О безопасности при передачи видео по IP сетям (H.323)
Взаимодействие видеоконференции с межсетевыми экранами
При прохождении через межсетевой экран протоколы H.323 требуют
использования определенных фиксированных портов, а также некоторого количества
"динамических" портов, которые выбираются в диапазоне 1024-65535. Чтобы
пропустить этот траффик, все порты в этом диапазоне должны быть открыты в межсетевом
экране. Очевидно, что такая настройка резко ухудшает безопасность корпоративной
сети и делает межсетевой экран совершенно неэффективным.
Решать эту проблему можно как со стороны H.323 устройств, так и со стороны межсетевых экранов. Сетевой экран должен или иметь H.323 прокси, или "слушать" управляющий канал, определять, какие динамические сокеты используются в сеансах H.323 и разрешать траффик пока активен управляющий канал. H.323 использует один хорошо известный порт 1720 для сигнализации Q.931. Q.931 - это сигнальный протокол для совершения вызовов и завершения сеансов (H.323 call setup). Порты или сокеты, необходимые для сигнализации H.245 для звука, видео и передачи данных согласуются оконечными устройствами динамически.
6 марта 1997 г. корпорация Intel сообщила о совместной работе с тремя производителями межсетевых экранов: Check Point Software Technologies Ltd., Cisco Systems и Trusted Information Systems. В результате новые продукты этих компаний должны поддерживать стандарт H.323. Cisco PIX Firewall, Cisco IOS Firewall Feature Set, Check Point Software's Check Point FireWall-1 и семейство Trusted Information Systems' Gauntlet пропускают траффик H.323 именно так как описано выше, на основе "прослушивания" управляющего канала.
Если H.323 терминалы находятся и во внешней, и во внутренней сети, внутренние IP адреса должны преобразовываться во внешние через NAT, а межсетевой экран должен декодировать и преобразовывать все адреса, проходящие в H.323 трафике. Упомянутые продукты способны это делать.
С другой стороны, многие модели оконечного оборудования допускают указание диапазона используемых портов. Например: Polycom ViewStation, Polycom ViaVideo, оборудование VCON с программным обеспечением VCON MeetingPoint 4.5 и выше. Это позволяет проводить видеоконференции через более простые межсетевые экраны, открыв лишь небольшой диапазон портов. Например, при настройке Polycom ViaVideo можно указать следующие параметры:
Use
Fixed Ports
и диапазон 6-ти TCP и UDP портов, которые должен пропускать
сетевой экран, так же как и TCP порт 1720. При использовании Microsoft Netmeeting
необходимо также пропускать порт 1503 для совместной работы с данными.
Using
a NAT и External IP Address
позволяет указать ViaVideo "белый"
внешний адрес для выхода в интернет при использовании NAT.
