Topp Banner bilde
 

Vårt nettverk

MS NetMeeting

Meeting Point

Eye Chat


Våre Kamera


Krav til Nettverk

Spørsmål og Svar

Din IP-adresse

Tilbake til Teknisk Info

Tilbake til hovedmeny


 

Brannmur problematikk med videokonferanser over bredbånd

De aller fleste bedrifter og organisasjoner bruker i dag brannmurer for å legge et ekstra lag med sikkerhet rundt viktige nettjenester som servere og arbeidsstasjoner. Videokonferanseutstyr bruker i dag protokollen "H.323" for å kunne snakke sammen på tvers av produsenter og forskjellige produkter. Dette er en relativt kompleks standard/protokoll som bruker mange dynamiske TCP og UDP porter for å kommunisere hver vei. Det enkleste er selvsagt å benytte "legale" IP adresser som går rett på nett, men det passer ofte litt dårlige i forhold til bedriftens sikkerhetspolitikk.

Hvilke porter skal åpnes i brannmuren?

Man har enkelt forklart et lite sett med standard definerte porter som må
åpnes i brannmurene, men i tillegg må man for noen ekstra porter som
vanligvis velges tilfeldig i intervallet 1024 til 65535.
I praksis betyr teorien dette at en må åpne for trafikk på alle disse
portene, men heldigvis støtter enkelte brannmurer (for eksempel fra Cisco, CheckPoint, Gaulet) H.323 protokollen og åpner og stenger kun portene som trengs, når de trengs. Dette er idealløsningen, men disse brannmurene er ofte dyre i innkjøp.

Enkelte klient programmer (fra f.eks. VCON) kan dessuten begrense intervallet som brukes til for eksempel portene 5000-5200, som er langt bedre enn å åpne alle 64000 portene. Dette er løsninger man kan benytte når man har en VCON MXM server sentralt.

NAT = Network Address Translation

Det finnes i utgangspunktet to typer adresseomskriving (NAT): "en til en" og
"en til mange". Adresseomskriving betyr at en router og brannmur omskriver
trafikk mellom private og offentlige IP adresser.
Ved "en til en" adresseomskriving vil en hver privat IP adresse ha en tilsvarende offentlig adresse, mens med "en til mange" omskriving vil mange private adresser ha én offentlig adresse på deling.

Hvilke utfordringer medfører NAT?

Videokonferanseutstyr som ikke forstår NAT vil oppgi sin private
lokalnettadresse til andre (noe som er ugyldig over Internett). Noe utstyr kan tvinges til å oppgi en spesiell offentlig IP adresse og løser
dermed dette problemet. Hvis ikke må du ha en H.323 Proxy (gjerne innebygget
i brannmur) som løser problemet for deg. Videokonferanse klientene fra First Virtual som leveres i systemet Click-To-Meet (se: www.fvc.com) håndterer dette bedre enn andre systemer.

Mer om NAT

Generelt sett, har du "en til en" adresseomskriving kan du få
videokonferanseutstyret til å fungere som tidligere forklart, men
med "en til mange" adresseomskriving har du kun muligheten til å bruke én videokonferanseenhet (én per gyldig IP adresse).

Med Click to Meet (Express) kan man derimot bruke flere webklienter bak én
offentlig adresse da Click to Meet serveren automatisk forstår NAT og at man
kan spesifisere 4 porter manuelt som skal brukes i stedet for dynamiske porter.
I bunn og grunn er ikke NAT et problem her. Konklusjonen at for denne typen nettkonfigurasjoner må man endre oppsettet for standard H323 konferanser eller holde seg til Click-To-Meet løsningen.

Andre løsninger på Firewall problemer

Hvis man ønsker at to steder skal kobles sammen i videokonferanser ofte vil
det være hensiktsmessig å sette opp en direkte tunnel mellom disse stedene.
Dette gjøres enkelt ved å sette opp et "Virtuelt privat nett" (VPN).
Siden et VPN er kryptert og begge parter stoler på hverandre kan en ofte la
være å ha en brannvegg (eller ha en mindre restriktiv brannvegg) mellom disse
stedene. Dette vil dermed løse problematikken med brannmurer og i tillegg
sikre alle samtaler mot avlytting på Internett. Dette er en løsning som
fungerer godt selv med adresseomskriving, men det krever at det er installert
og konfigurert en løsning for VPN i begge ender. Dette kan være alt fra en
dyr router til en vanlig PC og trenger ikke være spesielt kostbart, men skal man ha mange VPN forbindelser vil det anbefales dedikerte bokser for dette.

Ta gjerne kontakt med (Jan Vidar Krey) hos OHD eller Otto Øksnes for hjelp til konfigurasjon av Firewall eller annet.

Følgende lenker er også kanskje av interesse for de som vil sette seg mer inn i temaet:

http://www.fvc.com/eng/webconferencing/whitepaper_desc.htm

http://www.vcon.com/support/white.papers.html

http://www.packetizer.com/

http://www.gigaport.nl/netwerk/access/doc/h323/Secure_H323_behind_the_firewall.pdf