⛔Firewall
Encontrarás información relacionada con la configuración necesaria si cuentas con firewall en la red donde operará Videsk.
Por defecto, utilizamos el puerto 443 para todas las conexiones sobre TCP y UDP.
Esta información te ayudará a configurar correctamente lo necesario para que Videsk logre operar en un entorno protegido por WAFs de tu negocio.
Te reocmendamos opcionalmente leer sobre ciertos conceptos, para ello te recomendamos dirigirte a la siguiente sección.
☝️Conceptos🖇️Tipos de NATServicios de Videsk
Videsk se desploza en tres grandes componentes:
Infraestructura lógica
Infraestructura de medios (red TURN)
Infraestructura de componentes UI
Los componentes lógicos y componentes UI operan sobre puertos 443 sobre protocolo TCP, como cualquier recurso web. Mientras que en el caso de nuestra infraestructura de medios, mas conocida como red TURN es un poco más complejo, pero principalmente operan sobre puerto 443.
Particularmente, en este último caso disponemos de la siguiente nomenclatura de FQDN para nuestra red TURN:
{country}-{location}{number}.turn.videsk.io
Ejemplo: us-west1.turn.videsk.io
Esto permite identificar qué país y ubicación se encuentra el servidor. Por lo tanto, puedes realizar un listado blanco por wildcard o bien por cada servidor FQDN o IP. Esto debido, a que la selección del servidor a utilizar dependerá de la ubicación física del usuario (cliente y agente) con el objetivo de reducir latencia.
En caso de una conexión internacional, ambos cliente y ejecutivo se encuentren en continentes diferentes, la comunicación se realizará a través de nuestra red.
Ambientes de red
Dependiendo del caso a uso en tu negocio se debería configurar en tu firewall ciertas reglas para asegurar la operación de la plataforma.
Solo es necesario aplicar las siguientes reglas a tu firewall en caso que las políticas sean muy restrictivas o por dominios. Todo nuestro tráfico se realiza en el puerto 443 DTLS (UDP) y TLS (TCP), y solo como respaldo 80 (TCP).
| Caso | Escenario | Solución |
|---|---|---|
Home office + VPN | Firewall con bloqueo por dominios | Añadir |
Sucursales o tiendas | Firewall permite solo tráfico 443 sobre TCP | Se sugiere permitir protocolo UDP para |
Oficina | Segmentos de red con NAT simétrico | Asegurar tráfico UDP/TCP sobre puerto 443 |
MPLS | Firewall con análisis de tráfico DPI, alta latencia | Desactivar DPI para tráfico |
Si posees un firewall de capa 3, contáctanos a [email protected], con el asunto: "IPs turn servers list", para obtener el listado de IP de nuestros servidores. Verificaremos tu identidad asociada a la organización.
Como mínimo se debe permitir tráfico por protocolo TCP.
No se recomienda utilizar únicamente protocolo TCP, debido a la naturaleza del protocolo y la alta latencia que podría provocar en la comunicación.
Dominios
Videsk solo utiliza un único dominio base: videsk.io, esto para toda la operación crítica.
La forma más sencilla de permitir todo el tráfico de Videsk sobre el puerto 443 es listando de manera wildcard:
*.videsk.io
Al añadir nuestro dominio wildcard, aseguras el funcionamiento de toda nuestra infraestructura en tu red. Existen otras opciones, en caso que no cuentes con un firewall con esas capacidades.
Solo es necesario aplicar las reglas a tu firewall en caso que las políticas sean muy restrictivas o por dominios. Todo nuestro tráfico se realiza en el puerto 443 DTLS (UDP) y TLS (TCP), y solo como respaldo 80 (TCP).
Infraestructura TURN
Deberás añadir nuestro dominio wilcard de servidores TURN a una lista blanca:
| Dominio | Puertos | Protocolos | TLS |
|---|---|---|---|
*.turn.videsk.io | 44380 | TLS (TCP)DTLS (UDP)TCP |
Infraestructura lógica y UI
Para las demás aplicaciones como nuestras API, dashboard, consola, etc. se encuentran como subdominios de primer nivel *.videsk.io todos con conexiones cifradas por TLS.
| Dominio | Puerto(s) | Protocolo(s) | Descripción |
|---|---|---|---|
api.videsk.io | 443 | TCP | Core API |
app.videsk.io | 443 | TCP | Dashboard admin |
console.videsk.io | 443 | TCP | Consola agente |
cdn.videsk.io | 443 | TCP | Recursos CDN |
agamotto.videsk.io | 443 | TCP | API grabación |
exchange.videsk.io | 443 | TCP | API señalización |
rt.videsk.io | 443 | TCP | API Websocket |
assets.videsk.io | 443 | TCP | Recursos CDN (en transición) |
Sugerimos no utilizar direcciones IP, ya que nuestra infraestructura varía dependiendo de la posición geográfica, por lo que podemos incrementar el número de servidores o disminuirlos según la demanda, no recomendamos utilizar las IPs.
Extras
Adicionalmente y opcionalmente a los dominios anteriores, sugerimos añadir los siguientes dominios wildcard de servicios de terceros, los cuales nos permiten entregar un mejor soporte.
| Dominio | Puertos(s) | Protocolo(s) | RS | Descripción |
|---|---|---|---|---|
*.ingest.sentry.io | 443 | TCP | Ingestor de errores | |
*.lr-ingest.io | 443 | TCP | Monitor de sesiones | |
*.pendo.io | 443 | TCP | Análitica de uso | |
cloudflareinsights.com | 443 | TCP | Analítica de tráfico |
RS (Required for support), significa que son dominios escenciales para proveer de soporte proactivo o reactivo. De no estar disponibles, los tiempos de respuesta se extienden.
Puertos
Utilizamos puerto estándar 443, tanto para comunicación con nuestra API como nuestros servidores TURN.
Solo para el caso de nuestra red TURN utilizamos conexiones cifradas mediante puerto 443 sobre protocolo UDP (DTLS) y TCP (TLS), el cual se adaptará automáticamente dependiendo de la disponibilidad UDP de la red. Mientras que el puerto 80 sobre TCP como medio de respaldo en caso que no sea posible usar cifrado en la conexión.
Evita capturar paquetes de forma activa para analisis de tráfico DPI (Deep Packet Inspection), ya que son conexiones cifradas y provocarás alta latencia en la comunicación.
Subprocesadores
Es importante para entregar el mejor servicio, que nuestros sistemas de monitoreo no sean bloqueados por extensiones del navegador, equipo o redes. De lo contrario dificulta a nuestro equipo identificar y resolver problemas de forma proactiva.
Cloudflare
Nuestros servicios se encuentran detrás nuestro proxy WAF Cloudflare, la lista de servidores se encuentran en el siguiente enlace: https://www.cloudflare.com/ips/
Sentry
La lista de IP de nuestro monitor de errores Sentry se encuentra en el siguiente enlace: https://docs.sentry.io/product/security/ip-ranges/
LogRocket
Utilizamos un monitor de sesiones llamado LogRocket, actualmente no es posible listar por IP, por lo que sugerimos utilizar listas blancas por dominio base.
Última actualización