Надежная коммуникация через брандмауэры

Видеоконференции по IP до сих пор практически не выходят за границы корпоративных сетей.

Коммуникация по стандарту Н.323 через брандмауэры и NAT технически проблематична и требует высоких административных издержек. Однако производители уже предлагают специальные решения для таких сценариев применения.

Технология видеоконференций на базе IP отточена и — по крайней мере в пределах одной компании — хорошо освоена. Однако визуальная коммуникация имеет какую-то ценность лишь тогда, когда она без проблем может использоваться и между предприятиями. Ранее для этого применялись соответствующие шлюзы, посредством которых видеоконференции на базе IP переводились из внутренней сети в общедоступную сеть ISDN. Связанные с этим затраты (например, объединение нескольких каналов ISDN в один для достижения адекватной пропускной способности) оказывались весьма значительными. Привлекательной альтернативой представляется переход на видеоконференции исключительно на основе IP. Однако распространению таких решений до сих пор препятствовали два аспекта:

• безопасность — корпоративные брандмауэры затрудняют присоединение к видеоконференции внешних участников;
• план вызываемых номеров — отсутствие единой схемы адресации между предприятиями.

Брандмауэры служат для блокирования неразрешенных соединений извне, предотвращая атаки на ресурсы внутренней коммуникационной системы: обычно соединения разрешается инициировать только изнутри корпоративной сети. Однако в случае визуальной коммуникации речь идет о произвольных соединениях между различными абонентами с внешними инициаторами. Протокол Н.323 задействует динамические порты и предусматривает три коммуникативных отношения:

• сигнализацию (ТСР;
• видеопоток (UDP);
• голосовой поток (UDP).

Поэтому в случае классического брандмауэра практически невозможно достичь компромисса между потребностью в безопасности и разрешением на коммуникацию. Впрочем, производители брандмауэров уже оснастили свои решения разнообразными механизмами для управляемого пропуска протокола Н.323 и его подпротоколов. Cisco Systems, к примеру, реализует на своих брандмауэрах PIX функцию управления доступом с учетом контекста (Control Based Access Control, CBAC), которая открывает и закрывает динамические порты. Другие решают эту проблему за счет применения так называемых proxy-серверов Н.323. Однако каждый из перечисленных вариантов означает полную перестройку брандмауэра или, по крайней мере, некоторую модернизацию с соответствующими административными издержками.

ТУННЕЛЬ ДЛЯ ВИДЕОКОНФЕРЕНЦИЙ

Совершенно другой подход предложила компания Tandberg, норвежский производитель систем для видеоконференций (Video Conferencing, VC): недавно представленное решение под названием Expressway состоит из нескольких компонентов, которые используются в зависимости от сценария применения. Ядром ансамбля является так называемый пограничный контроллер, он размещается с внешней стороны брандмауэра или в демилитаризованной зоне. Внутренние клиенты видеоконференций с поддержкой Expressway устанавливают с этим пограничным контроллером соответствующее коммуникационное отношение, которое состоит из процесса регистрации и цикличной последовательности подтверждения активности. Однако Expressway поддерживают лишь определенные продукты того же производителя: все системы MXP и привратник Tandberg. Впрочем, благодаря последнему устройству выигрыш от внедрения этого решения могут получить и более старые системы, а также соответствующие стандартам продукты других производителей.

Брандмауэру остается лишь «узаконить» коммуникационные отношения внутренних устройств с пограничным контроллером, для чего ему требуется открыть три порта. Поскольку речь идет об исходящей связи, рисков в отношении безопасности не возникает. Административные издержки остаются минимальными. Главное же достоинство решения в том, что к типу брандмауэра никаких ограничений не предъявляется: этот сценарий может быть реализован с любым устройством.

Намеревающиеся организовать видеосеанс внешние клиенты VC (с поддержкой Expressway) используют пограничный контроллер в качестве коммутационного узла и обращаются через него к конкретному внутреннему партнеру. Соединение строится непосредственно с зарегистрированным внутренним участником или через внутреннего привратника. Такие «туннели» позволяют устанавливать надежные и безопасные внешние коммуникационные отношения через брандмауэр. Пограничный контроллер де-факто работает в качестве ретранслятора: соединения с внешними клиентами видеоконференций не направляются непосредственно в «туннель», а всегда проходят через контроллер. Кроме того, этот принцип помогает решить проблему преобразования сетевых адресов (Network Address Translation, NAT), которое по причинам безопасности и экономии адресного пространства осуществляется почти повсеместно. Следовательно, для партнеров по видеосеансу соблюдается полная анонимность: ни один из них не знает реального IP-адреса остальных.

ПРАКТИЧЕСКИЕ ИСПЫТАНИЯ

Подобные новые технологии и продукты вызывают как любопытство, так и сомнение. Поэтому в лаборатории берлинского интегратора IP-телефонии Isys-Team были проведены практические испытания с целью составить заключение о пригодности продукта для повседневной работы. В ходе предшествующих тестов неоднократно приходилось сталкиваться со сложными конфигурациями брандмауэров для межкорпоративных коммуникаций по IP. Прежде всего бвл реализован сценарий, соответствующий Рисунку 1. Клиенты с поддержкой только Н.323 (Microsoft Netmeeting и Tandberg 1000) регистрировались на пограничном контроллере через привратник (Tandberg), тогда как клиенты 3 и 4 — непосредственно на нем, благодаря имеющемуся у них функционалу Expressway. Для внутренних абонентов пограничного контроллера на брандмауэре открыты лишь соответствующие порты для исходящего трафика. Уже после выполнения нескольких административных операций на контроллере и привратнике удалось организовать видеосвязь между клиентом 4 и всеми остальными без каких-либо ограничений. Использовался брандмауэр на базе Linux (SuSe).

ПЛАН ВЫЗЫВАЕМЫХ НОМЕРОВ

До сих пор единого межкорпоративного номерного плана для организации произвольных сеансов на базе IP (видео, голос) не существует. В качестве альтернативы применяются голосовые или видеошлюзы с переходом в общедоступную сеть ISDN. Решение Expressway делает этот обходной путь излишним, поскольку принятая в Internet служба имен доменов (Domain Name System, DNS) предлагает адекватный подход. Пограничные контроллеры регистрируют в DNS свой общедоступный IP-адрес и предоставляемый сервис, так что по известному домену можно будет определить IP-адрес. Благодаря описанной выше процедуре регистрации внутренних клиентов на локальном пограничном контроллере теперь удастся проложить маршрут к любому внутреннему клиенту другого предприятия (другой домен) и организовать коммуникацию через брандмауэры. На Рисунке 2 изображена инфраструктура, посредством которой обеспечивалась проверка функциональности во время тестов. Набор производился по универсальному идентификатору ресурса (Uniform Resource Identifier, URI), при этом, как и в случае адреса электронной почты, цель (клиент 3) адресуется как член домена, к примеру client3@isys-team.de. Вызывающий участник (клиент 4) набирает client3@isys-team.de на своей клавиатуре и обращается к локальному пограничному контроллеру (BC2), который через DNS запрашивает информацию об IP-адресе пограничного контроллера (протокол Н.323) домена isys-team.de.

После его определения ВС2 связывается с ВС1 и сигнализирует о желании установить соединение. Поскольку контроллеру ВС1 известен клиент 3, он сообщает ему через брандмауэр о желании построить соединение, и при положительном ответе соответствующее подтверждение направляется через ВС1 и ВС2 клиенту 4. Далее голосовое и видеосоединение строятся через оба пограничных контроллера и через оба брандмауэра без обмена IP-адресами между предприятиями. Домен в переносном смысле представляет собой код предприятия, а имя участника — номер абонента. На практике после регистрации контроллера границ в общедоступной системе DNS никаких проблем не было выявлено.