Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Moin Alle,

ich würde gerne meine Videokonferenz durch einen Paketfilter laufen lassen. Protokoll ist H323. (Vorgaben)

Hat da jemand schon Erfahrungen mit IPTABLES und H323 ?

Und wie sieht es mit VPN aus ?

Oder vielleicht mit Proxy ?

Welche Gefahren gibt es mit den Protokollen ?

Gruß, Tom.

Geschrieben

VPN: Kommt drauf an, welches VPN-Protokoll genutzt wird (PPTP, L2TP ohne IPsec, L2TP mit IPsec ohne NAT-T, L2TP mit IPsec und NAT-T, OpenVPN oder ...).;)

VPN wuerde ich nicht nur mit einem Paketfilter (iptables) ermoeglichen, sondern auch einen Proxy einsetzen, der fuer die VPN-Clients nur das Notwendige durchlaesst. D.h. so weit einschraenken, dass VPN-Clients nur auf bestimmte Server zugreifen und/oder nur bestimmte getunnelte Protokolle nutzen duerfen.

Anderes Stichwort bei VPN: VPN-Quarantaene

Wie stellst Du sicher, dass nur Systeme mit bestimmten Voraussetzungen (z.B. aktueller Virenscanner, aktuelle Patches, keine anderen offenen Verbindungen bei geoeffneter VPN-Sitzung) auf Dein Netzwerk als VPN-Clients zugreifen duerfen und somit Systeme, die Deinen Voraussetzungen nicht entsprechen entweder abgewiesen oder auf extra eingerichtete Updateserver gelenkt werden?

Ohne die Beachtung der beiden genannten Punkte - Zugriffseinschraenkung der VPN-Clients auf das Notwendigste und Nutzung von VPN-Quarantaene-Mechanismen - wird mit VPN eine weitere potentielle Gefahrenquelle geoeffnet.;)

H.323 verwendet diese Ports:

389 TCP (ILS)

522 TCP (User Location Service)

1503 TCP (T.120)

1720 TCP (H.323 call setup)

1731 TCP (Audio call control)

Zusaetzlich werden für H.323 weitere dynamische Ports für Call Control (ebenfalls TCP) und das eigentliche Streaming der Daten (UDP) verwendet.

Viele Firewalls haben wegen den zusaetzlichen dynamischen Ports grosse Probleme mit H.323. Abhilfe schaffen hier H.323-Gatekeeper.

Geschrieben

Moin,

um zu unserem Gatekeeper zu kommen muß ich aber durchs Internet. (Vorgabe) Und so einfach unsere Firewall abzuschallten ist nicht. VPN hab ich erst einmal zurückgestellt. Firewall hat Vorrang. Würde es reichen den 2.4er Kernel mit h323-contrack-nat zu patchen, das Module zu laden und die Ports explizit freizuschallten ?

tcp / 389

tcp / 522

tcp / 1503

tcp / 1720

tcp / 1731

Gruß, Tom.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...