SIP aware firewalls??

[kinek]

Hallo,

ich bin auf der suche nach freien firewalls die auch auf applikationsschicht arbeiten und SIP aware sind. (SIP verstehen)

gibt es sowas?

vielen dank fuer hinweise.

 

[CaptainCrunch]

firewalls die auch auf applikationsschicht arbeiten

<klugscheiss-mode>
In dem Fall handelt es sich um einen Proxy
</klugscheiss-mode>



Schau dir doch mal SER an, das kann AFAIK als SIP-Proxy genutzt werden (und ist frei (GPL)).

 

[ecco]

<klugscheiss-mode>
In dem Fall handelt es sich um einen Proxy
</klugscheiss-mode>

Das stimmt so aber nicht.... es gibt durchaus Firewalls, die den Netzverkehr mitscannen und nur weiterleiten, wenn das Protokoll als "ungefährlich" eingestuft wurde. Die müssen aber dafür nicht als Proxy arbeiten (proxy: act on someone's behalf) sondern ledeglich - wie normale Firewalls - die Pakete mitscannen und Unerwünschte fallen lassen.

 

[kinek]

habe auch gehoert, dass es solche firewalls gibt.
kann mir jemand sagen wo ich diese firewalls finde? am besten frei verfuegbare.

 

[CaptainCrunch]

(proxy: act on someone's behalf)

OK, touché.

Um mich dann einfach mal genau auszudrücken: mir sind keine freien Firewalls/Paketfilter bekannt, die auf Layer 7 arbeiten (und erst recht nicht SIP-aware wären).

Spontan fallen mir da jetzt nur CheckPoint und die gute alte Pix ein, wobei die das nur recht bedingt kann. SIP ist mit letztgenannter allerdings gar kein Problem.
Sind aber halt beides eher ziemlich teure Lösungen (wobei es die kleine Pix schon für günstig bei Ebay gibt ).

 

[der_Gersthofer]

Ja gibt es, wenn du Firewall in einem Router meinst - siehe meine Signatur. Aber "freie" Softwarefirewalls i. S. kostenlos ist mir nicht bekannt.

 

[kinek]

meine nicht software in routern, sondern eine "ganz normale" firewall die ich auf einem rechner installieren kann durch den die sip-calls durchgehen.

 

[ecco]

linux und iptables? Bei mir läuft's zumindest

Es gibt (oder gab) für linux ein modul um am paket-inhalt das protokoll zu erkennen. Lief hier mal, um P2P zu killen, aber weder google noch mein Gedächtnis geben dazu im Moment einen Namen oder Link her. SIP hat das damals auf jeden Fall nicht erkannt.
Vermutlich ist es http://rnvs.informatik.uni-leipzig.de/ipp2p/

 

[CaptainCrunch]

Für Netfilter wird's wohl so schnell keinen (echten) Layer-7 SIP-Support geben:
http://www.netfilter.org/documentation/FAQ/netfilter-faq-1.html#ss1.8

Was hast du denn gegen die schon eingangs erwähnte Proxy-Lösung? Schau mal (z.B.) hier: http://www.ip-phone-forum.de/forum/viewtopic.php?p=60243

 

[kinek]

ich persoenlich habe nichts gegen eine proxy loesung. nur wird meine diplomarbeit sich unteranderem mit SIP-ALG (aplikation layer gateways)
beschaeftigen. und mit sip-security.
deswegen suche ich eine frei verfuegbare sip-aware firewall mit der ich ein wenig rumspielen koennte.

 

[ecco]

... erm... ein ALG ist ein Proxy. Insofern wäre da SER oder siproxd vielleicht ein Ansatz.

 

[CaptainCrunch]

... erm... ein ALG ist ein Proxy.

Na sag ich doch.

SCNR

 

[Ramscher]

ich teste gerade die Juniper/Netscreen NS5GT, die ist ein klassisches SIP-ALG. Hat aber wohl Probleme, einige SIP-Messages korrekt zu erkennen - muss ich wohl ein Ticket bei Netscreen aufmachen, wenn ich mal Zeit habe ;-)

 

[sgofferj]

... erm... ein ALG ist ein Proxy.

Na sag ich doch.

SCNR

Das ist strenggenommen nicht richtig. Ein Proxy ist eine Anwendung, die eine Aufforderung zur Weiterleitung vom Client erhält. Du gibst im Client den Proxy als Gegenstelle an und der Client verlangt dann vom Proxy die entsprechende Weiterleitung. Es gibt keine direkte Client - Client Verbindung.
Ein ALG ist dagegen Teil einer Firewall und transparent. I.d.R. merkt der Client nichts von dessen Anwesenheit. Beispiel wäre die PIX, die - wenn man es aktiviert - u.A. die RFC1918-IPs in SIP-Messages durch die des externen Interfaces ersetzt und im zweifelsfall sogar die RTP-Ports in den Messages anpaßt. Hier gibt es sehr wohl eine direkte Client - Client Verbindung.

Viele Grüße,
Stefan