tuxtom Geschrieben 4. August 2005 Geschrieben 4. August 2005 Moin Alle, ich würde gerne meine Videokonferenz durch einen Paketfilter laufen lassen. Protokoll ist H323. (Vorgaben) Hat da jemand schon Erfahrungen mit IPTABLES und H323 ? Und wie sieht es mit VPN aus ? Oder vielleicht mit Proxy ? Welche Gefahren gibt es mit den Protokollen ? Gruß, Tom. Zitieren
hades Geschrieben 4. August 2005 Geschrieben 4. August 2005 VPN: Kommt drauf an, welches VPN-Protokoll genutzt wird (PPTP, L2TP ohne IPsec, L2TP mit IPsec ohne NAT-T, L2TP mit IPsec und NAT-T, OpenVPN oder ...). VPN wuerde ich nicht nur mit einem Paketfilter (iptables) ermoeglichen, sondern auch einen Proxy einsetzen, der fuer die VPN-Clients nur das Notwendige durchlaesst. D.h. so weit einschraenken, dass VPN-Clients nur auf bestimmte Server zugreifen und/oder nur bestimmte getunnelte Protokolle nutzen duerfen. Anderes Stichwort bei VPN: VPN-Quarantaene Wie stellst Du sicher, dass nur Systeme mit bestimmten Voraussetzungen (z.B. aktueller Virenscanner, aktuelle Patches, keine anderen offenen Verbindungen bei geoeffneter VPN-Sitzung) auf Dein Netzwerk als VPN-Clients zugreifen duerfen und somit Systeme, die Deinen Voraussetzungen nicht entsprechen entweder abgewiesen oder auf extra eingerichtete Updateserver gelenkt werden? Ohne die Beachtung der beiden genannten Punkte - Zugriffseinschraenkung der VPN-Clients auf das Notwendigste und Nutzung von VPN-Quarantaene-Mechanismen - wird mit VPN eine weitere potentielle Gefahrenquelle geoeffnet. H.323 verwendet diese Ports: 389 TCP (ILS) 522 TCP (User Location Service) 1503 TCP (T.120) 1720 TCP (H.323 call setup) 1731 TCP (Audio call control) Zusaetzlich werden für H.323 weitere dynamische Ports für Call Control (ebenfalls TCP) und das eigentliche Streaming der Daten (UDP) verwendet. Viele Firewalls haben wegen den zusaetzlichen dynamischen Ports grosse Probleme mit H.323. Abhilfe schaffen hier H.323-Gatekeeper. Zitieren
tuxtom Geschrieben 8. August 2005 Autor Geschrieben 8. August 2005 Moin, um zu unserem Gatekeeper zu kommen muß ich aber durchs Internet. (Vorgabe) Und so einfach unsere Firewall abzuschallten ist nicht. VPN hab ich erst einmal zurückgestellt. Firewall hat Vorrang. Würde es reichen den 2.4er Kernel mit h323-contrack-nat zu patchen, das Module zu laden und die Ports explizit freizuschallten ? tcp / 389 tcp / 522 tcp / 1503 tcp / 1720 tcp / 1731 Gruß, Tom. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.