.titleBar { margin-bottom: 5px!important; }

SIP aware firewalls??

Dieses Thema im Forum "Firewalls" wurde erstellt von kinek, 12 Apr. 2005.

  1. kinek

    kinek Neuer User

    Registriert seit:
    12 Apr. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich bin auf der suche nach freien firewalls die auch auf applikationsschicht arbeiten und SIP aware sind. (SIP verstehen)

    gibt es sowas?

    vielen dank fuer hinweise.
     
  2. CaptainCrunch

    CaptainCrunch Neuer User

    Registriert seit:
    8 Apr. 2005
    Beiträge:
    169
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    <klugscheiss-mode>
    In dem Fall handelt es sich um einen Proxy
    </klugscheiss-mode>

    ;)

    Schau dir doch mal SER an, das kann AFAIK als SIP-Proxy genutzt werden (und ist frei (GPL)).
     
  3. ecco

    ecco Neuer User

    Registriert seit:
    28 Okt. 2004
    Beiträge:
    174
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das stimmt so aber nicht.... es gibt durchaus Firewalls, die den Netzverkehr mitscannen und nur weiterleiten, wenn das Protokoll als "ungefährlich" eingestuft wurde. Die müssen aber dafür nicht als Proxy arbeiten (proxy: act on someone's behalf) sondern ledeglich - wie normale Firewalls - die Pakete mitscannen und Unerwünschte fallen lassen.
     
  4. kinek

    kinek Neuer User

    Registriert seit:
    12 Apr. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    habe auch gehoert, dass es solche firewalls gibt.
    kann mir jemand sagen wo ich diese firewalls finde? am besten frei verfuegbare.
     
  5. CaptainCrunch

    CaptainCrunch Neuer User

    Registriert seit:
    8 Apr. 2005
    Beiträge:
    169
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    OK, touché. ;)

    Um mich dann einfach mal genau auszudrücken: mir sind keine freien Firewalls/Paketfilter bekannt, die auf Layer 7 arbeiten (und erst recht nicht SIP-aware wären).

    Spontan fallen mir da jetzt nur CheckPoint und die gute alte Pix ein, wobei die das nur recht bedingt kann. SIP ist mit letztgenannter allerdings gar kein Problem.
    Sind aber halt beides eher ziemlich teure Lösungen (wobei es die kleine Pix schon für günstig bei Ebay gibt ;) ).
     
  6. der_Gersthofer

    der_Gersthofer Admin-Team

    Registriert seit:
    17 Apr. 2004
    Beiträge:
    3,585
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ja gibt es, wenn du Firewall in einem Router meinst - siehe meine Signatur. Aber "freie" Softwarefirewalls i. S. kostenlos ist mir nicht bekannt.
     
  7. kinek

    kinek Neuer User

    Registriert seit:
    12 Apr. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    meine nicht software in routern, sondern eine "ganz normale" firewall die ich auf einem rechner installieren kann durch den die sip-calls durchgehen.
     
  8. ecco

    ecco Neuer User

    Registriert seit:
    28 Okt. 2004
    Beiträge:
    174
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    linux und iptables? Bei mir läuft's zumindest ;)

    Es gibt (oder gab) für linux ein modul um am paket-inhalt das protokoll zu erkennen. Lief hier mal, um P2P zu killen, aber weder google noch mein Gedächtnis geben dazu im Moment einen Namen oder Link her. SIP hat das damals auf jeden Fall nicht erkannt.
    Vermutlich ist es http://rnvs.informatik.uni-leipzig.de/ipp2p/
     
  9. CaptainCrunch

    CaptainCrunch Neuer User

    Registriert seit:
    8 Apr. 2005
    Beiträge:
    169
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
  10. kinek

    kinek Neuer User

    Registriert seit:
    12 Apr. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ich persoenlich habe nichts gegen eine proxy loesung. nur wird meine diplomarbeit sich unteranderem mit SIP-ALG (aplikation layer gateways)
    beschaeftigen. und mit sip-security.
    deswegen suche ich eine frei verfuegbare sip-aware firewall mit der ich ein wenig rumspielen koennte.
     
  11. ecco

    ecco Neuer User

    Registriert seit:
    28 Okt. 2004
    Beiträge:
    174
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ... erm... ein ALG ist ein Proxy. Insofern wäre da SER oder siproxd vielleicht ein Ansatz.
     
  12. CaptainCrunch

    CaptainCrunch Neuer User

    Registriert seit:
    8 Apr. 2005
    Beiträge:
    169
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Na sag ich doch. ;)

    SCNR
     
  13. Ramscher

    Ramscher Neuer User

    Registriert seit:
    24 Juni 2005
    Beiträge:
    16
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ich teste gerade die Juniper/Netscreen NS5GT, die ist ein klassisches SIP-ALG. Hat aber wohl Probleme, einige SIP-Messages korrekt zu erkennen - muss ich wohl ein Ticket bei Netscreen aufmachen, wenn ich mal Zeit habe ;-)
     
  14. sgofferj

    sgofferj Neuer User

    Registriert seit:
    17 Feb. 2005
    Beiträge:
    41
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das ist strenggenommen nicht richtig. Ein Proxy ist eine Anwendung, die eine Aufforderung zur Weiterleitung vom Client erhält. Du gibst im Client den Proxy als Gegenstelle an und der Client verlangt dann vom Proxy die entsprechende Weiterleitung. Es gibt keine direkte Client - Client Verbindung.
    Ein ALG ist dagegen Teil einer Firewall und transparent. I.d.R. merkt der Client nichts von dessen Anwesenheit. Beispiel wäre die PIX, die - wenn man es aktiviert - u.A. die RFC1918-IPs in SIP-Messages durch die des externen Interfaces ersetzt und im zweifelsfall sogar die RTP-Ports in den Messages anpaßt. Hier gibt es sehr wohl eine direkte Client - Client Verbindung.

    Viele Grüße,
    Stefan