Transcripción del Video
Conectividad en Línea y Consideraciones de Seguridad
14m 2s
00:08
Hoy vamos a hablar un poco acerca de las opciones de seguridad que tienes en tu sistema Q-SYS.
00:13
El Software Q-SYS Designer versión 8.0 o superior
00:16
usa una poderosa herramienta basada en navegadores web que
00:20
permite simplificar la administración del Core, conocida como CORE-MAN.
00:26
¡CORE-MAN! ¡Quien tiene la habilidad de ajustar tus servicios de red con un solo click!
00:33
Ah, lo siento, el nombre completo es Core-Manager,
00:37
pero sí te da poderes a nivel super héroe.
00:40
El Core Manager te permite control muy puntual dentro de las opciones de seguridad de red -
00:46
especialmente cuando le das acceso a tu Core a los servicios en la nube de QSC a través del internet.
00:52
Ahora, vamos a comenzar configurando el Core para una conexión segura y confiable
00:57
hacia servicios como Q-SYS Reflect Enterprise Manager.
01:01
Primero, vamos a abrir un navegador de red
01:04
y coloquemos la IP del Core en la barra de direcciones.
01:07
Puedes encontrar la IP de tu dispositivo en su panel frontal,
01:11
o - si ya estás conectado - desde la parte superior en el software.
01:16
Puedes usar esta dirección IP para acceder al Core Manager,
01:19
pero antes de hacer eso… vamos a hablar un poco acerca de protocolos de conexión.
01:24
HTTP, o HyperText Transfer Protocol,
01:28
es el método por el cual la información recibe formato y se transmite en la web.
01:33
Ahora, HTTPS es el mismo protocolo, pero es encriptado -
01:38
la S, realmente significa Esperanza.
01:43
No, la S significa Secure (Seguro), obviamente.
01:47
Los dos diferentes protocolos conectan usando dos diferentes puertos -
01:51
HTTP usa el puerto 80 mientras que HTTPS usa el puerto 443 - veremos más adelante.
02:00
Te recomendamos que siempre uses el protocolo HTTPS cuando
02:05
conectes Q-SYS utilizando un navegador de red.
02:10
Sin embargo, hay un par de cosas que debes tener en cuenta. Como esta:
02:15
Wow. Eso es preocupante.
02:17
Excepto que, realmente no lo es, ya que me estoy
02:21
conectando a un dispositivo que es mío y que es parte de mi infraestructura,
02:25
en la misma red local como mi computadora - en este caso, mi procesador Core.
02:30
Sé que esta página web es precisa y encriptada.
02:34
De hecho, es más seguro que usar solo HTTP
02:37
el cual, irónicamente, no me muestra estos mensajes
02:41
de advertencia estándar del navegador de red.
02:42
Así que, está bien omitir esta advertencia y abrir la conexión.
02:46
Sin embargo, si llegas a ver este mensaje mientras
02:50
te conectas a un sitio web público como el de tu banco,
02:53
o… tal vez un sitio web con un super héroe ficticio,
02:57
probablemente (definitivamente) no debes omitir esa advertencia.
03:03
Si observas la barra de dirección del navegador,
03:05
verás que la conexión está marcada como No Segura
03:08
(Not Secure) - pero esto no es completamente correcto.
03:11
El Core está usando lo que se conoce como un certificado de seguridad auto firmado -
03:17
lo que puede sonar como algo tan confiable como una licencia de dentista impresa en casa -
03:23
pero como la conexión realizada está usando la designación HTTPS,
03:27
de hecho, todavía está encriptada y más asegurada que una conexión no encriptada HTTP.
03:34
Puedes conectar un Core usando el HTTP estándar y omitir estos mensajes de alerta del navegador,
03:40
pero necesitas entender que esas sesiones no son encriptadas y por ende, menos seguras.
03:47
Como resultado, deberías hacerte el hábito de usar el método
03:51
seguro HTTPS cuando te conectes con un Core usando un navegador de red.
03:56
Ahora, veamos el Core Manager.
03:59
Podemos ver el estado de mi Core:
04:01
incluyendo Modelo, Versión de Firmware, el diseño que está corriendo, etc.
04:06
Ahora nos enfocaremos en tres secciones principales: Usuarios,
04:11
Servicios de Red y Configuraciones de Red.
04:13
Veamos primero la de Usuarios.
04:16
Siempre es buena idea el proteger tu Core con un Usuario y Contraseña.
04:21
Vamos a habilitar "Enable Access Control"
04:24
para crear diferentes Usuarios y niveles
04:27
de permiso que definan quién puede editar o acceder al Core.
04:32
Vamos a crear nuestro primer Usuario.
04:34
El primer Usuario que creamos siempre tendrá el nivel de usuario de Administrador,
04:38
pero puedes nombrar a este usuario como quieras.
04:41
Así que, en lugar de "Admin", voy a nombrar el mío como alguien que seguramente tiene todo el poder…
04:48
… y nuestros abogados me están diciendo que necesito usar el nombre completo de… SUPERMANAGER.
04:55
Y por supuesto, necesitamos una contraseña:
04:58
… verificamos por segunda ocasión, Listo.
05:02
Ahora que lo hemos configurado, estamos listos para iniciar sesión en nuestro Core,
05:06
usando nuestras credenciales creadas recientemente.
05:09
Una vez adentro,
05:11
vamos a navegar en la sección de Usuarios y crear otro usuario presionando el botón "New User".
05:19
Una vez más podemos crear un usuario y contraseña,
05:22
pero fíjate que también podemos asignar un rol al usuario.
05:25
Hay tres roles disponibles, Viewer (Observador),
05:29
Technician (Técnico) y Administrator (Administrador).
05:31
Nuestro primer usuario fue automáticamente un Administrador.
05:35
Un Administrador tiene acceso completo y sin límites,
05:39
incluyendo la habilidad de añadir, editar y borrar
05:42
cuentas de Usuario, incluso deshabilitar completamente el Control de Acceso.
05:48
Un Técnico tiene acceso completo de lectura/escritura,
05:52
con excepción de las cuentas de Usuario, las cuales solo puede ver.
05:55
Voy a crear un rol de Técnico para un usuario que necesita hacer cambios,
05:59
pero que no tiene tanto poder como nuestro rol de Administrador.
06:04
El último rol es el de Observador.
06:07
Un Observador es en esencia un usuario que solo
06:10
puede ver todas las configuraciones a excepción de contraseña y PINs,
06:13
pero que no puede editar nada.
06:16
La única acción que un Observador puede hacer es reiniciar el Core desde el Core Manager.
06:21
Así que asegurémonos que un Observador es alguien que básicamente solo es bueno para observar:
06:27
Sí.
06:28
Así que, esto es el Control de Acceso - y es algo que te
06:32
recomiendo usar cada vez que trabajes con un Core.
06:35
Ahora, Usuarios con el rol de Administrador pueden editar la contraseña de otros usuarios,
06:40
pero si llegas a olvidar la contraseña para los usuarios con el rol de Administrador,
06:45
no hay manera de recuperarla -
06:48
así que asegúrate de guardarla en algún lugar seguro.
06:51
Recuerda, con un gran poder viene una gran…
06:54
Oh, lo siento. Eso es de otro universo diferente.
06:58
Ok, vamos a continuar y a hablar sobre redes y seguridad de TI.
07:02
Para ello, vamos a navegar a la página de Configuraciones de Red (Network Settings).
07:08
Verás que en un Core 110f tenemos tres secciones: LAN A, LAN B y DNS.
07:14
LAN A y LAN B representan los puertos de las interfaces de red con el mismo nombre en mi Core.
07:20
Las direcciones de DNS y la configuración del gateway se
07:24
completan automáticamente desde un servidor DHCP
07:27
en algún lugar de la red corporativa,
07:29
o son brindadas por los administradores de la red.
07:33
Sin una dirección valida de DNS y sin un gateway,
07:36
no podrás conectarte a una dirección de red usando un Nombre de Dominio Completo o FQDN.
07:43
Para poder usar algunos servicios de la Nube como la activación de Licencias de Software,
07:48
o Q-SYS Reflect Enterprise Manager,
07:50
tu Core debe de poderse conectar a los servidores seguros de QSC a través de Internet -
07:56
sin embargo, en la mayoría de las implementaciones,
07:59
el equipo de AV tiende a estar en una subred
08:02
dedicada, y muchas veces sin conexión a la web.
08:06
Ahí es donde el LAN B cobra sentido.
08:08
Muchos instaladores usan LAN A para una subred dedicada de AV,
08:13
y el LAN B para la red corporativa o cualquier otra red que brinde conexión segura a la web,
08:18
de tal manera que aproveches los servicios en red de QSC.
08:22
¡Pero espera! Te escuché decir "¿eso no pondrá a nuestros amigos de TI un poco nerviosos?"
08:28
No te preocupes ciudadano,
08:30
te tenemos cubierto y hablaremos de cómo administrar esto posteriormente.
08:34
Como puedes ver, mi conexión de LAN A tiene asignada una dirección de IP y subred estáticas,
08:39
y no tiene un gateway asignada.
08:42
Esto es porque es una subred dedicada, que no requiere un Gateway.
08:47
Sin embargo, mi conexión de LAN B, además de tener la dirección de IP
08:51
y la máscara de subred, también tiene una dirección de Gateway.
08:55
Este es el camino para el Internet.
08:58
Otra cosa importante a tener en cuenta
09:01
es que toda la comunicación entre el Core y los servicios en la nube de QSC
09:06
son iniciados por el Core, como una conexión segura y de salida en el Puerto 443-
09:12
el cual, seguramente recuerdas, es el que usa HTTPS.
09:18
Lo que esto significa es que, en la mayoría de los casos,
09:21
no se requiere de alguna configuración adicional de red o de firewall
09:25
para permitir comunicación completa entre el Core y los servicios de la nube de QSC.
09:30
Ahora que el Core puede conectarse tanto a su subred de AV dedicada
09:35
y a los servicios de la nube de QSC a través de internet,
09:38
hablemos sobre cómo administrar los servicios corriendo en estos puertos de red.
09:43
Para ello, voy a entrar a la sección de Servicios de Red (Network Services).
09:48
Aquí, en la sección de Resumen (Summary),
09:51
podemos ver las dos interfaces de red de mi Core: LAN A y LAN B -
09:55
y, para cada interfaz, hay un número de protocolos enlistados.
10:00
Cada servicio muestra los puertos TCP o UPD relevantes que utiliza,
10:04
definidos en el campo de Detalle de Protocolo (Protocol Detail) -
10:09
puedes ver el puerto 80 para HTTP y el puerto 443 para HTTPS, por ejemplo -
10:17
y todo está actualmente habilitado en ambas interfaces de red.
10:21
Si hacemos click en este símbolo de más en cualquier protocolo,
10:25
puedo ver qué servicios requieren este protocolo.
10:28
Q-SYS Discovery Protocol, por ejemplo, es requerido para Descubrir Dispositivos,
10:33
Periféricos con Audio Habilitado and Periféricos de Control,
10:37
y la comunicación con los paneles táctitles TSC-3.
10:40
Esta es una larga historia, pero estos últimos usan un protocolo
10:44
ligeramente distinto a los demás paneles táctiles.
10:49
Si das click en el mismo símbolo de más para el protocolo Q-SYS Control Binary,
10:53
verás que aparece un conjunto de servicios diferentes.
10:57
Si vemos aquí, a la derecha
10:58
podemos ver hay marcas individuales de verificación
11:01
para cada uno de los protocolos y servicios en nuestra vista expandida.
11:06
Vamos a la pestaña de Administración (Management), y cambiemos algunos de estos ajustes.
11:11
Como puedes ver,
11:12
estamos viendo la misma información
11:14
pero desde la perspectiva de Servicios en lugar de Protocolos subyacentes.
11:19
Dando click en el botón de Edit,
11:22
puedo encender/apagar estos servicios individualmente para cada puerto LAN.
11:26
Digamos que tengo algunas cámaras implementadas en mi Diseño.
11:30
Obviamente, estas cámaras necesitan comunicarse con el Core,
11:34
así que dejaré ese servicio habilitado en el LAN A,
11:38
pero el Core no necesita poder descubrir Cámaras de Q-SYS en la Red Corporativa,
11:43
así que apagaré ese servicio en el LAN B.
11:46
Ahora, solo hago click en Save,
11:48
mi Core se actualiza, y estoy de vuelta en mi sección de Resumen (Summary) -
11:53
en donde puedo ver que WSD, el cual usa el puerto 3702, está deshabilitado en LAN B.
12:01
Si damos click en el símbolo de más, mi vista expandida me indica que, sí;
12:05
este protocolo es usado por las cámaras de Q-SYS,
12:09
y que está habilitado en LAN A y deshabilitado en LAN B.
12:13
Esto significa que el Core ya no está publicando,
12:16
o haciendo disponible cualquier puerto o servicio relacionado con las cámaras de Q-SYS en el LAN B
12:23
Fíjate que algunos Protocolos son usados por múltiples Servicios;
12:27
mira el Q-SYS Control Binary por ejemplo.
12:30
In estos casos, ese Protocolo (TCP:1700) permanecerá activo
12:36
hasta que todos esos Servicio hayan sido
12:39
deshabilitados usando la sección de Administración (Management).
12:44
Ahora, en la mayoría de los casos,
12:47
querrás mantener estos servicios habilitados para tu LAN de AV (típicamente el LAN A)
12:52
a menos que haya elementos que sabes que no serán requeridos,
12:55
pero siéntete libre de verificar con el Departamento de TI para
12:59
confirmar que todo esté correcto.
13:02
El cuántos servicios mantienes habilitados en LAN B dependerá
13:06
realmente de los requerimientos de tu proyecto,
13:09
así como de las políticas de seguridad para la red corporativa en cuestión.
13:15
En muchos escenarios, en donde solo usarás LAN B
13:18
para comunicaciones seguras con los servicios de QSC en la nube,
13:21
puedes deshabilitar todos los Servicios dejando habilitado HTTPS seguro en el LAN B.
13:27
Toma en cuenta que algunos servicios como VoIP o SNMP,
13:31
son administrados usando sus propias páginas fuera del Administrador de Servicios de Red
13:36
por lo que será buena idea consultar esas páginas
13:39
también cuando estés bloqueando tu Core para implementaciones seguras.
13:44
Ahora estás preparado para administrar el acceso seguro a tu Core,
13:48
conectar el Core a los servicios web seguros de QSC,
Descripción de la Lección
Conectividad en Línea y Consideraciones de Seguridad
14m 2s
Aprende algunas de las prácticas de redes más comunes que debes usar con tu Core, incluyendo cómo usar las herramientas para asegurar tu Core en una red mucho mayor.