Hallo,
Kunde hat 1711VPN im Einsatz. Nun soll darüber auch eine Videokonferenz laufen.
Dazu müssen einige Ports freigeschaltet werden. Die Videokonferenz sollte auf mehreren Rechnern intern genutzt werden können. Über die Portforwarding-Tabelle kann ich die Ports ja nur an eine interne IP-Adresse umleiten.
Wie kann ich dies sonst lösen?
Generelle Frage: Ist dies überhaupt sicherheitstechnisch empfehlenswert?
Danke schon mal!
Grüße
waldmeister24
Ports für Videokonferenz...
Moderator: Lancom-Systems Moderatoren
Hi waldmeister24
wenn die Videokonferenz H.323 benutzt und die Verbindungen nur "von innen nach aussen" aufegbaut werden, dann barauchst du gar nichts freischalten, denn das LANCOM kann H.323 maskieren.
Anders sieht es aus, wenn die Verbindungen von "aussen nach innen" aufgebaut werden, dann kannst du tatsächlich nur an einen Teilnehmer eine Weiterleitung konfigurieren. Für H.323 müßtest du die TCP-Ports 1503 und 1720 weiterleiten.
Gruß
Backslash
wenn die Videokonferenz H.323 benutzt und die Verbindungen nur "von innen nach aussen" aufegbaut werden, dann barauchst du gar nichts freischalten, denn das LANCOM kann H.323 maskieren.
Anders sieht es aus, wenn die Verbindungen von "aussen nach innen" aufgebaut werden, dann kannst du tatsächlich nur an einen Teilnehmer eine Weiterleitung konfigurieren. Für H.323 müßtest du die TCP-Ports 1503 und 1720 weiterleiten.
Gruß
Backslash
-
waldmeister24
- Beiträge: 241
- Registriert: 18 Mär 2005, 23:21
Hallo backslash,
vielen Dank für deine Antwort.
Zwei Fragen hab ich noch:
1. Mit "von innen nach außen" meinst du, wenn jemand im Netz des Kunden die Videokonferenz startet, oder?
2. Wenn ich nun eine "Deny-All"-Strategie fahre und die benötigten Ports (HTTP, POP3, SMTP, usw.) freigeschaltet habe, muß ich dann für die Videokonferenz was konfigurieren oder klappt das auch so?
Grüße
waldmeister24
vielen Dank für deine Antwort.
Zwei Fragen hab ich noch:
1. Mit "von innen nach außen" meinst du, wenn jemand im Netz des Kunden die Videokonferenz startet, oder?
2. Wenn ich nun eine "Deny-All"-Strategie fahre und die benötigten Ports (HTTP, POP3, SMTP, usw.) freigeschaltet habe, muß ich dann für die Videokonferenz was konfigurieren oder klappt das auch so?
Grüße
waldmeister24
Hi waldmeister24
Gruß
Backslash
ja... vom LAN ins WAN...1. Mit "von innen nach außen" meinst du, wenn jemand im Netz des Kunden die Videokonferenz startet, oder?
Verbindungen zu den Zielports 1503 und 1720 müssen natürlich -genau so wie bei HTTP, POP3, etc. - erlaubt sein...2. Wenn ich nun eine "Deny-All"-Strategie fahre und die benötigten Ports (HTTP, POP3, SMTP, usw.) freigeschaltet habe, muß ich dann für die Videokonferenz was konfigurieren oder klappt das auch so?
Gruß
Backslash
-
waldmeister24
- Beiträge: 241
- Registriert: 18 Mär 2005, 23:21
Hallo,
jetzt muss ich nochmal meinen etwas älteren Thread ausgraben.
Nachdem ich damals hier nachgefragt hatte, war es für den Kunden nicht mehr so wichtig. Jetzt aber bräuchte er es doch wieder.
Auf dem 1711 hab ich eigentlich die benötigten Ports freigegeben, lt. Kundenangabe kommt aber keine Verbindung zustande. Man sieht, daß eine Verbindungsanfrage bei dem System ankommt, aber sie wird nicht aufgebaut.
Mit manchen "Testservern" kann er zwar eine Verbindung herstellen, aber es erscheint kein Bild. Baut er die Verbindung mit einem Programm auf einem Notebook auf, klappt es auch mit dem Bild.
Das Videokonferenzsystem ist von Polycom und nutzt H.323. Folgende Ports hab ich in der Port-Forwarding-Tabelle freigegeben:
Anfangsport | Endport | Map-Port | Protokoll | WAN-Adresse
1503 1503 0 TCP 0.0.0.0
1720 1720 0 TCP 0.0.0.0
1731 1731 0 TCP 0.0.0.0
3230 3243 0 TCP 0.0.0.0
3230 3285 0 UDP 0.0.0.0
Firmware ist übrigens auf dem aktuellen Stand.
Ich weiß momentan nicht wo ich ansetzen sollte. Hat jemand eine Idee?
Gruß
waldmeister24
jetzt muss ich nochmal meinen etwas älteren Thread ausgraben.
Nachdem ich damals hier nachgefragt hatte, war es für den Kunden nicht mehr so wichtig. Jetzt aber bräuchte er es doch wieder.
Auf dem 1711 hab ich eigentlich die benötigten Ports freigegeben, lt. Kundenangabe kommt aber keine Verbindung zustande. Man sieht, daß eine Verbindungsanfrage bei dem System ankommt, aber sie wird nicht aufgebaut.
Mit manchen "Testservern" kann er zwar eine Verbindung herstellen, aber es erscheint kein Bild. Baut er die Verbindung mit einem Programm auf einem Notebook auf, klappt es auch mit dem Bild.
Das Videokonferenzsystem ist von Polycom und nutzt H.323. Folgende Ports hab ich in der Port-Forwarding-Tabelle freigegeben:
Anfangsport | Endport | Map-Port | Protokoll | WAN-Adresse
1503 1503 0 TCP 0.0.0.0
1720 1720 0 TCP 0.0.0.0
1731 1731 0 TCP 0.0.0.0
3230 3243 0 TCP 0.0.0.0
3230 3285 0 UDP 0.0.0.0
Firmware ist übrigens auf dem aktuellen Stand.
Ich weiß momentan nicht wo ich ansetzen sollte. Hat jemand eine Idee?
Gruß
waldmeister24
Hi waldmeister24,
du darfst *nur* die Ports 1503 und 1720 weiterleiten - alles andere erledigt das LANCOM. Eine explizite Weiterleitung der RTP-Ports ist sogar kontraproduktiv, weil das LANCOM diese bei der Maskierung des H.323 ändert und somit ein Verbindungasufbau scheitert.
Das hatte ich aber schon geschrieben...
Gruß
Backslash
du darfst *nur* die Ports 1503 und 1720 weiterleiten - alles andere erledigt das LANCOM. Eine explizite Weiterleitung der RTP-Ports ist sogar kontraproduktiv, weil das LANCOM diese bei der Maskierung des H.323 ändert und somit ein Verbindungasufbau scheitert.
Das hatte ich aber schon geschrieben...
Gruß
Backslash
-
waldmeister24
- Beiträge: 241
- Registriert: 18 Mär 2005, 23:21
Hallo backslash,
vielen Dank für deine Antwort. Sorry, da hatte ich deine Antwort wohl falsch verstanden
.
Ich werde nächste Woche die 3 überflüssigen Weiterleitungen rauslöschen. Und da ja jetzt der Verbindungsaufbau scheitert sollte es ja dann funktionieren.
Vielen Dank nochmal!
Gruß
waldmeister24
vielen Dank für deine Antwort. Sorry, da hatte ich deine Antwort wohl falsch verstanden
. Ich werde nächste Woche die 3 überflüssigen Weiterleitungen rauslöschen. Und da ja jetzt der Verbindungsaufbau scheitert sollte es ja dann funktionieren.
Vielen Dank nochmal!
Gruß
waldmeister24
-
waldmeister24
- Beiträge: 241
- Registriert: 18 Mär 2005, 23:21
Hallo,
jetzt muss ich diesen Thread nochmal aufgreifen, da noch Fragen aufgetaucht sind.
Dank der Hilfe hier funktioniert es nun einwandfrei. Jetzt ist aber die Frage nach der Sicherheit aufgetaucht. Sind die beiden geöffneten Ports ein spezielles Sicherheitsrisiko für das LAN? Hat hier jemand Erfahrungen zu Sicherheitsproblemen dazu?
Grüße
waldmeister24
jetzt muss ich diesen Thread nochmal aufgreifen, da noch Fragen aufgetaucht sind.
Dank der Hilfe hier funktioniert es nun einwandfrei. Jetzt ist aber die Frage nach der Sicherheit aufgetaucht. Sind die beiden geöffneten Ports ein spezielles Sicherheitsrisiko für das LAN? Hat hier jemand Erfahrungen zu Sicherheitsproblemen dazu?
Grüße
waldmeister24
Hi waldmeister24
prinzipiell sind natürlich geöffnete Ports immer ein Sicherheitsrisiko... Aber ohne ist es nunmal nicht möglich Rufe anzunehmen.
Hier mußt du schon dem Betriebssystem auf dem das Konferenzsysstem läuft - und natürlich auch dem Konferenzsysstem selbst - vertrauen, daß es nicht durch irgendwelche "kaputten" Pakete einen Zugriff mit Adminrechten ermöglicht.
Da die Weiterleitungen ja nur auf einen Host gehen, muß natürlich nur dieser sicher sein. Bei Videokonferenzsystemen kann es natürlich passieren, daß der Kontrollrechner die Videodaten direkt mit dem Zielrechner verschaltet, welcher dadurch natürlich auch sicher sein muß...
Das sicherste System ist nunmal das, was keine Verbindung nach aussen hat...
Gruß
Backslash
prinzipiell sind natürlich geöffnete Ports immer ein Sicherheitsrisiko... Aber ohne ist es nunmal nicht möglich Rufe anzunehmen.
Hier mußt du schon dem Betriebssystem auf dem das Konferenzsysstem läuft - und natürlich auch dem Konferenzsysstem selbst - vertrauen, daß es nicht durch irgendwelche "kaputten" Pakete einen Zugriff mit Adminrechten ermöglicht.
Da die Weiterleitungen ja nur auf einen Host gehen, muß natürlich nur dieser sicher sein. Bei Videokonferenzsystemen kann es natürlich passieren, daß der Kontrollrechner die Videodaten direkt mit dem Zielrechner verschaltet, welcher dadurch natürlich auch sicher sein muß...
Das sicherste System ist nunmal das, was keine Verbindung nach aussen hat...
Gruß
Backslash