Imprimir este capítuloImprimir este capítulo

Conectividad en Línea y Consideraciones de Seguridad

Transcripción del Video

00:08
Hoy vamos a hablar un poco acerca de las opciones de seguridad que tienes en tu sistema Q-SYS.
00:13
El Software Q-SYS Designer versión 8.0 o superior
00:16
usa una poderosa herramienta basada en navegadores web que  
00:20
permite simplificar la administración del Core, conocida como CORE-MAN.
00:26
¡CORE-MAN! ¡Quien tiene la habilidad de ajustar tus servicios de red con un solo click!
00:33
Ah, lo siento, el nombre completo es Core-Manager,
00:37
pero sí te da poderes a nivel super héroe.
00:40
El Core Manager te permite control muy puntual dentro de las opciones de seguridad de red -
00:46
especialmente cuando le das acceso a tu Core a los servicios en la nube de QSC a través del internet.
00:52
Ahora, vamos a comenzar configurando el Core para una conexión segura y confiable
00:57
hacia servicios como Q-SYS Reflect Enterprise Manager.
01:01
Primero, vamos a abrir un navegador de red  
01:04
y coloquemos la IP del Core en la barra de direcciones.
01:07
Puedes encontrar la IP de tu dispositivo en su panel frontal,
01:11
o - si ya estás conectado - desde la parte superior en el software.
01:16
Puedes usar esta dirección IP para acceder al Core Manager,
01:19
pero antes de hacer eso… vamos a hablar un poco acerca de protocolos de conexión.
01:24
HTTP, o HyperText Transfer Protocol,
01:28
es el método por el cual la información recibe formato y se transmite en la web.
01:33
Ahora, HTTPS es el mismo protocolo, pero es encriptado -
01:38
la S, realmente significa Esperanza.
01:43
No, la S significa Secure (Seguro), obviamente.
01:47
Los dos diferentes protocolos conectan usando dos diferentes puertos -
01:51
HTTP usa el puerto 80 mientras que HTTPS usa el puerto 443 - veremos más adelante.
02:00
Te recomendamos que siempre uses el protocolo HTTPS cuando  
02:05
conectes Q-SYS utilizando un navegador de red.
02:10
Sin embargo, hay un par de cosas que debes tener en cuenta. Como esta:
02:15
Wow. Eso es preocupante.
02:17
Excepto que, realmente no lo es, ya que me estoy  
02:21
conectando a un dispositivo que es mío y que es parte de mi infraestructura,
02:25
en la misma red local como mi computadora - en este caso, mi procesador Core.
02:30
Sé que esta página web es precisa y encriptada.
02:34
De hecho, es más seguro que usar solo HTTP
02:37
el cual, irónicamente, no me muestra estos mensajes  
02:41
de advertencia estándar del navegador de red.
02:42
Así que, está bien omitir esta advertencia y abrir la conexión.
02:46
Sin embargo, si llegas a ver este mensaje mientras  
02:50
te conectas a un sitio web público como el de tu banco,
02:53
o… tal vez un sitio web con un super héroe ficticio,  
02:57
probablemente (definitivamente) no debes omitir esa advertencia.
03:03
Si observas la barra de dirección del navegador,
03:05
verás que la conexión está marcada como No Segura  
03:08
(Not Secure) - pero esto no es completamente correcto.
03:11
El Core está usando lo que se conoce como un certificado de seguridad auto firmado -
03:17
lo que puede sonar como algo tan confiable como una licencia de dentista impresa en casa -
03:23
pero como la conexión realizada está usando la designación HTTPS,
03:27
de hecho, todavía está encriptada y más asegurada que una conexión no encriptada HTTP.
03:34
Puedes conectar un Core usando el HTTP estándar y omitir estos mensajes de alerta del navegador,
03:40
pero necesitas entender que esas sesiones no son encriptadas y por ende, menos seguras.
03:47
Como resultado, deberías hacerte el hábito de usar el método
03:51
seguro HTTPS cuando te conectes con un Core usando un navegador de red.
03:56
Ahora, veamos el Core Manager.
03:59
Podemos ver el estado de mi Core:  
04:01
incluyendo Modelo, Versión de Firmware, el diseño que está corriendo, etc.
04:06
Ahora nos enfocaremos en tres secciones principales: Usuarios,  
04:11
Servicios de Red y Configuraciones de Red.
04:13
Veamos primero la de Usuarios.
04:16
Siempre es buena idea el proteger tu Core con un Usuario y Contraseña.
04:21
Vamos a habilitar "Enable Access Control"
04:24
para crear diferentes Usuarios y niveles  
04:27
de permiso que definan quién puede editar o acceder al Core.
04:32
Vamos a crear nuestro primer Usuario.
04:34
El primer Usuario que creamos siempre tendrá el nivel de usuario de Administrador,
04:38
pero puedes nombrar a este usuario como quieras.
04:41
Así que, en lugar de "Admin", voy a nombrar el mío como alguien que seguramente tiene todo el poder…
04:48
… y nuestros abogados me están diciendo que necesito usar el nombre completo de… SUPERMANAGER.
04:55
Y por supuesto, necesitamos una contraseña:
04:58
… verificamos por segunda ocasión, Listo.
05:02
Ahora que lo hemos configurado, estamos listos para iniciar sesión en nuestro Core,  
05:06
usando nuestras credenciales creadas recientemente.
05:09
Una vez adentro,
05:11
vamos a navegar en la sección de Usuarios y crear otro usuario presionando el botón "New User".
05:19
Una vez más podemos crear un usuario y contraseña,
05:22
pero fíjate que también podemos asignar un rol al usuario.
05:25
Hay tres roles disponibles, Viewer (Observador),  
05:29
Technician (Técnico) y Administrator (Administrador).
05:31
Nuestro primer usuario fue automáticamente un Administrador.
05:35
Un Administrador tiene acceso completo y sin límites,
05:39
incluyendo la habilidad de añadir, editar y borrar  
05:42
cuentas de Usuario, incluso deshabilitar completamente el Control de Acceso.
05:48
Un Técnico tiene acceso completo de lectura/escritura,  
05:52
con excepción de las cuentas de Usuario, las cuales solo puede ver.
05:55
Voy a crear un rol de Técnico para un usuario que necesita hacer cambios,
05:59
pero que no tiene tanto poder como nuestro rol de Administrador.
06:04
El último rol es el de Observador.
06:07
Un Observador es en esencia un usuario que solo  
06:10
puede ver todas las configuraciones a excepción de contraseña y PINs,
06:13
pero que no puede editar nada.
06:16
La única acción que un Observador puede hacer es reiniciar el Core desde el Core Manager.
06:21
Así que asegurémonos que un Observador es alguien que básicamente solo es bueno para observar:
06:27
Sí.
06:28
Así que, esto es el Control de Acceso - y es algo que te  
06:32
recomiendo usar cada vez que trabajes con un Core.
06:35
Ahora, Usuarios con el rol de Administrador pueden editar la contraseña de otros usuarios,
06:40
pero si llegas a olvidar la contraseña para los usuarios con el rol de Administrador,  
06:45
no hay manera de recuperarla -
06:48
así que asegúrate de guardarla en algún lugar seguro.
06:51
Recuerda, con un gran poder viene una gran…
06:54
Oh, lo siento. Eso es de otro universo diferente.
06:58
Ok, vamos a continuar y a hablar sobre redes y seguridad de TI.
07:02
Para ello, vamos a navegar a la página de Configuraciones de Red (Network Settings).
07:08
Verás que en un Core 110f tenemos tres secciones: LAN A, LAN B y DNS.
07:14
LAN A y LAN B representan los puertos de las interfaces de red con el mismo nombre en mi Core.
07:20
Las direcciones de DNS y la configuración del gateway se  
07:24
completan automáticamente desde un servidor DHCP
07:27
en algún lugar de la red corporativa,
07:29
o son brindadas por los administradores de la red.
07:33
Sin una dirección valida de DNS y sin un gateway,
07:36
no podrás conectarte a una dirección de red usando un Nombre de Dominio Completo o FQDN.
07:43
Para poder usar algunos servicios de la Nube como la activación de Licencias de Software,
07:48
o Q-SYS Reflect Enterprise Manager,
07:50
tu Core debe de poderse conectar a los servidores seguros de QSC a través de Internet -
07:56
sin embargo, en la mayoría de las implementaciones,  
07:59
el equipo de AV tiende a estar en una subred
08:02
dedicada, y muchas veces sin conexión a la web.
08:06
Ahí es donde el LAN B cobra sentido.
08:08
Muchos instaladores usan LAN A para una subred dedicada de AV,
08:13
y el LAN B para la red corporativa o cualquier otra red que brinde conexión segura a la web,
08:18
de tal manera que aproveches los servicios en red de QSC.
08:22
¡Pero espera! Te escuché decir "¿eso no pondrá a nuestros amigos de TI un poco nerviosos?"
08:28
No te preocupes ciudadano,  
08:30
te tenemos cubierto y hablaremos de cómo administrar esto posteriormente.
08:34
Como puedes ver, mi conexión de LAN A tiene asignada una dirección de IP y subred estáticas,
08:39
y no tiene un gateway asignada.
08:42
Esto es porque es una subred dedicada, que no requiere un Gateway.
08:47
Sin embargo, mi conexión de LAN B, además de tener la dirección de IP  
08:51
y la máscara de subred, también tiene una dirección de Gateway.
08:55
Este es el camino para el Internet.
08:58
Otra cosa importante a tener en cuenta
09:01
es que toda la comunicación entre el Core y los servicios en la nube de QSC
09:06
son iniciados por el Core, como una conexión segura y de salida en el Puerto 443-
09:12
el cual, seguramente recuerdas, es el que usa HTTPS.
09:18
Lo que esto significa es que, en la mayoría de los casos,
09:21
no se requiere de alguna configuración adicional de red o de firewall
09:25
para permitir comunicación completa entre el Core y los servicios de la nube de QSC.
09:30
Ahora que el Core puede conectarse tanto a su subred de AV dedicada  
09:35
y a los servicios de la nube de QSC a través de internet,
09:38
hablemos sobre cómo administrar los servicios corriendo en estos puertos de red.
09:43
Para ello, voy a entrar a la sección de Servicios de Red (Network Services).
09:48
Aquí, en la sección de Resumen (Summary),
09:51
podemos ver las dos interfaces de red de mi Core: LAN A y LAN B -
09:55
y, para cada interfaz, hay un número de protocolos enlistados.
10:00
Cada servicio muestra los puertos TCP o UPD relevantes que utiliza,  
10:04
definidos en el campo de Detalle de Protocolo (Protocol Detail) -
10:09
puedes ver el puerto 80 para HTTP y el puerto 443 para HTTPS, por ejemplo -
10:17
y todo está actualmente habilitado en ambas interfaces de red.
10:21
Si hacemos click en este símbolo de más en cualquier protocolo,  
10:25
puedo ver qué servicios requieren este protocolo.
10:28
Q-SYS Discovery Protocol, por ejemplo, es requerido para Descubrir Dispositivos,
10:33
Periféricos con Audio Habilitado and Periféricos de Control,  
10:37
y la comunicación con los paneles táctitles TSC-3.
10:40
Esta es una larga historia, pero estos últimos usan un protocolo  
10:44
ligeramente distinto a los demás paneles táctiles.
10:49
Si das click en el mismo símbolo de más para el protocolo Q-SYS Control Binary,
10:53
verás que aparece un conjunto de servicios diferentes.
10:57
Si vemos aquí, a la derecha
10:58
podemos ver hay marcas individuales de verificación
11:01
para cada uno de los protocolos y servicios en nuestra vista expandida.
11:06
Vamos a la pestaña de Administración (Management), y cambiemos algunos de estos ajustes.
11:11
Como puedes ver,
11:12
estamos viendo la misma información
11:14
pero desde la perspectiva de Servicios en lugar de Protocolos subyacentes.
11:19
Dando click en el botón de Edit,  
11:22
puedo encender/apagar estos servicios individualmente para cada puerto LAN.
11:26
Digamos que tengo algunas cámaras implementadas en mi Diseño.
11:30
Obviamente, estas cámaras necesitan comunicarse con el Core,
11:34
así que dejaré ese servicio habilitado en el LAN A,
11:38
pero el Core no necesita poder descubrir Cámaras de Q-SYS en la Red Corporativa,
11:43
así que apagaré ese servicio en el LAN B.
11:46
Ahora, solo hago click en Save,  
11:48
mi Core se actualiza, y estoy de vuelta en mi sección de Resumen (Summary) -
11:53
en donde puedo ver que WSD, el cual usa el puerto 3702, está deshabilitado en LAN B.
12:01
Si damos click en el símbolo de más, mi vista expandida me indica que, sí;  
12:05
este protocolo es usado por las cámaras de Q-SYS,
12:09
y que está habilitado en LAN A y deshabilitado en LAN B.
12:13
Esto significa que el Core ya no está publicando,
12:16
o haciendo disponible cualquier puerto o servicio relacionado con las cámaras de Q-SYS en el LAN B
12:23
Fíjate que algunos Protocolos son usados por múltiples Servicios;  
12:27
mira el Q-SYS Control Binary por ejemplo.
12:30
In estos casos, ese Protocolo (TCP:1700) permanecerá activo
12:36
hasta que todos esos Servicio hayan sido  
12:39
deshabilitados usando la sección de Administración (Management).
12:44
Ahora, en la mayoría de los casos,  
12:47
querrás mantener estos servicios habilitados para tu LAN de AV (típicamente el LAN A)
12:52
a menos que haya elementos que sabes que no serán requeridos,
12:55
pero siéntete libre de verificar con el Departamento de TI para  
12:59
confirmar que todo esté correcto.
13:02
El cuántos servicios mantienes habilitados en LAN B dependerá  
13:06
realmente de los requerimientos de tu proyecto,
13:09
así como de las políticas de seguridad para la red corporativa en cuestión.
13:15
En muchos escenarios, en donde solo usarás LAN  B
13:18
para comunicaciones seguras con los servicios de QSC en la nube,
13:21
puedes deshabilitar todos los Servicios dejando habilitado HTTPS seguro en el LAN B.
13:27
Toma en cuenta que algunos servicios como VoIP o SNMP,
13:31
son administrados usando sus propias páginas fuera del Administrador de Servicios de Red
13:36
por lo que será buena idea consultar esas páginas  
13:39
también cuando estés bloqueando tu Core para implementaciones seguras.
13:44
Ahora estás preparado para administrar el acceso seguro a tu Core,
13:48
conectar el Core a los servicios web seguros de QSC,