Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 4 Nächste Version anzeigen »


Description:

LANCOM Systems empfiehlt generell nicht verwendete "Application Layer Gateways" (ALG) zu deaktivieren bzw. die Kommunikation einzuschränken.

In diesem Artikel wird beschrieben, welche ALGs es auf LCOS Geräten gibt und wie diese deaktiviert bzw. eingeschränkt werden können.

Prüfen Sie vor der Deaktivierung bzw. der Einschränkung der ALGs, ob von Ihnen eingesetzte Software die zugehörigen Protokolle verwendet. 

  • FTP: FTP wird recht häufig eingesetzt. Durch Einschränkung des zugehörigen ALG wird "Aktives FTP" unterbunden, sodass nur noch "Passives FTP" verwendet werden kann.
  • H.323: H.323 ist veraltet und wird nur noch in Ausnahmefällen verwendet. Dieser ALG sollte daher im Regelfall einfach deaktiviert werden können.
  • IRC: IRC kann durch Einschränkung des zugehörigen ALG weiterhin verwendet werden. Lediglich die Kommunikation zweier IRC-Clients untereinander per DCC muss unterbunden werden. 
  • SIP-ALG: Dieser ALG kann verwendet werden, wenn ein SIP-Telefon oder eine SIP-TK-Anlage im lokalen Netzwerk sich direkt bei einem SIP-Provider in einem entfernten Netzwerk registriert. Als Alternative bietet sich die Verwendung des Voice Call Managers an. Dann registriert sich das SIP-Telefon bzw. die SIP-TK-Anlage am LANCOM Router und dieser registriert sich bei dem SIP-Provider (dafür wird ein VoIP-Router oder die All-IP Option benötigt). 



Requirements:

  • LCOS ab Version 7.0 (download aktuelle Version)
  • SSH-Client für den Zugriff per Konsole (z.B. PuTTY)
  • Beliebiger Web-Browser für den Zugriff per WEBconfig


Einschränkung des FTP ALG:

Der FTP ALG kann nicht deaktiviert werden. Das Verhalten kann aber so angepasst werden, dass der ALG keinen Port für eingehende Kommunikation öffnet. Dies ist bei "Aktivem FTP" bzw. bei FXP der Fall.

Dieser Parameter kann zwar auch per LANconfig oder im Konfigurations-Baum in WEBconfig vorgenommen werden, ist dort aber missverständlich beschrieben. LANCOM Systems empfiehlt daher die Konfiguration per Konsole oder über den LCOS-Menübaum in WEBconfig vorzunehmen.


Per Konsole:

Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den folgenden Befehl ein:

set Setup/IP-Router/Firewall/Applications/FTP/FTP-Block off ; set Setup/IP-Router/Firewall/Applications/FTP/Active-FTP-Block always ; set Setup/IP-Router/Firewall/Applications/FTP/FXP-Block always 

Eine Erläuterung der Parameter finden Sie im Abschnitt Per WEBconfig.


Per WEBconfig:

1. Öffnen Sie das Menü (Extras) → LCOS Menu Tree → Setup → IP-Router → Firewall → Applications → FTP.

2. Öffnen Sie den Parameter Active-FTP-Block, wählen im Dropdownmenü die Option always aus und klicken auf Send. Dadurch wird die Kommunikation über "Aktives FTP" unterbunden und somit kann nur noch "Passives FTP" verwendet werden

3. Öffnen Sie den Parameter FTP-Block und stellen sicher, dass die Option off verwendet wird. Dadurch ist die FTP-Kommunikation grundsätzlich möglich.

4. Öffnen Sie den Parameter FXP-Block, wählen im Dropdownmenü die Option always aus und klicken auf Send. FXP (File Exchange Protocol) unterstützt sowohl die aktive und passive Kommunikation und muss daher unterbunden werden (siehe auch Actives-FTP-Blockieren).


Deaktivierung des H.323 ALG:

Per Konsole:

Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den Befehl set Setup/IP-Router/Firewall/Applications/H.323/H.323-Support no ein.


Per WEBconfig:

  • Öffnen Sie das Menü Extras → LCOS Menu Tree → Setup → IP-Router → Firewall → Applications → H.323 → H.323-Support.
  • Stellen Sie den Parameter auf No und klicken auf Send.


Einschränkung des IRC ALG:

Der IRC ALG kann nicht deaktiviert werden. Das Verhalten kann aber so angepasst werden, dass der ALG keinen Port für eingehende Kommunikation öffnet. Dies ist bei einer Kommunikation per DCC der Fall.

Aus historischen Gründen wird im LCOS die Bezeichnung DDC anstatt DCC verwendet.

Dieser Parameter kann zwar auch per LANconfig oder im Konfigurations-Baum in WEBconfig vorgenommen werden, ist dort aber missverständlich beschrieben. LANCOM Systems empfiehlt daher die Konfiguration per Konsole oder über den LCOS-Menübaum in WEBconfig vorzunehmen.


Per Konsole:

Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den folgenden Befehl ein:

set Setup/IP-Router/Firewall/Applications/IRC/IRC-Block off ;  set Setup/IP-Router/Firewall/Applications/IRC/DDC-Block always

Eine Erläuterung der Parameter finden Sie im Abschnitt Per WEBconfig.


Per WEBconfig:

1. Öffnen Sie das Menü (Extras) → LCOS Menu Tree → Setup → IP-Router → Firewall → Applications → IRC.

2. Öffnen Sie den Parameter DDC-Block, wählen im Dropdownmenü die Option always aus und klicken auf Send. Dadurch wird die direkte Kommunikation zwischen zwei IRC-Clients per DCC (Direct Client-to-Client) unterbunden.

3. Öffnen Sie den Parameter IRC-Block und stellen sicher, dass die Option off verwendet wird. Dadurch ist die IRC-Kommunikation grundsätzlich möglich.


Deaktivierung des SIP-ALG:

Per LANconfig:

Wechseln Sie in LANconfig in das Menü Miscellaneous Services → Services und stellen sicher, dass die Checkbox bei SIP-ALG activated nicht angehakt ist.


Per WEBconfig:

Wechseln Sie in WEBconfig in das Menü Configuration → Miscellaneous Services → Services und stellen sicher, dass die Checkbox bei SIP-ALG activated nicht angehakt ist.

  • Keine Stichwörter

All LANCOM products and software versions are subject to LANCOM Software Lifecycle Management.
You can find information on our website at https://www.lancom-systems.com/products/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH