* On Thu, Aug 17, 2000 at 11:36:16PM +0200, Eilert Brinkmann wrote:
Clemens Wohld
wrote: * On Tue, Aug 15, 2000 at 01:57:54PM +0200, Joerg Henner wrote:
On Die, 15 Aug 2000, Clemens Wohld wrote:
hat hier jemand eine clevere Lösung trotz "Netmeeting" eine firewall aufzuziehen? [...] das problem ist ganz einfach das H.323 (netmeeting) dynamische UDP-Ports verwendet
Nicht nur UDP-Ports. Das Call-Signalling laeuft zwar in der Regel ueber einen festgelegten TCP-Port (1720), aber da kommen auch noch andere TCP-Verbindungen (fuer H.245) ins Spiel, die nicht mit festen Ports arbeiten.
Nicht nur,.... Da wären dann noch Dienst protocoll port CosmoCalling register-Port (tcp) 2324 www (tcp) 80 H.323 ports: ILS (tcp) 389 ULS (tcp) 522 T.120 (tcp) 1503 H.323 callsetup (tcp) 1720 Audio call contr. (tcp) 1731 H.323 call contr. (tcp) dynamic H.323 stream (rtp over udp) dynamic M$ Exchanche: (gehört nunmal dazu) RPC Communic. (tcp) 135 Directory services (tcp) stat. assigned Inform. services (tcp) stat. assigned Das ist dann schon beinahe gewesen......ohhh help. Ich kann mich mit sowas garnicht anfreunden. Mag sein das ich den "Stuss" den M$ so vabriziert nicht nachfolziehen kann. *sorry* ..iss so ,)
- und sorry, dabei kann man beim besten willen nimmer von firewall reden ... ganz egal welches produkt man dann einsetzt.
Betroffen ist wahrscheinlich nur ein bestimmter Bereich von Ports, die fuer dynamische Vergabe verwendet werden (kann man bei Windows eigentlich von >1024 ausgehen?),
Neee, das wäre ja schon ein Stückweit normaler....
was einen Schutz der uebrigen Ports, immer noch moeglich macht. Aber in dem betreffenden Bereich ist natuerlich nicht viel zu machen -- fuer unkontrollierbare Uebertragungen reicht das.
Ich sag nur; schnell die DMZ aufstellen ;) Dort die Nettmeetingmaschinen und ExChange-server rein. Wenn DNS-server vorhanden den auch noch. Nur das blöde,.....es ist ein DHCP-system :(
Mein denken 2.!! Volles ACK. Da kann man anscheinend die fw weglassen weil man's niemmer firewall nennen dürfte.
Na ja, ganz weglassen waere auch keine gute Idee. Immerhin lassen sich auch dann noch eine Reihe von Angriffen blockieren, wenn man nur einen Teil der Ports sperren kann. Der Schutz ist "nur" nicht mehr vollstaendig.
Klar. Auch die Pflege einer firewall fördert immer wieder neue rules (wenn man logfiles liest ;). Abuse gibts doch auch noch. Oder?
So wie ich das seh sind ja anscheinend fast ALLE unpreveligierten ports mal dann wann zu öffnen.
Das grosse Problem ist, dass (nicht nur) H.323 die Sprachuebertragung per RTP vorsieht, und das basiert nun einmal auf UDP. Daran laesst sich auch wenig aendern, da TCP sich nicht fuer die Uebertragung von Medienstroemen in Echtzeit eignet.
ACK
Waehrend man bei TCP noch unterscheiden kann, ob eine Verbindung von innen oder von aussen initiiert wird, und somit gezielt eine Richtung verbieten kann, hat man es bei UDP einfach nur mit einzelnen Paketen zu tun -- da sieht eines wie das andere aus und es gibt keine festen Verbindungen, denen man sie zuordnen koennte. Man muesste schon die gesamte Aushandlung der Parameter zwischen den beteiligten Endpunkten mitlesen, um dynamisch nur die gerade benoetigten Ports freischalten zu koennen. Das duerfte ein ziemlicher Aufwand sein...
Das ist der springende Punkt,....diese dynamic-Geschichten.
Zumindest so was ich bislang an Infos habe. Die M$ler kommen aber auch immer wieder auf Klopper ..tststs
Ausnahmsweise mal kein MS-spezifisches Problem :(
Was? Wo kommt Netmeeting und M$ Exchange denn her?? Oder meinst du weil es so verbreitet ist und nunmal von vielen anderen OS' verwaltet werden will? Gruß Clemens -- sig_47 -*-grepen in rc-files-*- [Info: man grep] $ grep -v ^# /etc/ppp/options | grep -v ^$ $ grep -v ^# /etc/rc.config | grep -v ^$ ------------------------------------------- --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com