next up previous contents
Next: HTTP - Hypertext Transfer Up: Protokollbeschreibungen und Portlisten für Previous: Gopher   Contents

H.323

H.323 ist ein Protokoll, das von der ITU (International Telecommunications Union) standardisiert wurde. Es wird für Audio-7 und Videokonferenzen verwendet. Weil H.323 sowohl ausgehende als auch eingehende Verbindungen aufbaut, ist der Einsatz über eine Firewall nur zusammen mit einem speziellen Proxy sicher.

H.323 verwendet für den Verbindungsaufbau eine TCP-Verbindung auf Port 1720. Eine weitere, dynamisch zugewiesene TCP-Verbindung, wird für die Verbindungsüberwachung benötigt. Die Daten selbst, werden über eine UDP-Verbindung übertragen, die ebenfalls dynamisch zugewiesen wird. Audio- und Videosignale werden über getrennte Kanäle übertragen. Für eine Videokonferenz werden deshalb in eine Richtung 5 Verbindungen (Anruf - TCP 1720, Audiosignal - UDP, Audioüberwachung - TCP, Videosignal - UDP und Videoüberwachung - TCP) und in die andere 4 Verbindungen (Audiosignal - UDP, Audioüberwachung - TCP, Videosignal - UDP und Videoüberwachung - TCP) aufgebaut! Würde man den Anweisungen von Microsoft folgen, müsste man alle UDP- und TCP-Verbindungen in beide Richtungen für Ports oberhalb 1023 zulassen. Da wäre nicht mehr viel übrig, was eine Firewall absichern könnte. Da bei H.323 die üblichen Methoden eingehende von ausgehenden UDP-Verbindungen voneinander zu unterscheiden nicht funktionieren, können die meisten Paketfilter keine Sicherheit bieten. Da es nur wenige Paketfiltersysteme gibt, die das H.323 Protokoll verstehen, wird man spezielle H.323-Proxies benötigen. Es gibt auch sogenannte MCU's (Multipoint Control Unit), die Verbindungen von mehreren Teilnehmern zu mehreren Teilnehmern kontrolliert. Man müsste diese in der DMZ stationieren. Allerdings funktioniert das nur, wenn nur eine Seite eine derartige MCU einsetzt - beidseitig klappt das nicht.

Richtung Proto- Port
Status
Anmerkung
Client Server koll Quelle Ziel
 
         
 
>   TCP 1024: 1720
NEW, ESTABLISHED
Anrufer baut Verbindung auf
  < TCP 1720 1024:
ESTABLISHED
Angerufener antwortet
>   TCP 1024: 1024:
NEW, ESTABLISHED
Verbindungsüberwachung für Daten (nur eine Richtung)
  < TCP 1024: 1024:
ESTABLISHED
Antworten für obige Verbindungsüberwachung
>   UDP 1024: 1024:
8
Datenübertragung (eine Richtung)
  < UDP 1024: 1024:
Datenübertragung (andere Richtung)


next up previous contents
Next: HTTP - Hypertext Transfer Up: Protokollbeschreibungen und Portlisten für Previous: Gopher   Contents
Ernst Pisch 2003-05-17