Windows Live-Messanger (Ports einschränken?)

[zip 10]

Hi zusammen,

 

ich hab hier seit einiger Zeit ein Problem mit dem Windows Live Messenger 8.1. Wir würden das hier mal Testweise eine Zeit lang nutzen. Leider bekomme ich nach extern einfach keine Video/Audio-Übertragung hin, weil das ganze natürlich über unsere Zentrale Firewall läuft.

 

Der MSN-Support sagt dazu folgendes:

 

- Um die Windows Live Messenger Videofunktion zu nutzen, müssen folgende Ports geöffnet werden:

 

TCP 9000, 9010

TCP 5000-65535

 

Wenn ich diese Ports öffne funktioniert das ganze ohne Probleme. Allerdings erlaub ich damit ja praktische jedem User nahezu alles zu machen was er will (filesharing, online-spiele usw.).

 

Hat jemand ne Idee wie ich das Scheunentor nicht ganz so weit öffnen muss und es dennoch funktioniert?

[SecurityMaker 10]

Hi,

 

als erstes mal die frage. Was für ne Zentrale Firewall setzt ihr überhaupt ein?

 

Wie ist euer Regelwerk eingestellt? Abteilungstrennung? Usertrennung oder Allout?

 

Wenn das Regelwerk der Firewall Usertrennung zulässt reicht das ja immerhin das nur du als User/PC die ports aufgeschlossen kriegst solange du dir sicher bist das du ein "vernünftiger" user bist.

[zip 10]

Die Firewall ist von Checkpoint (NGX). Das Regelwerk ist mehr oder weniger in Abteilungen getrennt und hat hier und da ein paar sonderregelungen für bestimmte User. Je nach user freizuschalten wäre ne möglichkeit, stellt aber denk ich dennoch ein sicherheitsrisiko dar glaube ich. Was könnte man denn noch so anstellen?

[SecurityMaker 10]

Die gute alte Checkpoint.... Mosat lässt grüssen und ein Doktor titel auf die bedienungsanleitung! :)

 

2 Möglichkeiten hättest du noch.. entweder versuchen die Ports für die Videoübertragung von dem Messenger auf andere Ports umzuleiten bzw zu tunneln..oder den besagten rechner auf den der messenger laufen soll in eine DMZ tun.

[zip 10]

hmm, danke für die Antwort. Also im messenger selber kann ich leider keine Ports einstellen. Wie meinste das mit dem Tunneln? Soll jeder user ne VPN verbindung in unser Privates Netz aufbauen um dann praktisch Netzintern das ganze zu betreiben?

 

Ich kenn mich mit der Materie leider gar nicht aus.

[SecurityMaker 10]

Hi,

 

Das tunneln ist ähnlich wie eine VPN Verbindung. Gibt diverse programme die z.B den Port 9000 auf den Port 80 der Standartmässig für das Internet freigegeben sit tunneln. Aber so ganz hab ich noch nicht verstanden was du mit dem Messenger machen willst? Willst du den Messenger nur für Intern benutzen oder eben auch Hotmail Accounts einbinden von Firmenfremden usern?

[zip 10]

Hi,

 

Also Firmenintern ist nicht so das Problem das klappte bisher immer ganz gut, ich hab mal mit Wireshark geguggt, die Video-Übertragung läuft komplett peer-to-peer, also netzintern wenn zwei leute in der Firma das nutzen --> no problemo. Nach aussen brauch ich da nur einen Port richtung MS-Server für die ... hmm ja kontaktliste denk ich mal ... und textmessanging geht auch über diesen einen Port (TCP 1863).

 

Wenn jemand von zu hause bzw. aus einem anderen Netz mit uns Komunizieren will (und umgekehrt) brauch ich dann leider die ganze bandbreite (5000-65535) von Ports zu diesem User hin. Mir würde es ja schon reichen wenn ich dem messanger sagen könnte "bitte nutze nur ~200 bestimmte Ports die ich dir öffne", aber halt keine 60000. :(

[SecurityMaker 10]

Hi,

 

hmm... tjoa das ist jetzt ne zwickmühle. Wie hier beschrieben Windows Messenger in Windows XP: Working With Firewalls and Network Address Translation Devices wenn du Audio/Video drüber lauffen willst kannst ja gleich die Firewall wegpacken! :)

 

Einziege möglichkeit die ich aber selber noch nciht getestet hab ist vielleicht ein Office Communication Server aufzusetzen und den in eine DMZ zu stellen.