Consideraciones de Seguridad

OMniLeads es una aplicación que combina tecnologías Web (https), WebRTC (wss & sRTP) y VoIP (SIP & RTP). Esto implica cierta complejidad a la hora de desplegarlo en producción bajo un escenario de exposición a Internet.

En el lado Web de las cosas lo ideal es implementar un Reverse Proxy o Load Balancer delante de OMnileads, es decir expuesto a Internet (TCP 443) y que reenvíe las solicitudes al Nginx del stack de OMniLeads. En cuanto a VoIP, cuando se conecta a la PSTN a través de VoIP, es ideal para operar detrás de un SBC (Session Border Controller) expuesto a Internet. Sin embargo, podemos utilizar de manera inteligente la tecnología Cloud Firewall cuando operamos sobre VPS expuestos a Internet. A continuación, se muestran las reglas de firewall que se aplicarán en la instancia All In One:

• 443/TCP Nginx: aquí es donde se procesan las solicitudes Web/WebRTC a Nginx. El puerto 443 se puede abrir a todo Internet.

• 20000-30000/UDP: WebRTC sRTP RTPengine: este rango de puertos se puede abrir a todo Internet.

• 5060/UDP Asterisco: Aquí es donde se procesan las solicitudes SIP para llamadas entrantes de los ITSP. Este puerto debe abrirse restringiendo por origen en la(s) IP(s) del(de los) proveedor(es) de terminación PSTN SIP.

• 40000-50000/UDP VoIP RTP Asterisk: este rango de puertos debe abrirse restringiendo por origen en las IP de los proveedores de terminación PSTN SIP.

• 9090/TCP Prometheus (opcional, solo si vas a monitorear con grafana y prometheus): Aquí es donde se procesan las conexiones provenientes de la central de monitoreo, más precisamente de Prometheus Master. Este puerto se puede abrir restringiendo por origen en la IP del centro de monitoreo.

• 3100/TCP Loki (opcional, solo si vas a centralizar logs de contenedores con grafana y loki): aquí es donde se procesan las conexiones provenientes de la central de monitoreo, más precisamente de Grafana. Este puerto se puede abrir restringiendo por origen en la IP del centro de monitoreo.