US English (US)
FR French
DE German
ES Spanish
IT Italian
PL Polish
BR Portuguese (Brazil)

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Contact Us
  • Submit a Diagnostic Report
Spanish
US English (US)
FR French
DE German
ES Spanish
IT Italian
PL Polish
BR Portuguese (Brazil)
  • Home

Cortafuegos y redes seguras

Written by TJ Salyars

Updated at April 3rd, 2024

Contact Us

If you still have questions or prefer to get help directly from an agent, please submit a request.
We’ll get back to you as soon as possible.

Please fill out the contact form below and we will reply as soon as possible.

  • Primeros pasos para los asesores
  • Primeros pasos para los gerentes
  • Importación de jugo de ayuda
  • Administrar su organización
  • Gestión de VoiceHub
  • Asistencia a sus clientes
  • Localización de averías
  • Integración
  • Ayuda para asesores
  • Preguntas frecuentes
+ More

La organización de TI de su concesionario puede bloquear el acceso a ciertos sitios web o funcionalidades web. Comparta este artículo con su departamento de TI y pídales que se aseguren de que su infraestructura de red esté configurada correctamente para incluir en la lista blanca todos los rangos de puertos e IP necesarios para que ExpertConnect y sus funciones funcionen de manera óptima.

Configuración de dominio

Agregue los siguientes dominios de destino y los puertos correspondientes a la lista blanca de su firewall:

*.expertconnect.deere.com
*.expertconnect.support
TCP port 443
UDP port 443

La comunicación en los dominios enumerados anteriormente se realiza de forma segura mediante el puerto HTTPS 443. Asegúrese de que se permita el tráfico tanto entrante como saliente.

Configuración de VoiceHub

La función VoiceHub en ExpertConnect proporciona capacidades VoIP para comunicación en tiempo real.

Servidores de medios

El servidor Secure Media (ICE/STUN/SRTP) utilizando la siguiente configuración de red:

  • Protocolo: UDP
  • Rangos de IP de destino: 168.86.128.0/18
  • Rango de puerto de destino: 10000-60000

La IP de origen puede ser CUALQUIER y el puerto de origen puede ser CUALQUIER. El puerto de origen se seleccionará del rango de puertos efímeros ; en la mayoría de las máquinas, este es el rango de puertos de 1024 a 65535.

Tenga en cuenta que los puertos deben estar abiertos tanto para el tráfico entrante como para el saliente .

Aquí hay una representación visual del flujo de conectividad:

¿Por qué tantos puertos?

Debido a la naturaleza de la comunicación en tiempo real en la web (WebRTC), se necesita una variedad de direcciones, puertos y protocolos de transporte.

Configuración de vídeo (WebRTC)

La videollamada se realiza a través del protocolo WebRTC y el dominio y los puertos de seguimiento deben estar incluidos en la lista blanca para la comunicación bidireccional.

.agora.io
.edge.agora.io
.sd-rtn.com
.edge.sd-rtn.com
web-1.ap.sd-rtn.com
web-2.ap.sd-rtn.com
ap-web-1.agora.io
ap-web-2.agora.io
webcollector-rtm.agora.io
logservice-rtm.agora.io
rtm.statscollector.sd-rtn.com
rtm.logservice.sd-rtn.com
Tipo Protocolo Puertos de destino
Vídeo Web tcp
80; 443; 3433; 4700 - 5000; 5668; 5669; 6080; 6443; 8667; 9667; 30011 - 30013 (para convertidor RTMP)
Vídeo Web UDP 3478; 4700 - 5000
Web de señalización tcp 443; 6443; 9591; 9593; 9601
Señalización nativa tcp 8443; 9130; 9131; 9136; 9137; 9140, 9141
Señalización nativa UDP 1080; 8000; 8130; 8443; 9120; 9121; 9700; 25000

Configuración de correo electrónico

Los concesionarios con filtros de SPAM que bloquean los correos electrónicos de verificación de ExpertConnect pueden incluir nuestra IP en la lista blanca.

Dirección IP: 149.72.202.18

Máscara de subred: 255.255.255.255

Probando su red

Contamos con una herramienta de diagnóstico para probar su dispositivo y la configuración de red.

Visite: https://diagnostics.expertconnect.deere.com para probar su dispositivo.

 

Preguntas frecuentes sobre seguridad

P: ¿Esto es entrante o saliente o afecta el tráfico en ambos sentidos?

R: Estas configuraciones de red y firewall afectan el tráfico de llamadas de voz (VoiceHub) entrantes y salientes.

 

P: ¿Por qué ExpertConnect requiere una gama tan amplia de direcciones IP/puertos?

R: Debido a la creciente base de clientes y al crecimiento del tráfico en nuestra plataforma, este mayor rango nos ayuda a brindar confiabilidad y escalabilidad en el futuro previsible.

 

P: ¿No es un riesgo para nuestra seguridad tener tantas IP/puertos abiertos?

R: El rango de IP en la sección respectiva es propiedad de nuestro proveedor de comunicaciones (denominado CPV) y está registrado en ARIN. Este no es un rango de IP efímero que corre el riesgo de ser reciclado por nuestros proveedores de nube y podría ser utilizado potencialmente por otra organización en el futuro. Teniendo esto en cuenta, nuestra posición de CPV es que se trata de una mejora de seguridad con respecto al paradigma anterior. a pesar de la(s) gama(s) más amplia(s).

Es un riesgo de seguridad tener en la lista todas las IP/puertos permitidos. Si un atacante puede tomar el control de una IP o puerto de un rango determinado, puede apoderarse de otros, por lo que la amenaza no aumenta con la cantidad de IP o puertos abiertos.

 

P: El tamaño de la lista de permitidos es una preocupación, esto le da al atacante más superficie para adjuntar y no proporciona la cobertura de seguridad que necesitamos.

R: Cada sesión de medios RTP es negociada por uno de los pocos bordes de señalización CPV confiables. Los IP/puertos aquí se refieren al borde de medios CPV. Por lo tanto, debe permitir que se envíe y reciba tráfico UDP desde los rangos de direcciones IP publicados. Sin embargo, no necesita abrir ninguna IP o puerto adicional de su lado.

 

P: ¿Por qué otros productos no tienen requisitos tan amplios?

R: No podemos hablar de los procesos de toma de decisiones de otros productos/ofertas o sus diseños arquitectónicos, pero sí vemos otros con requisitos muy similares. Por ejemplo: Telnyx tiene un único rango de IP no regional /19, y Zoom Phone y Zoom Contact Center tienen un rango de puertos UDP de 20000-64000 como referencia.

 

P: Queremos aprender más sobre WebRTC.

R: WebRTC (Web Real-Time Communications) es un protocolo avanzado empleado para facilitar capacidades de comunicación en tiempo real, como voz, video e intercambio de datos directamente dentro de los navegadores web. Esta tecnología establece una conexión de igual a igual entre navegadores que, si bien es eficiente, introduce ciertas vulnerabilidades de seguridad. WebRTC utiliza predominantemente un espectro de puertos UDP, junto con puertos TCP ocasionales, para permitir esta conectividad.

En términos de configuración del firewall, WebRTC requiere la apertura de una amplia gama de puertos, generalmente dentro del rango dinámico o efímero de 49152 a 65535 para el tráfico UDP. Este requisito surge de la utilización por parte del protocolo de técnicas de "perforación", que son esenciales para navegar a través de firewalls y sistemas de traducción de direcciones de red (NAT). Este método es crucial para permitir que pares situados en redes dispares se ubiquen y se conecten sin la intermediación de un servidor central.

Aunque la necesidad de múltiples puertos de firewall abiertos puede parecer inicialmente un problema de seguridad importante, es crucial reconocer que WebRTC está inherentemente diseñado para admitir comunicaciones seguras. Los posibles riesgos de seguridad que plantean estos puertos abiertos se pueden mitigar eficazmente mediante la configuración estratégica de la red y la adopción de protocolos de seguridad complementarios. Los cortafuegos, por ejemplo, pueden configurarse meticulosamente para minimizar las vulnerabilidades y obstruir el tráfico injustificado. Además, la implementación de salvaguardas adicionales, como redes privadas virtuales (VPN), puede ofrecer una capa adicional de seguridad. En resumen, si bien la implementación de WebRTC exige la apertura de una amplia gama de puertos de firewall, los riesgos potenciales de seguridad son manejables y pueden aliviarse sustancialmente mediante una gestión juiciosa de la red y la aplicación de medidas de seguridad sólidas.

ExpertConnect se ha integrado con los servicios CPV para facilitar las llamadas de voz/video, utilizando el protocolo WebRTC/Signaling. Este protocolo avanzado requiere la aprobación previa de ciertos dominios y puertos dentro de redes con restricciones de seguridad. Los dominios especificados son cruciales para el inicio y ejecución de llamadas de voz/video a través de las plataformas web y móviles de ExpertConnect .

 

P: ¿Qué pasa con la privacidad de datos para voz, video, intercambio de datos y seguridad?

R: ExpertConnect cumple con las políticas y estándares de seguridad establecidos por Deere y se centra en proteger la privacidad y los datos del distribuidor. Esto incluye garantizar un aislamiento adecuado de las actividades relacionadas con los distribuidores. Todos los servicios CPV integrados en ExpertConnect cumplen con estos altos estándares, ofreciendo información detallada sobre sus medidas de seguridad y políticas de cumplimiento. Al seleccionar un proveedor RTE PaaS, se presta especial atención a las capacidades de geoenrutamiento y geocercado. Esto garantiza que el proveedor seleccionado pueda proporcionar un servidor perimetral cerca del usuario, vital para un enrutamiento de datos eficiente.

En cuanto a la privacidad de los datos, nuestros servicios CPV evitan estrictamente la recopilación de datos personales de los usuarios, excepto direcciones IP y datos operativos necesarios para llamadas de voz/vídeo. ExpertConnect prioriza la privacidad del usuario y comparte solo datos esenciales del usuario, como un identificador interno, para iniciar el SDK del cliente para las sesiones de llamadas. La transmisión de llamadas de voz y video es administrada por servidores CPV RTN, utilizando enrutamiento geográfico para coincidir con la región de la nube del usuario. La implementación de estos SDK de servicios CPV dentro de ExpertConnect no permite que otros usuarios accedan o realicen actividades no autorizadas en la plataforma.

Además, como parte de Deere, ExpertConnect realiza periódicamente evaluaciones de vulnerabilidades y auditorías de seguridad, e implementa protecciones contra ataques. Esto se complementa con un proceso definido para informar y mitigar cualquier problema de seguridad, garantizando una vigilancia continua y capacidad de respuesta ante posibles amenazas.

P: ¿Esta configuración no funcionará para nosotros?

R: Es muy probable que los usuarios ExpertConnect en su concesionario encuentren interrupciones en el servicio si estas direcciones IP/intervalos de puertos no están en la lista permitida.

 

Servicios de proxy

Se pueden poner a disposición varios servicios de proxy si lo anterior no funciona. Envíe un correo electrónico a expertconnect@johndeere.com e incluya a un miembro de su equipo de TI.

¿Aún tienes problemas?

Si aún tiene problemas, envíe un correo electrónico a expertconnect@johndeere.com e incluya a un miembro de su equipo de TI.

Was this article helpful?

Yes
No
Give feedback about this article

Related Articles

  • Asesores Externos en su Organización
  • Portar su número de voz de Google
  • Panel de información
  • Bloquear llamadas no deseadas (SPAM)
Feedback

United States
  • Terms and Conditions

Content is protected by copyright. Copying, modifying, or reposting content is prohibited. Copyright © 2023 Deere & Company. All Rights Reserved


Knowledge Base Software powered by Helpjuice

Expand