CGTI

Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Ttulo Autor Data

Configurar PfSense para permitir acesso a videoconferncia pelo equipamento Polycom HDX 6000 Jos Eleudson Gurgel Queiroz, Analista de TI 3 de maio de 2012

O problema
Recebemos um equipamento de videoconferncia Polycom HDX 6000. Um espetculo! Entretanto, ao instalarmos o mesmo e fazermos algumas configuraes de NAT e firewall no PfSense 2.0, o sistema no conectava via protocolo H.323. Conectava via SIP, mas no ficava transmitindo sinal de udio e vdeo. Em algumas conversas com colegas da Reitoria, fui informado que j tinham habilitado a comunicao atravs do IPtables do Linux, mas no com o PfSense.

A anlise
Pelo que pesquisei, a causa do problema que, por segurana, o processo de NAT do funcionamento padro do PfSense, reescreve os endereos de origem e destino dos pacotes e atribui novas portas aos pacotes TCP e UDP que no exigem portas padro, de acordo com a disponibilidade das mesmas, dificultando assim uma srie de ataques maliciosos. Normalmente, estes pacotes contm dados transmitidos por uma conexo pr-estabelecida. No caso da videoconferncia, so sons e vdeos transmitidos aps a conexo estabelecida pelo protocolo H.323. Todas as solues sugeridas nos livros, fruns e pginas pesquisadas incluam a criao de um IP virtual para a porta WAN, dentro do intervalo de IP's pblicos disponveis; NAT de entrada (Port Forward ou 1:1) entre o endereo pblico externo e o endereo local atribudo ao equipamento de videoconferncia; e NAT do IP interno para o pblico (Outbound NAT), mantendo as mesmas portas durante a conexo (Static Port). Mas a ideia deste texto no se aprofundar na parte tcnica do problema, e sim, apresentar uma soluo. Neste sentido, algumas destas recomendaes foram implementadas, com mais algumas que o processo de tentativa e erro me levou a descobrir, resultando nos passos a seguir. Observao: Estou assumindo que o leitor j tem conhecimento sobre a configurao do PfSense 2.0 atravs da sua interface web.

A soluo
O esquema grfico da disposio dos equipamentos mostrado na Ilustrao 1.

Pgina 1 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Ilustrao 1: Esquema grfico

Passo 1

Instale uma nova placa de rede e crie uma interface associada a esta placa fsica em Interfaces -> (assign), aba Interface assignments (Ilustrao 2).

Ilustrao 2: Criando nova interface de rede Em seguida, acesse a interface criada em Interfaces -> "nome da interface" (OPTx) e edite conforme a Ilustrao 3, mudando o IP que ir atribuir para seu equipamento de videoconferncia, dentro da sua rede local.

Pgina 2 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Ilustrao 3: Editando a interface VIDEO

Passo 2

Uma boa prtica no uso do PfSense procurar criar Aliases para registrar ou agrupar nmeros IPs ou de portas, URLs, etc. Com isso, as regras de firewall ou NAT ficam mais legveis e fceis de alterar. Para criar os aliases, acesse Firewall -> Aliases e edite a tela como a seguir. Foram criados os seguintes aliases: ServidoresVideoConferencia, que inclui nmeros IP dos equipamentos que podero estabelecer conexo com o nosso (Ilustrao 4) .

Pgina 3 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Ilustrao 4: Edio de Alias ServidoresVideoconferencia PortasTCP_VideoConferencia, com as seguintes portas TCP: 1720 (Chamada H.323), 1731 (Controle de chamada de udio), 5060(SIP), 53 (DNS) e 1024:65535, portas TCP altas utilizadas para envio de dados (Ilustrao 5).

Ilustrao 5: Edio de Alias PortasTCP_VideoConferencia

Pgina 4 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Portas UDP_Videoconferencia, com as seguintes portas UDP: 5060(SIP), 53 (DNS), 123 (NTP) e 1024:65535, portas UDP altas utilizadas para envio de dados (Ilustrao 6) .

Ilustrao 6: Edio de Alias PortasUDP_VideoConferencia

Passo 3

Agora criaremos um IP virtual para a interface WAN, que ser o IP pblico que receber as chamadas externas, que, por sua vez, sero redirecionadas para o equipamento de videoconferncia. Faa isso adicionando em Firewall -> Virtual IPs, editando conforme a Ilustrao 7, a seguir.

Pgina 5 de 14

Ilustrao 7: Editando um IP Virtual

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Passo 4

Crie um NAT 1:1, em Firewall -> NAT, aba 1:1, para redirecionar chamadas externas para o equipamento local, conforme a Ilustrao 8 .

Ilustrao 8: Editando NAT 1:1

Passo 5 (opcional)

O menu Firewall -> NAT, aba Outbound, leva a opo de criar um NAT para o trfego de sada. Quando a opo Automatic Outbound NAT rule generation est marcada, o PfSense j cria internamente as regras na interface WAN, para as subredes das interfaces locais, mantendo o comportamento de reescrever os endereos e mudar as portas, se necessrio. Como nesta soluo as portas estticas sero definidas no Polycom HDX 6000, creio que no tem problema o PfSense criar automaticamente as regras (ainda no testei). Em nossa instalao, mantemos o controle explcito dos Outbound NATs e criamos a nova regra conforme

Pgina 6 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

mostrado na Ilustrao 9.

Ilustrao 9: Lista de NAT Outbound Crie um Outbound NAT para a faixa de rede do equipamento de videoconferncia, sem marcar Static Port. Veja o exemplo na Ilustrao 10.

Pgina 7 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Ilustrao 10: Editando NAT Outbound

Passo 6

Agora hora de definirmos as regras do firewall. Primeiro para interface VIDEO. Acesse Firewall -> Rules, aba VIDEO. Veja Ilustrao 11.

Pgina 8 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Ilustrao 11: Regras de firewall para interface VIDEO As regras significam: 1) Todo pacote pode transitar pela subrede da interface VIDEO; 2) Os equipamentos da subrede de monitoramento podem acessar os equipamentos de videoconferncia. 3) Os pacotes das portas TCP de origem, definidas em PortasTCP_Videoconferencia, podem seguir para qualquer destino, quando originados na subrede da interface VIDEO. 4) Os pacotes com portas UDP de origem, definidas em PortasUDP_Videoconferencia, podem seguir para qualquer destino, quando originados na subrede da interface VIDEO. Para a interface WAN, s temos uma regra que define quais os equipamentos externos podero iniciar uma conexo com o equipamento de videoconferncia da rede interna, veja a Ilustrao 12. Caso no deseje acesso externo, v para o Passo 7.

Ilustrao 12: Regras de firewall para interface WAN

Pgina 9 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Passo 7

Com relao ao PfSense, s nos falta configurar o servidor DHCP, atravs do menu Services -> DHCP Server, aba VIDEO, conforme a Ilustrao 13.

Ilustrao 13: Configurando servidor DHCP da interface VIDEO Observe que a opo Deny unknown clients est marcada, para somente acessar esta rede os equipamentos que estiverem com o IP associado ao MAC. Para que o equipamento sempre receba o mesmo IP, associe um nmero IP ao MAC da interface de rede do equipamento de videoconferncia (Ilustrao 14). Esse procedimento evita ter que definir IP esttico no mesmo, permite monitoramento remoto e fica bem documentado no PfSense.

Pgina 10 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Ilustrao 14: IP fixo atribudo ao MAC do equipamento de videoconferncia

Passo 8

Aps configurar o PfSense e fazer a instalao bsica do Polycom, se deve configurar o NAT e o firewall do equipamento para poder habilitar a transmisso de udio e vdeo atravs do firewall e NAT, do PfSense. Esse o truque! V para opo Sistema -> Configuraes do administrador -> Rede -> IP -> Firewall, em seguida: Marque a opo Portas fixas Em Configurao de NAT, selecione a opo Automtica. Ao fazer isso, o equipamento j pegou o IP pblico definido no NAT do PfSense. Se no o fizer, digite-o. A opo A NAT compatvel com H.323 deve ficar desmarcada. O Endereo exibido na agenda global deve ser o IP pblico acima informado.

Veja o resultado na tela do configurador web, na Ilustrao 15, que tambm pode ser utilizado para ajustar as opes acima.

Pgina 11 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Ilustrao 15: Interface web do Polycom com destaque para configurao de rede

Passo 9

Teste a conexo discando para o servidor de teste da Polycom. Ex: 140.242.46.49.

Pgina 12 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Concluso
Videoconferncia um servio cada vez mais acessvel e necessrio para as empresas que necessitam reduzir custo e dar agilidade para as equipes de trabalho, atravs da comunicao e treinamento, que podem ser realizados distncia. Entretanto, a estrutura tecnolgica, em especial de rede, exigente quanto a qualidade, disponibilidade e continuidade de servios, requerendo um adequado planejamento. No menos exigente so os cuidados em relao segurana, visto que, muitas vezes, os equipamentos requerem uma conexo direta para a internet, seja ponto-a-ponto ou multiponto. Ex: Reunio entre vrias pessoas espalhadas por vrias cidades pelo mundo. Neste texto, vimos apenas um pequeno aspecto que se refere a configurao do firewall e NAT de produtos especficos, PfSense 2.0 e Polycom HDX 6000, para disponibilizar o servio. A soluo apresentada tem ainda uma srie de melhorias que podem ser feitas, relacionadas: a segurana, a Qualidade de Servio, monitoramento, etc. Espero que a soluo seja til e que desperte o desejo de se aprofundar no tema. Para isso, veja a lista de fontes que foram pesquisadas.

Licena
Este trabalho foi licenciado com a Licena Creative Commons Atribuio 3.0 No Adaptada. Para ver uma cpia desta licena, visite http://creativecommons.org/licenses/by/3.0/ ou envie um pedido por carta para Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA.

Pgina 13 de 14

CGTI
Coordenadoria de Gesto de Tecnologia de Informao

Como Fazer!

Fontes
http://forum.pfsense.org http://www.polycom.com/support http://www.bellera.cat/josep/pfsense/index_cs.html Deployment Guide for Maximum Security Environments, Polycom HDX Systems Version 3.0.3 Polycom, Inc. Delivering on the Promise of Easy to Use, Secure, and Inexpensive Video Conferencing in an environment: Solving the Challenges Created by Firewalls and Network Address Translation in a Videoconferencing Environment. A Frost & Sullivam Whitepaper Sponsered by Polycom Guia do administrador para sistemas Polycom HDX. 3.0.3 | Outubro de 2011 | 3725-24073007/A. Polycom. Deployment Guide for Maximum Security Environments Polycom HDX Systems, Version 3.0.3 pfSense: The Definitive Guide. Christopher M. Buechler and Jim Pingle. Based on pfSense Version 1.2.3. ISBN: 978-0-9790342-8-2 pfSense 2 Cookbook : A practical, example-driven guide to configure even the most advanced features of pfSense 2 . Matt Williamson . Packt Publishing Ltd. Maro/2011.

Pgina 14 de 14