Beschreibung:
LANCOM Systems empfiehlt generell nicht verwendete "Application Layer Gateways" (ALG) zu deaktivieren.
In diesem Artikel wird beschrieben, welche ALGs es auf LCOS Geräten gibt und wie diese deaktiviert werden können.
Voraussetzungen:
- LCOS ab Version 7 (download aktuelle Version)
- SSH-Client für den Zugriff per Konsole (z.B. PuTTY)
- Beliebiger Web-Browser für den Zugriff per WEBconfig
Deaktivierung des FTP ALG:
Der FTP ALG kann nicht deaktiviert werden. Das Verhalten kann aber so angepasst werden, dass keine potentiell gefährliche Kommunikation mehr möglich ist (in diesem Fall Aktives FTP bzw. FXP).
Dieser Parameter kann zwar auch per LANconfig oder im Konfigurations-Baum in WEBconfig vorgenommen werden, ist dort aber missverständlich beschrieben. LANCOM Systems empfiehlt daher die Konfiguration per Konsole oder über den LCOS-Menübaum in WEBconfig vorzunehmen.
Per Konsole:
Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den folgenden Befehl ein:
set Setup/IP-Router/Firewall/Applications/FTP/FTP-Block off ; set Setup/IP-Router/Firewall/Applications/FTP/Active-FTP-Block always ; set Setup/IP-Router/Firewall/Applications/FTP/FXP-Block always
Eine Erläuterung der Parameter finden Sie im Abschnitt Per WEBconfig.
Per WEBconfig:
1. Öffnen Sie das Menü (Extras) → LCOS-Menübaum → Setup → IP-Router → Firewall → Anwendungen → FTP.
2. Öffnen Sie den Parameter Actives-FTP-Blockieren, wählen im Dropdownmenü die Option immer aus und klicken auf Setzen. Dadurch wird die Kommunikation über Aktives FTP unterbunden und somit kann nur noch Passives FTP verwendet werden.
3. Öffnen Sie den Parameter FTP-Blockieren und stellen sicher, dass die Option aus verwendet wird. Dadurch ist die FTP-Kommunikation grundsätzlich möglich.
4. Öffnen Sie den Parameter FXP-Blockieren, wählen im Dropdownmenü die Option immer aus und klicken auf Setzen. FXP (File Exchange Protocol) unterstützt sowohl die aktive und passive Kommunikation und muss daher unterbunden werden (siehe auch Actives-FTP-Blockieren).
Deaktivierung des IRC ALG:
Der IRC ALG kann nicht deaktiviert werden. Das Verhalten kann aber so angepasst werden, dass keine potentiell gefährliche Kommunikation mehr möglich ist (in diesem Fall die Kommunikation per DCC).
Dieser Parameter kann zwar auch per LANconfig oder im Konfigurations-Baum in WEBconfig vorgenommen werden, ist dort aber missverständlich beschrieben. LANCOM Systems empfiehlt daher die Konfiguration per Konsole oder über den LCOS-Menübaum in WEBconfig vorzunehmen.
Per Konsole:
Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den folgenden Befehl ein:
set Setup/IP-Router/Firewall/Applications/IRC/IRC-Block off ; set Setup/IP-Router/Firewall/Applications/IRC/DDC-Block always
Eine Erläuterung der Parameter finden Sie im Abschnitt Per WEBconfig.
Per WEBconfig:
1. Öffnen Sie das Menü (Extras) → LCOS-Menübaum → Setup → IP-Router → Firewall → Anwendungen → IRC.
2. Öffnen Sie den Parameter DDC-Blockieren, wählen im Dropdownmenü die Option immer aus und klicken auf Setzen. Dadurch wird die direkte Kommunikation zwischen zwei IRC-CLients per DCC (Direct Client-to-Client) unterbunden.
3. Öffnen Sie den Parameter IRC-Blockieren und stellen sicher, dass die Option aus verwendet wird. Dadurch ist die IRC-Kommunikation grundsätzlich möglich.
Deaktivierung des H.323 ALG:
Per Konsole:
Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den Befehl set Setup/IP-Router/Firewall/Applications/H.323/H.323-Support no ein.
Per WEBconfig:
- Öffnen Sie das Menü Extras → LCOS-Menübaum → Setup → IP-Router → Firewall → Anwendungen → H.323 → H.323-Support.
- Stellen Sie den Parameter auf nein und klicken auf Setzen.
Deaktivierung des SIP-ALG:
Per LANconfig:
Wechseln Sie in LANconfig in das Menü Sonstige Dienste → Dienste und stellen sicher, dass die Checkbox bei SIP-ALG aktiviert nicht angehakt ist.
Per WEBconfig:
Wechseln Sie in WEBconfig in das Menü Konfiguration → Sonstige Dienste → Dienste und stellen sicher, dass die Checkbox bei SIP-ALG aktiviert nicht angehakt ist.
