Beschreibung:

LANCOM Systems empfiehlt, nicht verwendete "Application Layer Gateways" (ALG), auch im Hinblick auf Sicherheitslücken wie z.B. "NAT-Slipstream", zu deaktivieren bzw. die Kommunikation der ALGs einzuschränken.

In diesem Artikel wird beschrieben, welche ALGs es auf LCOS Geräten gibt und wie diese deaktiviert bzw. eingeschränkt werden können.

Prüfen Sie vor der Deaktivierung bzw. der Einschränkung der ALGs, ob von Ihnen eingesetzte Software die zugehörigen Protokolle verwendet. 

  • FTP: FTP wird recht häufig eingesetzt. Durch Einschränkung des zugehörigen ALG wird "Aktives FTP" unterbunden, sodass nur noch "Passives FTP" verwendet werden kann.
  • H.323: H.323 ist veraltet und wird nur noch in Ausnahmefällen verwendet. Dieser ALG sollte daher im Regelfall einfach deaktiviert werden können.
  • IRC: IRC kann durch Einschränkung des zugehörigen ALG weiterhin verwendet werden. Lediglich die Kommunikation zweier IRC-Clients untereinander per DCC muss unterbunden werden. 
  • SIP-ALG: Dieser ALG kann verwendet werden, wenn ein SIP-Telefon oder eine SIP-TK-Anlage im lokalen Netzwerk sich direkt bei einem SIP-Provider in einem entfernten Netzwerk registriert. Als Alternative bietet sich die Verwendung des Voice Call Managers an. Dann registriert sich das SIP-Telefon bzw. die SIP-TK-Anlage am LANCOM Router und dieser registriert sich bei dem SIP-Provider (dafür wird ein VoIP-Router oder die All-IP Option benötigt). 

Voraussetzungen:

  • LCOS ab Version 7.0 (download aktuelle Version)
  • SSH-Client für den Zugriff per Konsole (z.B. PuTTY)
  • Beliebiger Web-Browser für den Zugriff per WEBconfig


Einschränkung des FTP ALG:

Der FTP ALG kann nicht vollständig deaktiviert werden. Das Verhalten kann aber so angepasst werden, dass der ALG keinen Port für eingehende Kommunikation öffnet. Dies ist bei "Aktivem FTP" bzw. bei FXP der Fall.

Dieser Parameter kann zwar auch per LANconfig oder im Konfigurations-Baum in WEBconfig vorgenommen werden, ist dort aber missverständlich beschrieben. LANCOM Systems empfiehlt daher die Konfiguration per Konsole oder über den LCOS-Menübaum in WEBconfig vorzunehmen.


Per Konsole:

Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den folgenden Befehl ein:

set Setup/IP-Router/Firewall/Applications/FTP/FTP-Block off ; set Setup/IP-Router/Firewall/Applications/FTP/Active-FTP-Block always ; set Setup/IP-Router/Firewall/Applications/FTP/FXP-Block always 

Eine Erläuterung der Parameter finden Sie im Abschnitt Per WEBconfig.

Ein Bildschirmfoto einer technischen Konfigurationsbenutzeroberfläche zeigt verschiedene Einstellungsmöglichkeiten für Netzwerkelemente wie IP-Router, Firewall und FTP-Anwendungen mit Optionen zur Aktivierung und Deaktivierung spezifischer Funktionen.


Per WEBconfig:

1. Öffnen Sie das Menü (Extras) → LCOS-Menübaum → Setup → IP-Router → Firewall → Anwendungen → FTP.

Ein Bildschirmfoto einer technischen Benutzeroberfläche, das ein Konfigurationsmenü mit verschiedenen Netzwerk- und Sicherheitseinstellungen wie Firewall, Dateimanagement, SNMP-Geräteverwaltung und SSH-Schlüsselbearbeitung zeigt.

2. Öffnen Sie den Parameter Actives-FTP-Blockieren, wählen im Dropdownmenü die Option immer aus und klicken auf Setzen. Dadurch wird die Kommunikation über "Aktives FTP" unterbunden und somit kann nur noch "Passives FTP" verwendet werden

Screenshot eines Konfigurationsmenüs, in dem die Option Active FTP Blockieren ausgewählt ist.

3. Öffnen Sie den Parameter FTP-Blockieren und stellen sicher, dass die Option aus verwendet wird. Dadurch ist die FTP-Kommunikation grundsätzlich möglich.

Bildschirmaufnahme einer technischen Benutzeroberfläche mit einer Einstellung zum Blockieren von FTP-Zugriffen.

4. Öffnen Sie den Parameter FXP-Blockieren, wählen im Dropdownmenü die Option immer aus und klicken auf Setzen. FXP (File Exchange Protocol) unterstützt sowohl die aktive und passive Kommunikation und muss daher unterbunden werden (siehe auch Actives-FTP-Blockieren).

Screenshot eines Konfigurationsmenüs mit den Optionen FXPBlockieren, FrPBlockieren immer v, und Zurücksetzen.


Deaktivierung des H.323 ALG:

Per Konsole:

Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den Befehl set Setup/IP-Router/Firewall/Applications/H.323/H.323-Support no ein.

Screenshot eines technischen Konfigurationsmenüs mit Optionen zur Einrichtung eines IP-Routers, einer Firewall und unterstützenden Anwendungen, darunter ein Aktivierungsknopf mit der Beschriftung set ok.


Per WEBconfig:

  • Öffnen Sie das Menü Extras → LCOS-Menübaum → Setup → IP-Router → Firewall → Anwendungen → H.323 → H.323-Support.
  • Stellen Sie den Parameter auf nein und klicken auf Setzen.

Screenshot eines erweiterten technischen Konfigurationsmenüs mit Optionen wie Status, Setup, Firmware, Sonstiges, Dateimanagement und SNMP Geräte, inklusive Unteroptionen für Support und die Anzeige von Schlüssel-Fingerprints.


Einschränkung des IRC ALG:

Der IRC ALG kann nicht deaktiviert werden. Das Verhalten kann aber so angepasst werden, dass der ALG keinen Port für eingehende Kommunikation öffnet. Dies ist bei einer Kommunikation per DCC der Fall.

Aus historischen Gründen wird im LCOS die Bezeichnung DDC anstatt DCC verwendet.

Dieser Parameter kann zwar auch per LANconfig oder im Konfigurations-Baum in WEBconfig vorgenommen werden, ist dort aber missverständlich beschrieben. LANCOM Systems empfiehlt daher die Konfiguration per Konsole oder über den LCOS-Menübaum in WEBconfig vorzunehmen.


Per Konsole:

Verbinden Sie sich per SSH mit der Konsole des Gerätes und geben den folgenden Befehl ein:

set Setup/IP-Router/Firewall/Applications/IRC/IRC-Block off ;  set Setup/IP-Router/Firewall/Applications/IRC/DDC-Block always

Eine Erläuterung der Parameter finden Sie im Abschnitt Per WEBconfig.

Bildschirmansicht einer technischen Konfigurationsseite, auf der Einstellungen für IP-Router, Firewall und Anwendungen mit Optionen wie IRC und DDC, einschließlich spezifischer Einstellungswerte wie 'always' und 'off', angepasst werden.


Per WEBconfig:

1. Öffnen Sie das Menü (Extras) → LCOS-Menübaum → Setup → IP-Router → Firewall → Anwendungen → IRC.

Bild eines technischen Konfigurationsmenüs mit Optionen für Netzwerkmanagement und Sicherheitseinstellungen wie Firewall, Dateimanagement, SNMP, und IP-Konfigurationen.

2. Öffnen Sie den Parameter DDC-Blockieren, wählen im Dropdownmenü die Option immer aus und klicken auf Setzen. Dadurch wird die direkte Kommunikation zwischen zwei IRC-Clients per DCC (Direct Client-to-Client) unterbunden.

Screenshot einer technischen Benutzeroberfläche mit dem Menüpunkt 'DDCBlockieren'.

3. Öffnen Sie den Parameter IRC-Blockieren und stellen sicher, dass die Option aus verwendet wird. Dadurch ist die IRC-Kommunikation grundsätzlich möglich.

Screenshot eines Konfigurationsmenüs mit der Option 'IRCBlockieren' zur Auswahl.


Deaktivierung des SIP-ALG:

Per LANconfig:

Wechseln Sie in LANconfig in das Menü Sonstige Dienste → Dienste und stellen sicher, dass die Checkbox bei SIP-ALG aktiviert nicht angehakt ist.

Bild einer technischen Benutzeroberfläche mit verworrenem Text, das verschiedene IT-Konzepte wie Firewall, SIPRouter, RoutingProtokolle, Multicast und Dienste anzeigt, möglicherweise Teil eines Konfigurationsmenüs oder eines Netzwerkdiagramms.


Per WEBconfig:

Wechseln Sie in WEBconfig in das Menü Konfiguration → Sonstige Dienste → Dienste und stellen sicher, dass die Checkbox bei SIP-ALG aktiviert nicht angehakt ist.

Ein Bildschirmfoto eines technischen Konfigurationsmenüs mit Optionen für Dienste, Netzwerkeinstellungen und Sicherheitsmerkmale, darunter WLAN-Kontrollen, CAPI-Interfaces, Firewall, VPN, und Zugriffslistenmanagement.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH