Clemens Wohld
* On Tue, Aug 15, 2000 at 01:57:54PM +0200, Joerg Henner wrote:
On Die, 15 Aug 2000, Clemens Wohld wrote:
hat hier jemand eine clevere Lösung trotz "Netmeeting" eine firewall aufzuziehen? [...] das problem ist ganz einfach das H.323 (netmeeting) dynamische UDP-Ports verwendet
Nicht nur UDP-Ports. Das Call-Signalling laeuft zwar in der Regel ueber einen festgelegten TCP-Port (1720), aber da kommen auch noch andere TCP-Verbindungen (fuer H.245) ins Spiel, die nicht mit festen Ports arbeiten.
- und sorry, dabei kann man beim besten willen nimmer von firewall reden ... ganz egal welches produkt man dann einsetzt.
Betroffen ist wahrscheinlich nur ein bestimmter Bereich von Ports, die fuer dynamische Vergabe verwendet werden (kann man bei Windows eigentlich von >1024 ausgehen?), was einen Schutz der uebrigen Ports, immer noch moeglich macht. Aber in dem betreffenden Bereich ist natuerlich nicht viel zu machen -- fuer unkontrollierbare Uebertragungen reicht das.
Mein denken 2.!! Volles ACK. Da kann man anscheinend die fw weglassen weil man's niemmer firewall nennen dürfte.
Na ja, ganz weglassen waere auch keine gute Idee. Immerhin lassen sich auch dann noch eine Reihe von Angriffen blockieren, wenn man nur einen Teil der Ports sperren kann. Der Schutz ist "nur" nicht mehr vollstaendig.
So wie ich das seh sind ja anscheinend fast ALLE unpreveligierten ports mal dann wann zu öffnen.
Das grosse Problem ist, dass (nicht nur) H.323 die Sprachuebertragung per RTP vorsieht, und das basiert nun einmal auf UDP. Daran laesst sich auch wenig aendern, da TCP sich nicht fuer die Uebertragung von Medienstroemen in Echtzeit eignet. Waehrend man bei TCP noch unterscheiden kann, ob eine Verbindung von innen oder von aussen initiiert wird, und somit gezielt eine Richtung verbieten kann, hat man es bei UDP einfach nur mit einzelnen Paketen zu tun -- da sieht eines wie das andere aus und es gibt keine festen Verbindungen, denen man sie zuordnen koennte. Man muesste schon die gesamte Aushandlung der Parameter zwischen den beteiligten Endpunkten mitlesen, um dynamisch nur die gerade benoetigten Ports freischalten zu koennen. Das duerfte ein ziemlicher Aufwand sein...
Zumindest so was ich bislang an Infos habe. Die M$ler kommen aber auch immer wieder auf Klopper ..tststs
Ausnahmsweise mal kein MS-spezifisches Problem :( Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com