Versionen im Vergleich

Alte Version 24

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.


Seiteneigenschaften


Beschreibung:

LANCOM Systems empfiehlt generell , nicht verwendete "Application Layer Gateways" (ALG), auch im Hinblick auf Sicherheitslücken wie z.B. "NAT-Slipstream", zu deaktivieren bzw. die Kommunikation der ALGs einzuschränken.

In diesem Artikel wird beschrieben, welche ALGs es auf LCOS Geräten gibt und wie diese deaktiviert bzw. eingeschränkt werden können.

Hinweis

Prüfen Sie vor der Deaktivierung bzw. der Einschränkung der ALGs, ob von Ihnen eingesetzte Software die zugehörigen Protokolle verwendet. 

  • FTP: FTP wird recht häufig eingesetzt. Durch Einschränkung des zugehörigen ALG wird "Aktives FTP" unterbunden, sodass nur noch "Passives FTP" verwendet werden kann.
  • H.323: H.323 ist veraltet und wird nur noch in Ausnahmefällen verwendet. Dieser ALG sollte daher im Regelfall einfach deaktiviert werden können.
  • IRC: IRC kann durch Einschränkung des zugehörigen ALG weiterhin verwendet werden. Lediglich die Kommunikation zweier IRC-Clients untereinander per DCC muss unterbunden werden. 
  • SIP-ALG: Dieser ALG kann verwendet werden, wenn ein SIP-Telefon oder eine SIP-TK-Anlage im lokalen Netzwerk sich direkt bei einem SIP-Provider in einem entfernten Netzwerk registriert. Als Alternative bietet sich die Verwendung des Voice Call Managers an. Dann registriert sich das SIP-Telefon bzw. die SIP-TK-Anlage am LANCOM Router und dieser registriert sich bei dem SIP-Provider (dafür wird ein VoIP-Router oder die All-IP Option benötigt). 

Voraussetzungen:

  • LCOS ab Version 7.0 (download aktuelle Version)
  • SSH-Client für den Zugriff per Konsole (z.B. PuTTY)
  • Beliebiger Web-Browser für den Zugriff per WEBconfig

...

Info

Der FTP ALG kann nicht vollständig deaktiviert werden. Das Verhalten kann aber so angepasst werden, dass der ALG keinen Port für eingehende Kommunikation öffnet. Dies ist bei "Aktivem FTP" bzw. "Aktivem bei FXP " der Fall.

Dieser Parameter kann zwar auch per LANconfig oder im Konfigurations-Baum in WEBconfig vorgenommen werden, ist dort aber missverständlich beschrieben. LANCOM Systems empfiehlt daher die Konfiguration per Konsole oder über den LCOS-Menübaum in WEBconfig vorzunehmen.

...