Versionen im Vergleich

Alte Version 4

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 5

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.


Seiteneigenschaften


Description:

LANCOM Systems empfiehlt generell nicht verwendete "generally recommends that communications should be deactivated or restricted for unused Application Layer Gateways " (ALG) zu deaktivieren bzw. die Kommunikation einzuschränken.

In diesem Artikel wird beschrieben, welche ALGs es auf LCOS Geräten gibt und wie diese deaktiviert bzw. eingeschränkt werden können.

This article describes which ALGs run on LCOS devices and how to deactivate or restrict these.

Hinweis

Before deactivating or restricting the ALGs, check whether your software is using any of the associated protocols

Hinweis

Prüfen Sie vor der Deaktivierung bzw. der Einschränkung der ALGs, ob von Ihnen eingesetzte Software die zugehörigen Protokolle verwendet

  • FTP: FTP wird recht häufig eingesetzt. Durch Einschränkung des zugehörigen ALG wird "Aktives FTP" unterbunden, sodass nur noch "Passives FTP" verwendet werden kann.
  • H.323: H.323 ist veraltet und wird nur noch in Ausnahmefällen verwendet. Dieser ALG sollte daher im Regelfall einfach deaktiviert werden können.
  • IRC: IRC kann durch Einschränkung des zugehörigen ALG weiterhin verwendet werden. Lediglich die Kommunikation zweier IRC-Clients untereinander per DCC muss unterbunden werden. 
  • SIP-ALG: Dieser ALG kann verwendet werden, wenn ein SIP-Telefon oder eine SIP-TK-Anlage im lokalen Netzwerk sich direkt bei einem SIP-Provider in einem entfernten Netzwerk registriert. Als Alternative bietet sich die Verwendung des Voice Call Managers an. Dann registriert sich das SIP-Telefon bzw. die SIP-TK-Anlage am LANCOM Router und dieser registriert sich bei dem SIP-Provider (dafür wird ein VoIP-Router oder die All-IP Option benötigt). 

Requirements:

  • is a popular protocol. Restricting the relevant ALG causes “Active FTP” to be prevented so that only “Passive FTP” is available.
  • 323: H.323 is out of date and should only be used in exceptional cases. As a rule, you can simply deactivate this ALG.
  • IRC: IRC can remain in use even after restricting the related ALG. The only thing that has to be prevented is the communication between two IRC clients via DCC.
  • SIP ALG: This ALG is used when a SIP telephone or a SIP PBX on the local network registers directly with a SIP provider on a remote network. The alternative is to use the Voice Call Manager. In this case the SIP phone or the SIP PBX registers with the LANCOM router and the latter registers with the SIP provider (this requires a VoIP router or the All-IP option).

Requirements:

Einschränkung des FTP ALG:

Info

Der The FTP ALG kann nicht deaktiviert werden. Das Verhalten kann aber so angepasst werden, dass der ALG keinen Port für eingehende Kommunikation öffnet. Dies ist bei "Aktivem FTP" bzw. bei FXP der Fall.

Dieser Parameter kann zwar auch per LANconfig oder im Konfigurations-Baum in WEBconfig vorgenommen werden, ist dort aber missverständlich beschrieben. LANCOM Systems empfiehlt daher die Konfiguration per Konsole oder über den LCOS-Menübaum in WEBconfig vorzunehmen.

cannot be deactivated. However, the behavior can be changed so that the ALG has no port open for incoming communications, as would be the case with “Active FTP” or with FXP.

Although this parameter can also be set via LANconfig or in the configuration tree in WEBconfig, the description there is slightly misleading. LANCOM Systems recommends you carry out the configuration via the console or via the LCOS menu tree in WEBconfig.


Via CLI:

Use SSH to connect to the device command-line interface (CLI) and enter the following commandPer Konsole:Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den folgenden Befehl ein:

set Setup/IP-Router/Firewall/Applications/FTP/FTP-Block off ; set Setup/IP-Router/Firewall/Applications/FTP/Active-FTP-Block always ; set Setup/IP-Router/Firewall/Applications/FTP/FXP-Block always 

Info

Eine Erläuterung der Parameter finden Sie im Abschnitt Per WEBconfigThese parameters are explained in the With WEBconfig section.

Per

With WEBconfig:

1. Öffnen Sie das Menü ) Open the menu (Extras) → LCOS Menu Tree → Setup → IP -Router router → Firewall → Applications → FTP.

2. Öffnen Sie den Parameter ) Open the parameter Active-FTP-Block, wählen im Dropdownmenü die Option always aus und klicken auf Send. Dadurch wird die Kommunikation über "Aktives FTP" unterbunden und somit kann nur noch "Passives FTP" verwendet werden

Image Removed

3. Öffnen Sie den Parameter FTP-Block und stellen sicher, dass die Option off verwendet wird. Dadurch ist die FTP-Kommunikation grundsätzlich möglich.

Image Removed

4. Öffnen Sie den Parameter FXP-Block, wählen im Dropdownmenü die Option always aus und klicken auf Send. FXP (File Exchange Protocol) unterstützt sowohl die aktive und passive Kommunikation und muss daher unterbunden werden (siehe auch Actives-FTP-Blockieren).

Image Removed

Deaktivierung des H.323 ALG:

Per Konsole:

select the the drop-down menu option always and click on Send. This prevents the use of communications via active FTP and only allows the use of passive FTP.

Image Added

3) Open the parameter FTP-Block and make sure the option is set to off. This means that FTP communication is generally possible.

Image Added

4) Open the parameter FXP-Block, select the the drop-down menu option always and click on Send. FXP (file exchange protocol) supports both active and passive communication and therefore needs to be blocked (also see Active-FTP-Block).

Image Added

Deactivating the H.323 ALG:

Via CLI:

Connect to the device CLI via SSH and enter the command Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den Befehl set Setup/IP-Router/Firewall/Applications/H.323/H.323-Support no ein.


Per With WEBconfig:

  • Öffnen Sie das Menü Open the menu Extras → LCOS Menu Tree → Setup → IP-Router → Firewall → Applications → H.323 → H.323-Support.
  • Stellen Sie den Parameter auf No und klicken auf Set the parameter to No and click on Send.

...


Restricting the IRC ALG:

Info

Der The IRC ALG kann nicht deaktiviert werden. Das Verhalten kann aber so angepasst werden, dass der ALG keinen Port für eingehende Kommunikation öffnet. Dies ist bei einer Kommunikation per DCC der Fall.

Aus historischen Gründen wird im LCOS die Bezeichnung DDC anstatt DCC verwendet.

Dieser Parameter kann zwar auch per LANconfig oder im Konfigurations-Baum in WEBconfig vorgenommen werden, ist dort aber missverständlich beschrieben. LANCOM Systems empfiehlt daher die Konfiguration per Konsole oder über den LCOS-Menübaum in WEBconfig vorzunehmen.

cannot be deactivated. However, the behavior can be changed so that the ALG has no port open for incoming communications, as is the case with communication via DCC.

For historical reasons, the name in LCOS is DDC and not DCC.

Although this parameter can also be set via LANconfig or in the configuration tree in WEBconfig, the description there is slightly misleading. LANCOM Systems recommends you carry out the configuration via the console or via the LCOS menu tree in WEBconfig.


Via CLI:

Use SSH to connect to the device command-line interface (CLI) and enter the following commandPer Konsole:Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den folgenden Befehl ein:

set Setup/IP-Router/Firewall/Applications/IRC/IRC-Block off ;  set Setup/IP-Router/Firewall/Applications/IRC/DDC-Block always

Info

Eine Erläuterung der Parameter finden Sie im Abschnitt Per WEBconfigThese parameters are explained in the With WEBconfig section.


Per With WEBconfig:

1. Öffnen Sie das Menü) Open the menu (Extras) → LCOS Menu Tree → Setup → IP -Router router → Firewall → Applications → IRC.

2. Öffnen Sie den Parameter ) Open the parameter DDC-Block, wählen im Dropdownmenü die Option always aus und klicken auf Send. Dadurch wird die direkte Kommunikation zwischen zwei IRC-Clients per select the the drop-down menu option always and click on Send. This prevents direct communication between two IRC clients via DCC (Direct Client-to-Client) unterbunden.

3. Öffnen Sie den Parameter ) Open the parameter IRC-Block und stellen sicher, dass die Option off verwendet wird. Dadurch ist die IRC-Kommunikation grundsätzlich möglichand make sure the option is set to off. This means that IRC communication is generally possible.

...

Deactivating the SIP-ALG:

Per With LANconfig:

Wechseln Sie in LANconfig in das Menü In LANconfig, switch to the menu Miscellaneous Services → Services und stellen sicher, dass die Checkbox bei and make sure that the checkbox for SIP-ALG activated nicht angehakt istis not checked.


Per With WEBconfig:

Wechseln Sie in WEBconfig in das Menü In WEBconfig, switch to the menu Configuration → Miscellaneous Services → Services und stellen sicher, dass die Checkbox bei and make sure that the checkbox for SIP-ALG activated nicht angehakt istis not checked.