Algunos de los contenidos técnicos de este sitio web solo están disponibles en inglés.

Requisitos y consideraciones para la instalación de Space

Introducción

Esta sección contiene información técnica sobre aspectos de instalación del software "ProAccess Space" ("Space" en adelante), como requisitos del sistema, consideraciones de conectividad, etc. Está dirigido a usuarios avanzados (como los distribuidores de SALTO que trabajan en colaboración con los equipos de TI) que tienen que ocuparse del proceso de instalación del software.

Debe leer esta sección de la guía del usuario antes de intentar instalar Space.

Vista general

Space es un software de control de acceso diseñado y producido por SALTO para gestionar los puntos de acceso electrónicos fabricados por SALTO, como escudos electrónicos independientes, cilindros y cerraduras online IP y RF.

En el diagrama siguiente, se muestra un esquema básico del sistema de control de acceso Space, en el que se pueden apreciar los siguientes componentes principales: la máquina del servidor Space, las máquinas cliente y los periféricos y dispositivos de punto de acceso SALTO.

Descripción general del sistema

Diagrama de componentes de SALTOEsquema simplificado del sistema de control de acceso Space.

Iconos de componentes de red

IconoDescripción
Servidor de Space
Servidor de Space
Contiene el servicio de Space y la base de datos SQL (BD SQL). Gestiona y controla, en tiempo real, todos los dispositivos online de SALTO, por ejemplo, las puertas online que se accionan mediante tecnología de radiofrecuencia (RF). También procesa las solicitudes de los clientes de Space.
Cliente de Space
Cliente de Space
Ejecuta aplicaciones cliente, por ejemplo, Space y el puente IO local.
Editor de tarjetas
Editor de tarjetas
Un codificador es un dispositivo externo que lee y actualiza las llaves con información de acceso, escribe permisos de acceso en las tarjetas (llaves). Los editores de tarjetas pueden conectarse a través de USB o Ethernet.
Cerradura electrónica
Cerradura electrónica
Permite o deniega el acceso, en función de los permisos de la llave presentada. Estos dispositivos de punto de acceso pueden estar en línea o fuera de línea y funcionan con baterías. Las cerraduras con BLUEnet están equipadas con tecnología que permite la capacidad en línea, mientras que las cerraduras independientes deben actualizarse mediante un dispositivo PPD.
PPD
Dispositivo portátil de programación (PPD)
Comunica información a la cerradura, como la identificación de la puerta y los detalles de configuración. Este dispositivo, que se comunica con las cerraduras mediante NFC, también se puede conectar físicamente a las cerraduras. Se utiliza para inicializar y actualizar dispositivos fuera de línea. Consulte PPD para obtener más información.
Unidad de control online
Controlador
Proporciona un control de acceso en tiempo real. Gestionado por el servidor de Space, el controlador funciona como una puerta IP online y como un actualizador de tarjetas. Los controladores se pueden conectar a lectores utilizando un bus RS485.
Gateway
Gateway
Dispositivo destinado a un uso conjunto con puntos de acceso donde se necesite conexiones online. Las puertas de enlace se conectan a cerraduras electrónicas, lo que permite que los puntos de acceso fuera de línea se conecten. Una puerta de enlace actúa como un puente que transfiere información mediante cifrado de extremo a extremo hacia y desde los dispositivos detrás de ella al software.
Nodos y repetidores
Nodos y repetidores
También conocidos como extensores, los repetidores y nodos permiten aumentar la distancia entre una puerta de enlace y las cerraduras electrónicas. Un nodo debe estar conectado físicamente a una puerta de enlace mediante un cable RS485, mientras que los repetidores SALTO BLUEnet permiten la comunicación inalámbrica.
JustIN Cloud
JustIN Cloud
Actúa como un puente entre el backend de Space y la aplicación móvil JustIN.
Aplicación JustIN
Aplicación JustIN
La aplicación móvil SALTO JustIN permite a los usuarios utilizar sus teléfonos como llave. Garantiza que los usuarios puedan recibir su llave en línea, en cualquier momento y en cualquier lugar.

Nota importante: todos los dispositivos IP (es decir, unidades de control y codificadores) abren un puerto UDP en 1100 para comunicarse con el servidor de Space (consulte también Consideraciones de puertos de comunicación y conectividad).

En las siguientes secciones se explican con más detalle los requisitos de hardware y los aspectos de seguridad que hay que tener en cuenta al instalar Space tanto en el servidor de Space como en las máquinas cliente.

Servidor de Space

El servidor de Space representa el corazón del sistema, ya que alberga tanto la base de datos SALTO como el servicio de Space.

La base de datos de Space contiene datos relacionados con el sistema de control de acceso de la instalación, como los permisos de los titulares de tarjetas, el registro de auditoría de las cerraduras, el plan de cierre, etc.

Los sistemas de base de datos backend compatibles actualmente son MS-SQL Server y MS-LocalDB (más información sobre esto más adelante).

El servicio de Space, por otro lado, es un servicio de Windows NT desarrollado para la plataforma .NET. Proporciona las dos siguientes funcionalidades:

  1. Realiza un control de acceso en tiempo real mediante la gestión y supervisión de los dispositivos online de SALTO (tanto puntos de acceso como actualizadores de SVN).
  2. Atiende y procesa las solicitudes de los clientes de Space y los integradores.

El servicio de Space se configura mediante una herramienta de configuración llamada "ProAccess Space Configurator".

Requisitos de hardware y sistema

Los requisitos de hardware y sistema para el servidor de Space son los siguientes:

  • Sistemas operativos compatibles: Microsoft Windows 10, 11, Windows Server 2016, 2019, 2022. Versiones de 32 y 64 bits.

  • Base de datos1: Microsoft SQL Server 2012, 2014, 2016, 2017, 2019, 2022 y LocalDB. Todas las ediciones admitidas, incluida "Express".

También se ajusta a los requisitos del sistema de la base de datos que se esté utilizando. Los requisitos actuales del sistema para Microsoft SQL Server Express se pueden encontrar en el siguiente enlace: https://technet.microsoft.com/en-en/library/ms143506.aspx

  • Microsoft SQL Native Client 11.0 (instalado de forma predeterminada por el programa de instalación de Space).

  • Hardware mínimo: depende principalmente de la cantidad de dispositivos IP (como codificadores Ethernet, puertas de enlace y CU5000) que serán gestionados por el software Space. Como regla general:

    • Instalaciones con menos de 300 dispositivos IP: se requiere una máquina dedicada con al menos dos CPU de 2,5 GHz y 8 GB de RAM.
    • Instalaciones con más de o igual a 300 dispositivos IP: se requiere una máquina dedicada con al menos cuatro CPU de 2,5 GHz y 16 GB de RAM.

Además, se recomienda una pantalla de 32 bits de alta definición de 1024×768 (para trabajar con la aplicación web de la interfaz gráfica de usuario a través de los navegadores).

  • .NET framework 4.6.2 o posterior (incluido en el instalador).

  • El espacio necesario en el disco duro depende del tamaño del plan de cierre y de la política de limpieza de datos. Se recomienda un mínimo de 5 GB.

  • Resolver de nombres de máquina (DNS): Space usa nombres de máquina (en lugar de direcciones IP fijas) para las comunicaciones entre máquinas. A este respecto, se necesita un resolver de nombres de máquina (como un sistema de nombres de dominio o DNS) para resolver correctamente los nombres de máquina en la dirección IP correspondiente.

  • La fecha y la hora de la máquina del servidor deben estar correctamente configuradas antes de iniciar el software de Space. De lo contrario, el rendimiento de los dispositivos online (como las cerraduras RF) podría verse afectado negativamente.

  • Controles/extensiones LDAP requeridos:

    • If cardholders or software operators are to be imported from your directory service (DS) to the Space DB via LDAP protocol, make sure that the following LDAP control/extension is supported by your DS or LDAP server: "1.2.840.113556.1.4.319". Por ejemplo, se sabe que Active Directory de Microsoft admite el control LDAP especificado, mientras que Oracle Directory Server Enterprise Edition (ODSEE) parece no admitirlo.

Consideraciones sobre la máquina virtual

En principio, el servicio Space (y su BD) se puede instalar y ejecutar en máquinas virtuales. A continuación, se enumeran consideraciones importantes que se deben tener en cuenta:

  • Asegúrese de que se dediquen suficientes recursos de CPU y RAM. Cualquier latencia debida a recursos insuficientes afectará negativamente a las interacciones entre el servicio Space y los dispositivos de control de acceso en línea y los usuarios finales.
  • En caso de que su máquina host esté equipada con más de una NIC (controlador de interfaz de red) física, asegúrese de que todo el tráfico IP desde/hacia el software Space fluya a través de la misma NIC física (de lo contrario, es posible que tenga problemas de comunicación con dispositivos en línea, como CU5000).
  • Si su sistema es Windows Server 2012 R2 y tiene problemas de comunicación entre el servidor Space y los dispositivos SALTO IP, considere deshabilitar la función VMQ (Virtual Machine Queue) en NICs. Consulte el siguiente enlace para obtener más detalles: https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/poor-network-performance-hyper-v-host-vm

Puertos de comunicación y consideraciones de conectividad

El servicio Space no es un software aislado. Por el contrario, el servicio Space abre varios puertos de escucha para aquellos sistemas de terceros interesados en solicitar recursos y servicios de control de acceso (por ejemplo, PMS del hotel). A la inversa, también se aplica, es decir, el servicio Space puede establecer conexiones con sistemas de terceros para obtener ciertos datos o servicios de ellos (por ejemplo, MS-SQL Server o la nube SALTO).

El siguiente diagrama muestra todos los puertos de comunicación gestionados por el servicio Space. Para los puertos TCP/IP, el símbolo de flecha indica el puerto de escucha al que se establece la conexión.

Importante: tenga en cuenta que todos los números de puerto para los puertos TCP/IP especificados en el siguiente diagrama no son valores fijos, sino valores predeterminados y se pueden cambiar a cualquier otro valor como se desee. Por el contrario, el puerto UDP 1100 abierto por los periféricos SALTO es fijo y no se puede modificar.

La siguiente tabla enumera todos los posibles puertos de comunicación (y su valor predeterminado) que puede usar el servicio Space según el tipo de integración.

Esquema de conectividad para Space

Esquema de conectividad para el servicio SpaceEsquema de conectividad para el servicio Space: todos los valores proporcionados para los puertos TCP/IP son configurables por software.

Puertos y conexiones desde y hacia el servicio Space

Tipo de sistema con el que comunicarseTipo de puerto, protocolo y configuraciónDescripción
Sistema de gestión de bases de datos (MS-SQLServer)- TCP/IP.
- Configurable desde el software MS-SQLServer.
- Valor predeterminado de 1433 por Microsoft.
MS-SQL Server® permite diferentes tipos de conexión: TCP/IP, canalizaciones con nombre o a través de memoria.
TCP/IP es el recomendado. Como regla general, su número de puerto predeterminado es 1433.

Además, el software SQLServer (más específicamente, el "SQLServer Browser") puede abrir un puerto UDP para permitir el descubrimiento de instancias de SQL Server (como regla general, tiene un valor predeterminado de 1434).
Dispositivos SALTO IP (codificadores de tarjetas, unidades de control, pasarelas, etc.)- Puerto UDP.
- Protocolo propietario.
- Configurable desde el software.
- Valor predeterminado de un valor aleatorio entre 5000-10000.
El software Space abre un único puerto UDP para comunicarse con todos los dispositivos SALTO IP. Por otro lado, los dispositivos SALTO IP abren un puerto UDP fijo en 1100 (pasarelas, unidades de control y codificadores de tarjetas v1) o 4433 (codificadores v2).
Frontal SALTO (navegadores que utilizan la aplicación web Space)
- Puerto TCP/IP en modo de escucha.
- Protocolo HTTP(S).
- Configurable desde el software.
- Valor predeterminado de 8100.
Este es el punto final del servidor web integrado. Los navegadores deben conectarse a este puerto para acceder a las páginas web de Space.
La URL predeterminada es: http://(nombre_máquina):8100 (nota: HTTPS muy recomendable).
Clientes Space- Puerto TCP/IP en modo de escucha.
- Protocolo HTTP(S).
- Configurable desde el software.
- Valor predeterminado de 8102.
Determinados clientes de Space, como la aplicación web Space o la utilidad LocalIOBridge, se conectan a este puerto para obtener notificaciones en tiempo real.
Clientes de interfaz SALTO (mapeo gráfico)- Puerto TCP/IP en modo de escucha.
- Protocolo SOAP.
- Configurable desde el software.
- Valor predeterminado de 8099.
Este puerto solo lo utiliza el software de mapeo gráfico.
Hotel PMS: Oracle Hospitality PMS (FIAS) protocol- TCP/IP.
- Protocolo Oracle Hospitality.
- Configurable desde el software.
El servicio Space puede establecer una conexión TCP/IP con el PMS del hotel.
Hotel PMS: Protocolo estándar de la industria- Puerto TCP/IP en modo de escucha.
- Protocolo estándar de la industria (propietario).
- Configurable desde el software.
El servicio Space puede abrir un puerto TCP/IP de escucha al que está conectado el PMS del hotel. También se admite la conexión serie RS232.
Clientes SHIP (protocolo SHIP)Puerto TCP/IP en modo escucha.
Protocolo SHIP (privativo)
- Configurable desde el software.
El servicio de Space puede abrir un puerto de escucha TCP al que se conectan los clientes de SHIP para solicitar servicios de control de acceso.
Host SHIP (protocolo SHIP)- TCP/IP.
- Protocolo SHIP (privativo).
- Configurable desde el software.
El servicio de Space puede establecer una conexión TCP/IP con el Host SHIP para solicitar permisos de acceso.
Ascensores Schindler: protocolo "PORT"- TCP/IP
- Protocolo "PORT" de Schindler
- Configurable desde el software
El servicio de Space puede establecer una conexión TCP/IP con el servidor de Schindler.
Thyssenkrupp- Puerto UDP.
- Protocolo de Thyssenkrupp (privativo).
- Puertos de escucha: 8039 y 8040.
- Puertos de destino: 8038 y 8041.
- Se necesita una NIC dedicada para la red de ascensores.
Thyssenkrupp escucha los latidos del corazón del servicio Space en 8038.
El servicio Space transmite latidos de corazón en 8038.
Thyssenkrupp transmite latidos de corazón de unidifusión en 8039.
El servicio Space escucha los latidos de corazón de Thyssenkrupp en 8039.
Thyssenkrupp transmite mensajes de datos al servicio Space en 8040.
El servicio Space escucha los mensajes de datos de Thyssenkrupp en 8040.
Thyssenkrupp escucha los mensajes de datos del servicio Space en 8041.
El servicio Space transmite mensajes de datos a Thyssenkrupp en 8041.
Webhook HTTP(S)- Protocolo HTTP(S)
- Configurable desde el software
El servicio de Space puede establecer una conexión HTTP(S) con un punto final de terceros para enviar notificaciones en tiempo real
Flujo de eventos- TCP/IP (modo cliente) o UDP
- Configurable desde el software
El servicio de Space puede conectarse a una máquina de terceros a la que se van a enviar eventos de seguimiento de auditoría en tiempo real utilizando un protocolo propietario.
Nota importante: considere usar la funciónaliad "webhook" (ver arriba) en lugar del "flujo de eventos", ya que la primera es más estándar, flexible y segura.
Cuadrícula de eventos de Transact- Protocolo HTTPS
- Configurable desde el software
El servicio de Space puede establecer una conexión websocket a un punto final de Event Grid de Microsoft para recibir comandos de Transact para la sincronización de la base de datos.
SALTO cloud- TCP/IP (HTTPS)
- Protocolo REST
- Acceso a internet necesario
El servicio Space puede establecer conexiones con la nube SALTO ubicada en las siguientes URL:
- https://justin.saltowebservices.com
- https://justin-msvn.saltowebservices.com
- https://justin-tunnel.saltowebservices.com
- En general: https://*.saltowebservices.com
Tenga en cuenta que las conexiones a la nube SALTO solo son necesarias cuando se utilizan llaves móviles a través de la aplicación móvil JustIN.
RUCKUS- TCP/IP (TLS)
- Puerto de destino: 4433
El servicio Space puede establecer conexiones TCP/IP (TLS) a los controladores Ruckus en el puerto 4433 para enviar comunicaciones a las cerraduras SALTO a través de los controladores Ruckus.
GANTNER Gx7- TCP/IP (WS/WSS)
- Puertos de destino: 80 y 443
El servicio de Space puede establecer conexiones websocket para comunicarse con los controladores Gantner Gx7.

Algunas consideraciones importantes a tener en cuenta en relación con la conectividad:

  • Asegúrese de que el Firewall de MS-Windows (o cualquier otro programa similar con capacidad de bloqueo, como el antivirus) no bloquee el servicio de Space. Si es necesario, agregue una nueva entrada de excepción en el Firewall de Windows para evitar el bloqueo del servicio de Space.
  • Algunos firewalls están configurados para cerrar automáticamente las conexiones TCP/IP que tienen un largo período de inactividad, lo que provoca problemas de comunicación dentro del sistema. Para evitar problemas de comunicación, asegúrese de que el firewall en su lugar no cierre automáticamente las conexiones TCP/IP cuando la inactividad es menor que:
    • 5 minutos para conexiones websocket.
    • 105 seconds for the Oracle Hospitality PMS (FIAS) protocol.

El espacio ha sido diseñado solo para entornos LAN. No lo exponga directamente a internet, ya que no es un entorno seguro y puede exponer el software a posibles riesgos de seguridad, como ataques DoS (denegación de servicio). Debe mantener el software dentro de un entorno de red seguro para garantizar su seguridad y confiabilidad. Si necesita acceder de forma remota a las páginas web de Space a través de Internet, utilice una VPN.

  • Space integra su propio servidor web. No se requiere ningún servidor web externo (como MS-IIS o Tomcat).
  • Soporte para proxy HTTP: puede configurar el software Space para que todas las comunicaciones HTTP (por ejemplo, a la nube de SALTO) se reenvíen a un servidor proxy.
  • Las conexiones a la nube de SALTO (es decir, https://*.saltowebservices.com) solo son necesarias si va a utilizar llaves digitales a través de la aplicación JustIN Mobile.
  • Si necesita recibir notificaciones en tiempo real, considere utilizar la funciónaliad "webhook" en lugar del "flujo de eventos": la primera es más estándar, flexible y segura que la segunda.

Consideraciones de permisos

A continuación, se detallan los permisos necesarios para que funcione el software Space:

  1. La cuenta de Windows bajo la cual se ejecuta el servicio de Space (cuenta de Space en adelante) debe tener acceso total a la base de datos de Space. La forma más fácil es hacer que esa cuenta de Windows sea miembro de la función DB_OWNER dentro de la base de datos de Space.
  2. La cuenta de Space debe tener acceso total a la carpeta raíz de Space (C:\SALTO\ProAccess Space por defecto) y a las carpetas que estén por debajo. Además, cualquier otra carpeta de trabajo (por ejemplo, utilizada para exportar o importar archivos) debe ser también accesible.
  3. En última instancia, en caso de que se vaya a utilizar HTTPS, la cuenta de Space debe tener acceso al certificado correspondiente.

La buena noticia es que el programa de configuración administra todas las configuraciones anteriores por usted de forma predeterminada. Ten en cuenta que se requieren privilegios de administrador para iniciar el proceso de configuración.

En caso de una instalación nueva, la cuenta de Windows predeterminada para ejecutar el servicio Space será la cuenta integrada de bajo privilegio "Servicio de red". Bueno, más precisamente, su contraparte virtual:

NT SERVICE\ProAccessSpaceService

Por el contrario, en caso de una actualización de software, el programa de configuración respetará y mantendrá sin cambios la cuenta actual del servicio Space.

Esta configuración predeterminada y otras configuraciones se pueden modificar en cualquier momento mediante la herramienta de configuración del servicio denominada "ProAccess Space Configurator". Sin embargo, ten en cuenta que si cambias la cuenta de Windows del servicio Space a otra, deberás otorgarle manualmente permisos a todos los recursos mencionados anteriormente, es decir, la base de datos de Space, las carpetas de Space y el certificado HTTPS. .

Otras consideraciones de seguridad a tener en cuenta son las siguientes:

  • Se recomienda utilizar una cuenta sin contraseña, como las cuentas integradas de la máquina como "Servicio de red". De lo contrario, el servicio Space dejará de funcionar al expirar la contraseña.
  • Para utilizar la versión segura de HTTP (es decir, HTTPS), primero deberás especificar un certificado válido (utiliza el "Configurador de espacio" para seleccionar uno entre los certificados registrados dentro de la máquina del servidor). Ten en cuenta que el certificado seleccionado también debe ser válido en las máquinas cliente para poder: 1. evitar el mensaje de advertencia de "conexión no confiable" que muestra el navegador, 2. los navegadores reciben notificaciones en tiempo real (como aperturas de puertas) del servidor.
  • Consideraciones adicionales cuando se utiliza la "Asignador Gráfico" de SALTO: el servicio Space aceptará conexiones del software GM solo si está funcionando bajo sesiones de usuario de confianza. En el caso de un entorno de dominio de Windows, los usuarios de confianza son miembros del mismo dominio de Windows que el del servidor Space: si el controlador de dominio no considera al usuario como un miembro válido, el cliente (es decir, asignador gráfico) no podrá conectarse al servicio.

Si no tienes un entorno de dominio de Windows sino un entorno de grupo de trabajo, deberás crear el usuario correspondiente tanto dentro del servidor Space como en la estación cliente para tener conexiones de confianza.

Consideraciones sobre la base de datos

Debe haber una, y solo una, instancia de la base de datos de Space en el local.

Por el bien del rendimiento, se recomienda encarecidamente que tanto la base de datos de Space como el servicio se instalen en la misma máquina del servidor. De lo contrario, cualquier latencia entre ambos componentes tendrá un impacto negativo en todas las interacciones con periféricos y sesiones frontales.

El servicio Space puede funcionar con dos tipos de sistemas de base de datos: MS-SQL Server o MS-LocalDB. En los siguientes párrafos se explican algunas consideraciones sobre ambos tipos de bases de datos.

LocalDB

LocalDB es una versión miniaturizada de MS SQL Server que ofrece una instalación rápida y sin configuración. Es adecuado para instalaciones pequeñas (en general, donde se utiliza una sola máquina).

Una restricción con respecto a LocalDB es que sólo se aceptan conexiones desde la máquina local. Esto no es realmente un problema, ya que los navegadores de las máquinas cliente no se conectan directamente a la base de datos, sino al servicio Space2.

MS SQL Server

Las siguientes son las consideraciones más importantes a tener en cuenta con respecto a la base de datos MS-SQL Server:

  • Como se mencionó anteriormente, se recomienda encarecidamente tener tanto la base de datos de Space como el software instalados en la misma máquina.
  • Asegúrate de que la cuenta de Space sea miembro del rol DB_OWNER dentro de la base de datos de Space.
  • Asegúrate de que el nivel de compatibilidad de la base de datos de Space sea SQL2005 o superior.
  • Considera habilitar la conexión SSL en la instancia de MS SQL Server para que las comunicaciones entre la base de datos y el servicio Space estén encriptadas. Esto se recomienda cuando la base de datos no está ubicada en la misma máquina que el servicio Space. Consulte Apéndice C para obtener más detalles.

En principio, los programas de instalación administran los tres primeros ajustes anteriores de forma predeterminada.

Mejores prácticas de seguridad

La siguiente es una serie de mejores prácticas para un sistema seguro:

  1. Asegúrate de que el sistema operativo en tu máquina de servidor y estaciones de trabajo esté actualizado con los últimos parches de seguridad. Por supuesto, evita usar sistemas operativos Windows que hayan sido descontinuados y que el proveedor ya no les brinde soporte. Lo mismo se aplica al software MS-SQL Server utilizado para el almacenamiento de datos.
  2. Utiliza una cuenta de Windows de bajo privilegio para ejecutar el servicio Space. Por ejemplo, NT SERVICE, o mejor, NT SERVICE\ProAccessSpaceService (de forma predeterminada en el programa de instalación).
  3. Mantén la base de datos de Space aislada al no otorgar permiso de acceso a ningún otro usuario. Solo el servicio Space (aparte de los administradores del sistema) debe tener acceso a la base de datos de Space.
  4. Para el bien del rendimiento, así como de la seguridad, se recomienda encarecidamente que tanto la base de datos de Space como el servicio se instalen en la misma máquina del servidor.
  5. En el servidor MS-SQL, habilita SSL para las conexiones de base de datos. Esto es importante cuando tanto la instancia de la base de datos como el servicio Space no se encuentran en la misma máquina.
  6. Utiliza HTTP seguro (HTTPS) cuando conectes los navegadores del cliente al servidor web de Space. Ten en cuenta que la configuración de HTTPS no es fácil y requiere el apoyo del personal de TI.
    • Use a certificate signed by a certificate authority (CA). Los certificados autofirmados solo deben utilizarse para pruebas, nunca para entornos de producción.
    • HTTPS utiliza los protocolos SSL/TLS para proporcionar privacidad e integridad de los datos entre dos partes. Existen varias versiones de SSL/TLS, pero la única actualmente compatible con el software de Space es la versión 1.2. Consulte el Apéndice A para obtener más detalles.
    • En segundo plano, los conjuntos de cifrado, que son conjuntos de instrucciones que permiten conexiones de red seguras a través de SSL/TLS, proporcionan un conjunto de algoritmos y protocolos necesarios para asegurar las comunicaciones entre clientes y servidores. Aunque existen varios conjuntos de cifrado, los únicos que admite actualmente Space son los siguientes:
      • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
      • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  7. Si necesita recibir notificaciones en tiempo real del servicio Space, se recomienda encarecidamente utilizar la funcionalidad webhook basada en HTTPS en lugar de la funcionalidad "secuencia de eventos", ya que la primera es más estándar, flexible y segura.
  8. Si se utiliza la autenticación de Space, asegúrese de que se ha habilitado una política de contraseñas adecuada (por ejemplo, contraseñas con letras, números y símbolos). También puede considerar el uso de la autenticación LDAP para iniciar sesión en el software Space.
  9. Para un inicio de sesión más seguro, se recomienda activar la función de autenticación de dos factores (2FA)3.
  10. Asegúrese también de que la función de cierre de sesión automático está activada para que la sesión del usuario se cierre automáticamente después de que se detecte inactividad durante la cantidad especificada de segundos.
  11. Back up the Space database on a regular basis (daily at least). This is essential for disaster recovery, business continuity and information security. Se recomienda encarecidamente guardar las copias fuera de las instalaciones.
  12. No exponga Space directamente a Internet. Como se sabe, Internet no es un entorno completamente seguro y puede exponer el software a posibles riesgos de seguridad. Por lo tanto, mantenga el software dentro de un entorno de red seguro para garantizar su seguridad y confiabilidad. Si necesita acceder a Space desde puntos remotos a través de Internet, utilice VPN en su lugar.

Máquinas cliente

Las máquinas cliente sólo necesitan un navegador web para empezar a interactuar con el servicio de Space. No hay necesidad de ningún software extra excepto cuando sea necesario trabajar con dispositivos USB. Las siguientes subsecciones explican con más detalle todas las consideraciones relativas a las máquinas cliente.

La aplicación web de Space

Los navegadores web son la ventana desde la que se interactúa con el software SALTO Space. La URL predeterminada para conectarse es:

http://{{host_machine_name}}:8100

donde {{host_machine_name}} es el nombre del servidor (en el que se ejecuta el servicio Space).

Tenga en cuenta que puede personalizar en cualquier momento (mediante la utilidad del configurador) esta URL y cambiarla, por ejemplo, a otro número de puerto o hacerla más segura seleccionando HTTPS4.

A continuación, se indican los requisitos del sistema para el front-end de Space:

  • Navegador web: cualquier navegador que cumpla con HTML5. Por ejemplo: Chrome, Firefox, Edge, Safari, etc. Internet Explorer también es compatible, aunque no se recomienda debido a su bajo rendimiento. No se requiere Silverlight.
  • Hardware: CPU de 1 GHz (o superior) y 4 GB de RAM.
  • Sistemas operativos: si su máquina cliente va a gestionar dispositivos USB (como PPD o codificadores de tarjetas), entonces se requiere Windows, ya que el programa Bridge (explicado en la siguiente sección) solo es compatible con máquinas Windows (Windows 8, 8.1, 10, 11, Server 2012, Server 2016 o superior). De lo contrario, si no se va a conectar ningún dispositivo USB, se puede utilizar cualquier sistema operativo.
  • Adobe Flash Player plugin for the webcam: if you are to use a webcam for making photos to cardholders, chances are you may need to have the Adobe Flash Player plugin installed within your browser. La siguiente tabla indica si necesitará el complemento mencionado en función tanto del tipo de navegador como del tipo de conexión http.
Navegador (Windows)Conexión HTTPConexión HTTPS
Internet ExplorerSe requiere el complemento FLASHSe requiere el plugin FLASH
SafariNo soportadoNo se requiere el complemento FLASH
FirefoxNo soportadoNo se requiere el complemento FLASH
Edge ChromiumNo soportadoNo se requiere el complemento FLASH
Edge LegacyNo se requiere el plugin FLASHNo se requiere el plugin FLASH
ChromeNot supportedNo FLASH plugin required

The webcam may require the Adobe Flash Player plugin depending on the type of browser and HTTP connection.

One final consideration to bear in mind is that the Space frontend has been designed for desktop machines. Although it may work OK in iOS or Android mobile devices, the UX experience in these types of devices is far from optimal.

The "bridge" program between the Space service and USB devices

Web browsers impose multiple restrictions (due to security reasons) to web applications when it comes to use local system resources, such as USB ports. This is why the Space webapp cannot get access to USB ports, and thus, to the SALTO USB devices attached to them (like PPDs or card encoders).

SALTO provides a solution for this problem: the so-called "Local IO Bridge" program. This is a tiny Windows NT service that must be installed in only those client machines to which SALTO USB devices must be connected.

The "Local IO Bridge" program can be installed from the Space webapp (that is, from the browser). You can also find a copy of this program under the ..\dist folder in the server.

The "Local IO Bridge" program, as its name implies, works as a "communication bridge" between the Space service and the USB device.

This is accomplished firstly by establishing a TCP/IP connection to the Space service and secondly by opening the USB port to which the SALTO device is connected. Once both endpoints are open, the "Local IO Bridge" does nothing more than retransmit messages from one endpoint to the other. The final result is that USB devices are being remotely controlled by the Space service in the server.

In summary, what follows are the main considerations for the "Local IO Bridge" program:

  • The installer of the "Local IO Bridge" program can be downloaded from the Space webapp (from the web browser). A copy of this program can also be found in the ..\dist folder in the server. Installation is simple and straightforward.
  • The "Local IO Bridge" requires .NET framework 4.0 or later (the installer will automatically install it for you if it is missing). The operating system must be Windows 8, 8.1, 10, 11, Server 2012, Server 2016 or higher.
  • El "Local IO Bridge" se puede instalar desde la línea de comandos en modo silencioso, es decir, en modo desatendido5. This helps the automatized deployment of the program in client machines. For this purpose, you must use both the "quiet" and the "installDir" switches, as shown in the example below:

C:\setup_saltolocaliobridge.exe -quiet -InstallDir= "C:\SALTO\ Local IO Bridge"

where the "installDir" switch must be followed by the path of the destination folder.

  • Every time a communication process is needed between the local USB device and the Space service in the server (for example, for reading a card at a SALTO card encoder), a TCP/IP connection is established from the "Local IO Bridge" program to the server. The default target TCP/IP port is 8102 though it can be configured to another value if desired. Consulte también Puertos y conexiones desde y hacia el servicio Space.
  • In addition, the "Local IO Bridge" program opens two listening ports to which the Space webapp (running within the browser) is connected. Their port numbers can be any value within the range 50000-51000.
  • Make sure that the "Local IO Bridge" program is running (as a Windows NT service) before working with USB SALTO devices. The Space webapp will show you a warning message if it detects that the "Local IO Bridge" program is not available.

Ports and connections from and to the "Local IO Bridge" service

Type of system to communicate withPort type, protocol and configurationDescripción
SALTO devices: USB or RS232- USB, RS232
- Configurable from the software
The "Local IO Bridge" service opens the required USB (or RS232) port in order to communicate with the attached SALTO device.
SALTO Space service- TCP/IP.
- HTTP(S) protocol
- Defaults to port 8102
- Configurable from the software
The "Local IO Bridge" service establishes a connection to the Space service every time a communication process with a USB device is needed (for example, read a card in the encoder).
SALTO Space webapp- Two TCP/IP ports in listening mode.
- HTTP and HTTPS protocol
The Space webapp (within the browser) connects to these two ports. This allows the webapp to ask the "Local IO Bridge" for port information and status, and perform actions on the USB devices.

Appendix A: Security protocols and cipher suites for HTTPS

HTTPS uses SSL (Secure Socket Layer) or its newer version TLS (Transport Layer Security) under the hood to provide privacy and data integrity between two parties. The Space software supports SSL/TLS by means of a Microsoft library called Schannel.dll, which is part of the Windows platform (including Windows 10, 11, Server 2012 R2, Server 2016, etc.).

La biblioteca Schannel admite varias versiones de SSL/TLS (incluidas SSL v2.0, SSL v3.0, TLS v1.0, TLS v1.1, TLS v1.2 y TLS 1.3), así como varios algoritmos criptográficos.

Independientemente de las versiones de SSL/TLS que admita la biblioteca Schannel, a partir de la versión 6.7 de Space, la única versión de TLS compatible es la 1.2. Por lo tanto, debe configurar la biblioteca Schannel para que utilice TLS 1.2.

En principio, la biblioteca Schannel elegirá automáticamente el mejor protocolo y algoritmo criptográfico en función de las capacidades del cliente y del servidor. Sin embargo, puede configurar Schannel.dll para controlar el uso de versiones específicas del protocolo SSL/TLS y los conjuntos de cifrado. Esta configuración se realiza estableciendo determinadas claves de registro en el registro de Windows, tal y como se explica en el siguiente artículo de Microsoft:

Tenga en cuenta que esta configuración de seguridad tiene un alcance de toda la máquina y no se puede configurar por aplicación. Esto significa que los cambios en la configuración de Schannel afectarán a todas las aplicaciones que utilizan la biblioteca Schannel.

La manipulación directa de las claves de registro no es fácil. Una forma más cómoda de configurar las opciones de seguridad es utilizar una herramienta de la empresa "Nartac Software" llamada IISCrypto:

IISCrypto es una herramienta gráfica gratuita (véanse las capturas de pantalla a continuación) creada para simplificar la habilitación y deshabilitación de diversos protocolos y conjuntos de cifrado.

Captura de pantalla de la herramienta de conjuntos de cifrado de IISCrypto

Captura de pantalla de la herramienta de conjuntos de cifrado de IISCrypto

Anexo B: Provisión de certificación para HTTPS

La provisión de certificaciones HTTPS en entornos LAN no es una tarea fácil y debe ser realizada por personal informático cualificado. Esta sección no es de ninguna manera un manual exhaustivo para crear e instalar certificados para el Space HTTPS endpoint, sino más bien una guía simplificada. La siguiente imagen muestra los pasos principales:

  1. Cree una autoridad de certificación (CA) corporativa. Si aún no tiene una, comience por crear su CA "raíz" (será un certificado autofirmado). Especifique los valores para campos como la caducidad, las claves, el algoritmo hash, etc.
  2. Distribuya la CA corporativa creada entre las máquinas cliente. El certificado debe añadirse al almacén de entidades de certificación raíz de confianza.
  3. Cree el certificado de Space y fírmelo con la CA corporativa. El campo que más importa dentro del certificado de Space es el "Nombre común". Ahí es donde se proporciona el nombre de host del servidor de Space ("Server01" en el ejemplo).
  4. Instale el certificado de Space en el servidor de Space. Si es necesario, conceda permiso de acceso a la cuenta de Windows del servicio de Space al certificado.
  5. Configure el software de Space (con la herramienta de configuración) para que utilice el certificado de Space.

Provisión de certificación para HTTPSProvisión de certificaciones HTTPS

Anexo C: Configurar MS-SQL Server para forzar conexiones cifradas

Lo que sigue es la forma de configurar el servidor para forzar conexiones cifradas con los clientes de la base de datos (consulte las imágenes de abajo):

  1. En SQL Server Configuration Manager, expanda **Configuración de red de SQL **Server, haga clic con el botón derecho en Protocolos para {{server_instance}} y, a continuación, seleccione Propiedades.

  2. En el cuadro de diálogo Propiedades de Protocolos para {{instance_name}}, en la pestaña Certificado, seleccione el certificado deseado en el menú desplegable del cuadro Certificado y, a continuación, haga clic en Aceptar.

  3. En la pestaña Marcas, en el cuadro Forzar cifrado, seleccione y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.

  4. Reinicie el servicio SQL Server

Si no se ha provisionado ningún certificado en el paso 2, SQL Server genera un certificado autofirmado, que podría ser más que suficiente cuando tanto el servicio de Space como la DB están ubicados en la misma máquina. La opción más segura es, por supuesto, utilizar un certificado verificable, aunque implica una gestión más compleja.

En el caso de que se proporcione un certificado verificable, la cuenta de servicio de SQL Server debe tener permisos de lectura sobre el certificado utilizado para forzar el cifrado en el SQL Server. Para una cuenta de servicio sin privilegios, será necesario añadir permisos de lectura al certificado. Si no se hace, el reinicio del servicio SQL Server puede fallar.

Más detalles:

https://learn.microsoft.com/en-us/sql/database-engine/configure-windows/configure-sql-server-encryption?view=sql-server-ver15#to-configure-the-server-to-force-encrypted-connections

Notas a pie de página


  1. Al momento de escribir este documento, y según Microsoft, MS SQL Server no se puede instalar en un controlador de dominio de Windows Server (consulte https://support.microsoft.com/en-us/kb/2032911). ↩︎

  2. Al momento de escribir esto, el software de Mapa Gráfico sí establece una conexión directa con la base de datos de Space. Por lo tanto, no es buena idea instalar el software de Mapa Gráfico en una máquina diferente al servidor. Otherwise, use a MS-SQL Server database instead. ↩︎

  3. Puede usar cualquier aplicación móvil 2FA que admita el algoritmo estándar RFC 6238 para la generación de códigos de acceso únicos basados en el tiempo. For instance, Google Authenticator, Microsoft Authenticator, Twilio's Authy, etc. ↩︎

  4. Asegúrese de que el certificado utilizado por el servicio de Space también sea válido en la máquina cliente. De lo contrario, el navegador le mostrará un mensaje de advertencia ("conexión no confiable"). What is worse, the client machine will not be able to receive real-time notifications from the server (such as door openings in the monitoring window). ↩︎

  5. The "InstallDir" switch (used to specify the destination folder) is supported in Space version 4.0.3.11 or earlier. ↩︎

SALTO SYSTEMS, S. L. utiliza dispositivos de almacenamiento y recuperación de datos de terceros para permitir una navegación más segura y comprender mejor cómo interactúan los usuarios con el sitio web con el fin de mejorar nuestros servicios. Puedes aceptar todas las cookies haciendo clic en el botón "Aceptar cookies" o rechazar su uso pulsando en el botón "Rechazar cookies". Para más información, visita nuestra Política de cookies