Checkpoint VoIP R80 - H.323 Configuration Inspection Setting

gani

Internship/Fresher
Staff member
Jun 22, 2019
71
24
8
HCM city
Tài liệu troubleshoot H.323 trên Checkpoint R80​

Flow of H.323

1629355509650.png

Kiểm tra các services của H.323 đã được allow trên rule của Checkpoint
H.323 Specific Services

ServicePurpose
TCP:H323Allows a Q.931 to be opened (and if needed, dynamically opens an H.245 port), and dynamically opens ports for RTP/RTCP or T.120.
UDP:H323_rasAllows a RAS port to be opened, and then dynamically opens a Q.931 port (an H.245 port if needed). Also dynamically opens and RTP/RTCP and T.120 ports.
UDP:H323_ras_onlyAllows only RAS ports. Cannot be used to make calls. If this service is used, no Application Intelligence Checks (payload inspection or modification as NAT translation) are made. Do not use if you want to perform NAT on RAS messages. Do not use in the same rule as the H323_ras service.
TCP:H323_anyRelevant only for versions prior to R75.40VS:
Similar to the H323 service, but also allows the Destination in the rule to be ANY rather than a Network Object. Only use H323_any if you do not know the VoIP topology, and are not enforcing media admission control (formerly known as Handover) using a VoIP domain. Do not use in the same rule as the H.323 service.


Kiểm tra policy IPS mặc định cho VoIP
Security Policies -> Inspection Settings -> General -> searchbox “H. 323”

1629355517595.png


[Accept] Block H.323 Messages with Illegal ASN.1 Encoding: Là 1 kiểu mã hóa trong việc trao đổi giữa các bản tin RAS, H.225, H2.245. Trước khi gói tin được cho phép qua cổng firewall thì nó phải được giải mã nếu gói tin không được giải mã firewall sẽ block gói tin đó. Trừ trường hợp tính năng này không bật hoặc ở trạng thái monitor-only thì gói tin được cho phép đi qua mà không cần giải mã.

1629355522620.png


1629355528435.png


[Accept] Block Unrecoverable H.323 Inspections Errors: Cho phép những kết nối không được quét bổ sung truy cập bởi tính năng SmartDefense

1629355540212.png


  • [Accept] Block H.323 Media Admission Control [MAC]: là quá trình mà Máy chủ VoIP cho phép các endpoints thực hiện cuộc gọi (send media) đến nhau.

1629355546188.png

  • [Accept] Block H.245 Tunneling: Tùy chọn này ngăn việc đóng gói bản tin H.245 trong bất kỳ bản tin Q.931 nào. H.245 tunneling bảo tồn tài nguyên, đồng bộ hóa tín hiệu và điều khiển cuộc gọi, đồng thời giảm thời gian thiết lập cuộc gọi. H.245 nên được cho phép nếu thiết bị VoIP hỗ trợ nó
1629355551423.png


  • Allow an initiation of H.323 connections from server to endpoints: Endpoint thường bắt đầu kết nối TCP H.323 (H.225) tới Gatekeeper hoặc máy chủ. Trong các tình huống mà Gatekeeper khởi tạo kết nối TCP tới endpoint, cài đặt này phải được chọn.

1629355557867.png
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu