Livro de Receitas sobre Videoconferência ViDe

Aspectos relativos à rede

Firewalls

Os principais tipos de firewalls são filtragem de pacotes, circuitos de gateway e aplicação de gateway por nível. Qualquer discussão sobre firewalls e suas várias implantações e estratégias de desenvolvimento são essencialmente infindáveis, portanto, este material deveria ser considerado extremamente superficial. Também deve ser considerado que as configurações do firewall comumente requerem perfis assíncronos para clientes internos e externos, e a videoconferência freqüentemente irá usar firewalls múltiplos.

Como os requerimentos de videoconferência são incompatíveis com os firewalls

Segue uma breve descrição das tecnologias dos firewalls e suas implicações para videoconferências H.323.

Os firewalls de filtragem de pacotes bloqueiam ou permitem conexões baseado inteiramente em informações de endereçamento no cabeçalho do IP. Como discutimos antes, o H.323 embute informações da rota no dado atual ou na seção de dados do pacote que responde a uma solicitação de sinalização, e, então, a filtragem do pacote não fornece método de associação da solicitação UDP com as informações da rota.

Conseqüentemente, a única maneira de um roteador de filtragem de pacote suportar H.323 é abrir todos UDPs e todas as portas TCP acima de 1024 em cada direção. Obviamente, ambos os firewalls de fontes e destino teriam de estar configurados de forma similar e, dessa forma, reduzirem significativamente a proteção a qual o firewall implementado deveria fornecer.

Um firewall de circuito de gateway permite que uma solicitação UDP inicie a abertura de portas dinâmicas por um tempo limitado considerando streams associados com a aplicação. As maiorias dos firewalls utilizando esse método possuem algum entendimento de protocolos de aplicação comum, como a Telnet e o FTP. Os seus comportamentos são previsíveis por causa do requerimento de porta estática e o resultado é um estado inesperado. Os firewalls de circuito de gateway podem fornecer suporte adequado para videoconferência se eles puderem desmontar a seção de dados (payload) e responder abrindo as portas solicitadas dinamicamente. O desmonte dos pacotes e a associação do conteúdo com a solicitação de sinalização UDP é complexa, requer mais do que entendimento da aplicação do padrão e pode introduzir latência.

O firewall de aplicação de gateway por nível é evidente para a aplicação porque ele implementa uma área de memória H.323 parcial. O gateway faz a tradução de endereço mas pode administrar as portas internas e externas participando realmente no processo de sinalização e, através disso, abrir as portas de dados solicitadas. Esse firewall se comporta de maneira transparente para os cliente internos e externos depois que a conexão é feita, mas essa conexão é feita sob um custo. Já que os clientes estão cientes do gateway, eles devem ser configurados nos dois locais e receber chamadas através do endereço de IP do gateway. O cliente deve ser configurado com esse endereço (como qualquer gateway) e os campos de identificação do H.323 devem ser preenchidos completamente para habilitar o acesso.

Soluções para os Problemas de Videoconferência com Firewalls

É claro que uma solução para o suporte de videoconferência através de firewall seria meramente abrir a porta requerida para todo o tráfico de rede. Enquanto isso parece impetuoso, é uma solução recomendada por pelo menos um fornecedor do produto. Felizmente, há melhores alternativas disponíveis. Muitos fornecedores implementam agora tecnologias de firewall em produtos de encaminhamento que confirmam as limitações das implementações antigas e suportam adequadamente o tráfico de rede SIP e H.323.

Note cuidadosamente que mesmo se um firewall ou NAT é configurado perfeitamente para passar todo o tráfico de vídeo que você deseja, ele ainda pode interferir com a conferência de vídeo. Isso é porque os firewalls e NAT são basicamente computadores e, portanto, eles têm um limite de quantidade de tráfico que eles conseguem lidar. Se o firewall e o NAT não são rápidos o bastante para lidar com o tráfico apresentado a eles, causará queda de pacotes e irá introduzir tremulações onde o pacote passar. Portanto, certifique-se que o dispositivo firewall ou NAT é rápido o bastante para fazer o seu trabalho.

Os produtos Ridgeway Systems IPFreedom Server, Site Client e Personal Client fornecem conectividade segura através de qualquer tipo de firewall ou NAT, sem levar em consideração quantos estão no caminho. O Personal Client é gratuito para usuários de PC, mas usuários de Mac devem se conectar via Site Client que não é gratuito.

O RADVision ECS Gatekeeper pode ser equipado com o ECS Firewall Solution para operar quando o gatekeeper reside no DMZ entre a rede local de IP e rede externa de IP.

O NetScreen é um parceiro da RADVision com produtos que combinam firewall ciente de H.323, VPN e administração de tráfico em uma plataforma única dedicada.

O Cisco suporta videoconferência com o seus próprios produtos MCM gatekeeper e PIX firewall e com integração com produtos de outros fornecedores.

O Check Point Software para produtos Firewall são habilitados para H.323.