Network World, США

Наступивший год может стать началом разрушения последнего технического препятствия на пути широкого распространения корпоративной конференц-связи в IP-сетях. Это — проблема преодоления мультимедийным трафиком межсетевых экранов с трансляцией адресов (NAT)

Сегодня лишь крупнейшие производители систем видеоконференц-связи Polycom и Tandberg выпускают продукты, позволяющие видеовызовам на базе протокола Н.323 проходить через корпоративный межсетевой экран (МЭ) к внешнему собеседнику без необходимости кардинально менять политику безопасности. Как общепринятый протокол IP-конференц-связи Н.323 имеет внутренние изъяны, особенно если речь идет о периметрах защищенных сетей и частных IP-доменах, используемых в большинстве корпоративных сетей.

Проблема прозрачного пропуска трафика ВКС двояка: она относится и к сигнализации, и к среде. Что касается сигнализации, адреса портов входящих пакетов в заголовках Н.323 расположены именно там, где межсетевой экран обычно ищет нужную ему информацию. Он «просматривает» заголовок пакета и определяет, из какого источника следует трафик. Но важная адресная информация находится внутри вложенных пакетов Н.323, а оболочка пакетов TCP/IP не несет в себе детальных сведений, которые нужны МЭ для верных действий.

Даже если проблема пропуска сигнализации будет снята, не исчезнет еще одно препятствие, обусловленное прохождением пакетированного голоса и видео. Дело в том, что Н.323 использует для каждого вызова многие, иногда случайные порты. Таким образом, межсетевой экран может пропустить исходящие потоки голоса и видео, но заблокировать входящие потоки этого вызова. Если участник ВКС будет находиться за МЭ, вызов обернется для него темнотой и молчанием.

В случаях установления межофисных соединений и доступа к сервисам удаленных сотрудников по VPN проблемы межсетевого экранирования обычно не возникают, поскольку весь трафик остается внутри сетевого периметра. Но они появляются при организации конференций между компаниями, когда внешние каналы охраняются межсетевыми экранами.

Устройство Tandberg Border Controller располагается на внейшней границе корпоративной сети для беспрепятственного пропуска трафика ВКС

Самым простым способом решения проблемы экранирования является открытие всех портов МЭ для трафика Н.323, но это небезопасно. Другой метод — размещение оконечной точки корпоративной ВКС в демилитаризованной зоне (DMZ) с присвоением ей публично маршрутизируемого IP-адреса, что также чревато угрозами, особенно если в качестве оконечных точек используются ПК.

Один крупный университет в США вознамерился открыть межсетевой экран для любого трафика Н.323. Было решено «доверять» адресам серверов, обслуживающих приложения совместной работы. Проблема данного метода состоит в том, что, установив контроль над одним из «доверенных» доменов, атакующий получает доступ и ко всем другим серверам и оконечным точкам сети.

Для тех, кто ищет более безопасные решения, предлагаются несколько вариантов. В частности, решение Expressway норвежского производителя систем ВКС Tandberg основано на технологии фирмы Ridgeway Systems (приобретена Tandberg в прошлом году). Оно предназначено для работы с межсетевым экраном и подразумевает туннелирование трафика Н.323 через три зарегистрированных порта — 1719, 2776 и 2777. От сетевого администратора требуется лишь изменить настройки МЭ.

Для запуска этого решения необходимы два устройства, по одному на каждой стороне межсетевого экрана. Устройство Tandberg Border Controller располагается на внешней границе сети. С внутренней стороны должна быть установлена оконечная точка Tandberg MXP с последним обновлением системного ПО или контроллер домена (Gatekeeper), который нужен для подключения оконечных точек ВКС других производителей. Каждый терминал должен регистрироваться на шлюзе Border Gateway для участия в сеансе видеосвязи.

А вот другой вариант: небольшой поставщик систем видеоконференц-связи из Англии Visual Nexus предлагает новую версию своего устройства Secured Transport на базе Linux. Это устройство работает аналогично Expressway, но задействует порт 80 для прохождения видеотрафика. Порт 80 открыт во всех профилях МЭ, кроме самых «строгих».

Корпорация Polycom и ее партнер Edgewater Networks рекомендуют пользоваться V21U — новым межсетевым экраном с поддержкой Н.323. Он может работать совместно с общекорпоративным МЭ или автономно, как защита периметра малых офисов. V21U является разработкой Edgewater EdgeMarc, которая продвигается под брэндом Polycom с добавлением функций видеосвязи.

В амбициозном государственном проекте Alberta Supernet (прокладка оптоволоконной сети на основе MPLS к каждому образовательному учреждению канадской провинции Альберта) выбор пал на технологию Polycom/Edgewater. Каждый муниципалитет провинции получает в свое распоряжение волоконное соединение 6,5 Мбит/с и до шести соединений VPN. Для организации видеосвязи в главном муниципальном узле доступа размещается устройство V21U, действующее как межсетевой экран и, одновременно, как proxy-сервер для трафика Н.323.

Режим межсетевого экранирования в данном случае необходим, поскольку муниципалитеты планируют использовать настольные ПК как оконечные точки ВКС. Они могут быть подключены к другим критически важным фрагментам инфраструктуры — университетским локальным сетям или системам сетевого администрирования.

Однако ни одно из представленных решений не является панацеей для межкорпоративных служб организации ВКС. Пользователь вынужден регистрировать свой терминал в домене каждой организации, с которой он хочет связаться. «В любой системе ВКС адрес контроллера домена, через который надо пройти, находится примерно на шестом уровне системного меню, — сетует Эндрю Дэвис, главный аналитик Wainhouse Research. — Индустрии надо облегчить эту процедуру, если она собирается задействовать метод регистрации оконечных устройств на граничных контроллерах сети».

Протокол SIP с его усовершенствованными функциями обслуживания вызовов мог бы заменить Н.323 в области видеоконференц-связи. Компании Polycom и Tandberg обещали организовать его поддержку в будущем. А корпорация Microsoft объявила SIP центральным звеном своей технологической стратегии коммуникаций, реализуемой в сервере Live Communication Server и в продукте Istanbul — будущей версии Windows Messenger.

Когда дело доходит до преодоления межсетевого экрана и сервера NAT, судьба протокола SIP оказывается той же, что и у H.323, но с одним преимуществом. Дело в том, что в мире SIP действуют крупные телекоммуникационные провайдеры, и когда они хотят решить проблему своих клиентов, это имеет отношение к сотням тысяч человек.

Компания Radvision, которая предлагает proxy-устройство Н.323, и Jasomi объявили о партнерстве. Его цель — интеграция многоточечных серверов Radvision с решением Peerpoint от Jasomi, обеспечивающая прозрачное прохождение SIP-трафика через межсетевой экран NAT.

Разработка нового стандарта экранирования также могла бы обеспечить решение проблемы. Polycom и Tandberg предложили набор рекомендаций H.ASSENT, которые ориентированы на соединение оконечных точек ВКС через межсетевой экран с применением граничного контроллера сессий с внешней стороны. Но до принятия соответствующего стандарта пройдут еще год-два.

Поделитесь материалом с коллегами и друзьями