peut entraîner l’échec de la négociation du certificat de sécurité.

Activer 802.1X: Non, il ne s’agit pas de votre station de radio préférée. IEEE 802.1X est une norme qui définit comment authentifier les appareils qui se connectent aux réseaux locaux, et qui est utilisée pour les réseaux filaires et sans fil. Une fois cette norme activée, les produits Q-SYS peuvent être configurés afin d’être authentifiés et d’obtenir un accès au réseau.

Renforcer la configuration de votre logiciel téléphonique: La téléphonie VoIP représente toujours un point d’entrée potentiel, c’est pourquoi QSC recommande d’utiliser seulement les communications cryptées du logiciel téléphonique et le chiffrement sécurisé.

Désactiver votre serveur FTP: Les serveurs FTP n’ont pas été conçus pour être sécurisés. Ils étaient initialement prévus pour fournir des capacités de base de transfert de fichiers non cryptés aux utilisateurs connectés. Aujourd’hui, ils sont unanimement considérés comme un risque pour la sécurité. Ainsi, le serveur FTP est désactivé par défaut sur le processeur Q-SYS Core et il est recommandé de ne pas l’activer. Vérifiez votre processeur Q-SYS Core pour vous assurer que c’est toujours le cas.

Renforcer votre serveur SNMP: Le protocole SNMP (Simple Network Management Protocol) est un moyen facile à utiliser pour obtenir un accès non autorisé aux périphériques du réseau. Pour cette raison (et de la même manière que pour le serveur FTP), le serveur SNMP est désactivé par défaut sur un processeur Q-SYS Core. Si votre système l’exige absolument, QSC recommande de ne mettre en œuvre que le SNMPv3 et de suivre les conseils InfoSec du réseau client.

Installer un certificat d’appareil signé par une autorité de certification: Il s’agit d’entités de confiance qui émettent des certificats numériques du protocole SSL (Secure Sockets Layer) certifiant la propriété d’une clé publique par une entité spécifique (votre entreprise). Cela permet à des ressources réseau de confirmer que le produit Q-SYS est autorisé à être sur votre réseau.

Configurer DNS: DNS (Domain Name System) peut être utilisé par les attaquants potentiels pour rediriger le trafic vers des ressources réseau compromises. Configurer le réseau de votre processeur Q-SYS Core pour que seuls les serveurs DNS de confiance (fournis par votre équipe informatique) soient utilisés est une protection nécessaire.

Configurer le contrôle externe: Il est parfois nécessaire de faire appel à un système de contrôle externe pour contrôler ou surveiller votre système Q-SYS. Cette intégration peut constituer un point de fragilité, il est donc judicieux de la structurer avec soin. Deux solutions permettent d’exploiter les API de gestion via HTTPS pour un contrôle crypté de votre processeur Q-SYS Core. Grâce à la gestion des points d’accès, vous pouvez vous assurer que les APT de votre organisation sont à la fois utilisables et sécurisés. La seconde solution consiste à configurer un code PIN (numéro d’identification personnel) de contrôle externe pour gérer votre accès de manière plus précise.  

Configurer la protection de l’UCI à l’aide d’un code PIN: À propos de codes PIN, il est également possible de configurer les codes PIN de l’interface de contrôle utilisateur (UCI) pour que seuls les utilisateurs autorisés puissent accéder aux UCI de votre système. En outre, un simple clic sur un bouton vous permet de rendre privé n’importe lequel de vos UCI.

Configurer la protection des utilisateurs du système d’annonce à l’aide d’un code PIN: Encore des codes PIN ! Si vous disposez d’un système utilisant la fonctionnalité de sonorisation d’annonces vocales, vous pouvez alors configurer un accès utilisateur basé sur un code PIN pour accéder aux stations d’appel elles-mêmes. Ceci est particulièrement important pour les stations situées dans des espaces publics. (C’est notamment très utile pour contrer les adolescents qui ne peuvent s’empêcher de sauter sur la sonorisation et de chanter quelques notes.)

Désactiver les services réseau inutilisés: Ce point requiert de la coordination. Vous devrez discuter avec votre concepteur de système et répertorier les services réseau qui ne sont pas nécessaires au fonctionnement de votre processeur Core et qui peuvent donc être désactivés. Il convient d’éliminer autant de points d’entrée potentiels que possible.

Inscrivez-vous avec Q-SYS Reflect Enterprise Manager: Vous voulez de la visibilité ? Vous souhaitez un suivi ou une gestion à distance qui comprend des dispositifs tiers ? En vous inscrivant sur Q-SYS Reflect Enterprise Manager, vous bénéficiez d’un accès immédiat à tous vos systèmes audiovisuels basés sur Q-SYS. En cas de problème, y compris de menace pour la sécurité, une résolution rapide devient la priorité absolue de chacun.

Vous avez maintenant une idée générale de ce qui doit être fait et pourquoi, mais ne savez pas comment passer à l'action ? Votre prochaine étape consiste à cliquer sur notre documentation sur la sécurité. Vous y trouverez une liste succincte des points expliqués ci-dessus, ainsi que des liens vers des instructions et des ressources détaillées.

Leave a Reply

Your email address will not be published. Required fields are marked *

deux + sept =