Application layer gateway что это в роутере

From Wikipedia, the free encyclopedia

An application-level gateway (ALG, also known as application layer gateway, application gateway, application proxy, or application-level proxy) is a security component that augments a firewall or NAT employed in a computer network.^[1][2] It allows customized NAT traversal filters to be plugged into the gateway to support address and port translation for certain application layer «control/data» protocols such as FTP, BitTorrent, SIP, RTSP, file transfer in IM applications. In order for these protocols to work through NAT or a firewall, either the application has to know about an address/port number combination that allows incoming packets, or the NAT has to monitor the control traffic and open up port mappings (firewall pinholes) dynamically as required. Legitimate application data can thus be passed through the security checks of the firewall or NAT that would have otherwise restricted the traffic for not meeting its limited filter criteria.

Functions[edit]

An ALG may offer the following functions:

• allowing client applications to use dynamic ephemeral TCP/UDP ports to communicate with the known ports used by the server applications, even though a firewall configuration may allow only a limited number of known ports. In the absence of an ALG, either the ports would get blocked or the network administrator would need to explicitly open up a large number of ports in the firewall — rendering the network vulnerable to attacks on those ports.
• converting the network layer address information found inside an application payload between the addresses acceptable by the hosts on either side of the firewall/NAT. This aspect introduces the term ‘gateway’ for an ALG.
• recognizing application-specific commands and offering granular security controls over them
• synchronizing between multiple streams/sessions of data between two hosts exchanging data. For example, an FTP application may use separate connections for passing control commands and for exchanging data between the client and a remote server. During large file transfers, the control connection may remain idle. An ALG can prevent the control connection getting timed out by network devices before the lengthy file transfer completes.^[3]

Deep packet inspection of all the packets handled by ALGs over a given network makes this functionality possible. An ALG understands the protocol used by the specific applications that it supports.

For instance, for Session Initiation Protocol (SIP) Back-to-Back User agent (B2BUA), an ALG can allow firewall traversal with SIP. If the firewall has its SIP traffic terminated on an ALG then the responsibility for permitting SIP sessions passes to the ALG instead of the firewall. An ALG can solve another major SIP headache: NAT traversal. Basically a NAT with a built-in ALG can rewrite information within the SIP messages and can hold address bindings until the session terminates. A SIP ALG will also handle SDP in the body of SIP messages (which is used ubiquitously in VoIP to set up media endpoints), since SDP also contains literal IP addresses and ports that must be translated.

It is common for SIP ALG on some equipment to interfere with other technologies that try to solve the same problem, and various providers recommend turning it off.^[4][5][6]

An ALG is very similar to a proxy server, as it sits between the client and real server, facilitating the exchange. There seems to be an industry convention that an ALG does its job without the application being configured to use it, by intercepting the messages. A proxy, on the other hand, usually needs to be configured in the client application. The client is then explicitly aware of the proxy and connects to it, rather than the real server.

Microsoft Windows[edit]

The Application Layer Gateway service in Microsoft Windows provides support for third-party plugins that allow network protocols to pass through the Windows Firewall and work behind it and Internet Connection Sharing.^{[citation needed]} ALG plugins can open ports and change data that is embedded in packets, such as ports and IP addresses. Windows Server 2003 also includes an ALG FTP plugin. The ALG FTP plugin is designed to support active FTP sessions through the NAT engine in Windows. To do this, the ALG FTP plugin redirects all traffic that passes through the NAT and that is destined for port 21 (FTP control port) to a private listening port in the 3000–5000 range on the Microsoft loopback adapter. The ALG FTP plugin then monitors/updates traffic on the FTP control channel so that the FTP plugin can plumb port mappings through the NAT for the FTP data channels.

Linux[edit]

The Linux kernel’s Netfilter framework, which implements NAT in Linux, has features and modules for several NAT ALGs:

• Amanda protocol
• FTP
• IRC
• SIP
• TFTP
• IPsec
• H.323
• PPTP
• L2TP

See also[edit]

• Session border controller

References[edit]

External links[edit]

• DNS Application Level Gateway (DNS_ALG)

Application Level Gateway (ALG) — шлюз прикладного уровня, компонент маршрутизатора NAT.

Как работает ALG

ALG обрабатывает динамические политики брандмауэра, необходимыe определенным протоколам, таким как FTP. Многие подобные протоколы были разработаны без учета безопасности или других средств контроля доступа, что может вызвать проблемы при внедрении брандмауэров.

Например, FTP использует несколько сеансов для облегчения передачи файлов — первичный командный канал и вторичные каналы данных для списков каталогов и передачи файлов. Часто эти каналы данных идут в направлении, противоположном исходному командному каналу.

Поскольку эти каналы данных могут подключаться к любому порту, практически невозможно создать статическую политику брандмауэра, которая бы разрешала эти каналы данных и при этом обеспечивала адекватную защиту.

FTP ALG автоматически решает эту проблему путем мониторинга командного канала FTP, поиска команд порта FTP, которые указывают, какие порты источника и назначения запрашиваются. ALG динамически открывает определенную комбинацию IP-портов источника и назначения в политике брандмауэра, которая позволяет установить сессию. Как только сессия завершена, шлюз немедленно закрывается.

FTP ALG также обрабатывает особый случай, когда FTP-сессия проходит через интерфейс NAT. В этом случае конечные точки не всегда понимают, что их адреса переводятся в середине потока. Команды порта FTP используют IP-адреса, которые настроены на интерфейсах конечных узлов, что в случае узла, находящегося за брандмауэром NAT, обычно недостижимо из интернета. ALG решает эту проблему на прикладном уровне, заменяя внутренний IP на адрес интерфейса NAT.

Принцип работы ALG схож с прокси-сервером, шлюз обеспечивает возможность использования протокола клиентами.

Примеры протоколов, для которых требуется ALG

• PASV передает IP-адрес и номер порта клиента в команде PORT с помощью ALG.
• У протокола PPTP нет понятия «номер порта», что создает проблемы с преобразованием адреса во внешний мир. ALG позволяет создать больше одного PPTP-соединения.
• Протокол H.323. Шлюз прикладного уровня состоит из набора протоколов H.225.0 и H.245 для обеспечения сеанса аудиовизуальной связи в любой сети.
• Также ALG работает в протоколах передачи файлов в некоторых мессенджерах, участвует в создании игровых серверов и помогает организовывать файлообменные сети.

Бизнес-структуры выбирают IP телефонию, поскольку это быстрой, недорогой способ для коммуникации в пределах своей страны, так и за рубежом. Однако случаются неполадки, приносящее дискомфорт для работы. Недостаточно быстрый интернет может быть причиной этих проблем. Но если скорость интернета хорошая, а присутствует прерывание голоса, односторонний звук, проблема может быть связана с SIP ALG. В статье разберем, как работает этот «Service ports» как его еще называют и как им управлять в случае возникновения неудобств.

Как VoIP телефония применяет SIP?

Телефонное общение с клиентами — большая часть расходов каждой компании. Но благодаря тому, что IP-телефония применяет протокол SIP для передачи данных через интернет, предприниматели пользуются недорогими тарифами на звонки, когда подключают виртуальные номера.

Для SIP-телефонии не нужно сложное оборудование — чтобы сотрудники могли отвечать на вызовы и звонить клиентам, достаточно установить специальные программы (например, Zoiper) на рабочие компьютеры с гарнитурой. Можно купить в офис VoIP телефоны. Выбор устройств будет зависеть только от задач, которые стоят перед компанией, и бюджета.

В IP-телефонии голос, видео, текстовые сообщения, медиаконтент передаются как сжатые пакеты данных. При отправке аналоговый сигнал (речь) переводится в цифровой вид и в SIP-пакетах доставляется получателю, после чего происходит распаковка данных обратно в звук. Это требует микросекунды, но любые задержки в загрузке пакетов нарушают качество воспроизведения.

Понятие SIP ALG обозначает шлюз прикладного уровня, который необходим, чтобы облегчать процесс прохождения голосового трафика. Его задача — переписать частные IP-адреса и порты вашей сети и сделать их доступными пользователям, находящимся за пределами NAT.

Принцип работы шлюза SIP ALG

Разберемся, как происходит присвоение IP-адресов в разных сетях, чтобы понять принцип SIP ALG. Подключая интернет, провайдер чаще всего предоставляет один внешний IP-адрес на офис. Но внутри компании множество пользователей. Офисные компьютеры могут быть связаны между собой по внутренней локальной сети и им также нужно отсылать и получать данные извне. VoIP телефония передает голосовые данные через интернет, а значит системе нужно различать, к какому пользователю следует отправить звонок.

NAT (Network Address Translation) — это процесс, который обеспечивает доступ к публичному IP-адресу для нескольких устройств. Сотрудники офиса пользуются доступом в интернет через роутер (маршрутизатор), он выступает как устройство, которое производит эти преобразования IP-адресов.

Application Layer Gateway (ALG) считается одним из компонентов NAT-маршрутизатора. Обычно SIP ALG необходим, чтобы нейтрализовать проблемы маршрутизатора. Если говорить про общение с применением VoIP технологий, то ALG будет проверять пакеты голосовых данных, чтобы они отправлялись и доставлялись правильно во время звонка.

Для SIP ALG обязательно нужен порт 5060. Если используется иной тип порта, то механизм ALG не сможет выполнять цикл.

Проблемы неправильной работы SIP ALG

Как видно по отзывам в интернете, проблемы с SIP ALG могут возникать не только у предпринимателей, которые использует VoIP для звонков, но даже у участников онлайн игр бывают задержки голосового чата через эту функцию роутера. Поэтому понимание, как устранять неполадку, подойдет вам и в работе, и дома.

Чтобы SIP-сервер мог зарегистрировать VoIP устройство, ему необходимо преодолеть NAT. Но если у одного из участников беседы нет SIP ALG, а используются иные методы прохождения трафика, например, Outbound proxy, STUN, тогда возможны проблемы.

Каждый раз, когда система пробует подтвердить соединение, AGL вносит изменения в отправляемые пакеты SIP. Это все происходит автоматически, благодаря сценариям. Создавать новые сценарии без технических знаний рискованно — могут быть потеряны важные составляющие сообщения.

Зачем же тогда производители маршрутизаторов добавили такую функцию, которая может создавать проблемы? Причина в том, что ALG проводит не только замену IP, но также фильтрует трафик, чтобы в локальную сеть компании не попадало ничего лишнего.

Неполадки VoIP, которые могут быть связаны с SIP ALG:

• Односторонняя аудиозапись. Вы слышите голос абонента во время звонка, а он вас нет. Причина такого явления — плохие настройки брандмауэра, либо изменение пакетов ALG таким образом, что звук теряется на одном конце вызова;
• Снижение качества звука. Если происходит потеря голосовых пакетов во время онлайн-звонка, вы будете слышать статические помехи, эхо, иногда полную потерю слышимости;
• Неудачные регистрации. Когда во время вызова необходимо подтвердить соединение несколько раз, но сеанс не удается и соединение потеряно. Такое часто случается, поскольку SIP ALG постоянно работает в фоновом режиме;
• Прерывание связи (jitter). Возникают паузы во время передачи голосовых пакетов, что влияет на воспроизведение звука;
• Входящий звонок не проходит;
• Вызов сбрасывается из-за прерывания SIP. В таком случае восстановить данные невозможно, они полностью теряются из-за сбоя маршрутизатора.

Для решения подобных проблем можно попробовать включить или выключить маршрутизатор. Если такое действие не приносит пользы, потребуется полное отключение шлюза SIP ALG, чтобы VoIP телефония работала корректно. Когда роутер устаревший, у него может не быть функции отключения. И лучше всего будет — купить новый маршрутизатор.

Почему стоит отключить SIP ALG на маршрутизаторе?

SIP ALG отвечает за замену IP-адресов, чтобы передача звука между абонентами проходила верно, когда происходит обмен данными за пределы NAT. К сожалению неполадки возможны, когда система неправильно расшифровывает данные и голосовая информация может теряться. Однако, перед тем как отключить SIP ALG, необходимо убедиться, что проблема именно в нем.

Для этого запустите тест детектора ALG. В интернете вы найдете разные варианты тестирования и специальные приложения для этого. Вы можете обратиться на сайт производителя маршрутизатора, возможно, отдел поддержки порекомендует лучшие программы для этой задачи.

Важно запускать тест на компьютере в той же сети, к которой у вас подключено устройство VoIP. Если вы направите тест на подсеть, в иной порт управляемого коммутатора или подключите иной кабель, есть риск, что тест даст неточные результаты. В случае положительного ответа тестирования, что проблема связана с SIP ALG, можно переходить к ее устранению.

Способы отключения функции SIP ALG

Функция SIP ALG может присутствовать не только на маршрутизаторе, но и модеме, управляемом коммутаторе. Все зависит, какие именно устройства вы используете дома или в офисе. Но процедуры в целом идут по одному сценарию.

Отключение SIP ALG на маршрутизаторе

У каждого роутера настройки будут проводиться по-разному. Чтобы быть уверенным, что все делаете правильно, обратитесь к заводским инструкциям, которые вы найдете в Google для маршрутизаторов TP-LINK, Cisco, Microtic и прочих устройств.

Получить доступ в интерфейс маршрутизатора можно по IP-адресу — его чаще всего указывают на наклейке на роутере. Там же содержится информация для входа в систему через браузер.

Здесь мы не будем приводить конкретные примеры функций, чтобы вы могли воспользоваться именно теми алгоритмами отключения, которые будут актуальны на момент прочтения статьи. Поскольку на некоторые маршрутизаторы, например, фирмы Cisco доступ можно получить только через командную строку.

Когда процесс отключения будет завершен, проведите повторное тестирование через детектор SIP ALG.

Отключение SIP ALG на модеме

Многие роутеры снабжены функцией модема, либо пользователи приобретают модем отдельно. Этому есть несколько причин:

• Интернет-провайдер не сможет добавлять принудительно настройки, которые могут пойти в конфликт с вашими потребностями и безопасностью сети;
• Содержать свой модем дешевле, чем брать в аренду у провайдера;
• Иногда провайдеры проводят сброс настроек. И если вы не управляете модемом сами, то параметры, которые вы применяли вручную, могут быть потеряны.

Если вы не планируете менять модем, то отключить SIP ALG можно по той же схеме, что и для маршрутизатора. Вы определяете модель устройства и находите по ней инструкцию. Следует помнить, что в модемах может быть автоматическое обновление. И если проблемы с VoIP связью возникают снова, проведите повторное тестирование.

Отключение SIP ALG на управляемом коммутаторе

Многие компании малого бизнеса применяют управляемые коммутаторы 3 уровня, где также имеется встроенный SIP ALG. Процесс устранения неполадок проводится аналогично, что и для роутера.

Что делать, если проблема остается нерешенной?

Другие способы решения проблемы могут потребоваться, если отключение SIP ALG не принесло результата. Воспользуйтесь следующими рекомендациями:

• Попробуйте перейти на другой локальный или внешний порт SIP. Чтобы идентифицировать трафик VoIP, SIP AGL использует порты. Традиционным является порт 5060. И если возникают неполадки при подключении через этот порт, попробуйте переключить VoIP устройство на иной SIP порт.
• Используйте протокол UDP вместо TCP. Чтобы общение через интернет было доступно, VoIP применяет протокол SIP на прикладном уровне и два других протокола UDP и TCP на транспортном уровне. По умолчанию на VoIP телефонах и SIP устройствах используется User Datagram Protocol. TCP гарантирует, что все пакеты данных будут получены в нужной последовательности. Поэтому переключение на него может исправить проблемы с VoIP связью, поскольку протокол UDP нацелен лишь на скорость передачи данных, но не на отслеживание правильной последовательности.

Отключение SIP ALG или перенастройка роутера может принести результаты и вернуть вам VoIP связь без помех. Однако, если вы замечаете, что принятых мер недостаточно, стоит рассмотреть обновление вашего тарифного плата у провайдера интернета.

VoIP телефония привязана к скорости интернет-соединения. Если компания давно не обновляла маршрутизатор, пользовалась аналоговой связью, а теперь планирует перейти на VoIP, следует протестировать скорость интернета и по возможности купить новое оборудование.

VoIP телефония от провайдера Freezvon

Если вы уже пользуетесь услугами VoIP провайдера Freezvon, то при возникновении любых вопросов обращайтесь в службу поддержки по телефону или через онлайн-чат.

Для пользователей, которые планируют перейти на VoIP телефонию, мы проводим консультации по выбору номеров и виртуальной АТС, чтобы сформировать индивидуальный план телефонизации вашей компании.

Применение облачной АТС — наиболее выгодная опция для корпоративных пользователей. Вы получите возможность управлять очередью звонков, настраивать SIP-аккаунты, получать голосовую почту, делать настройки IVR меню, пользоваться множеством иных функций. И также у вас будет доступ к бесплатной внутренней линии для коммуникации сотрудников, и возможность использовать конференц-связь.

При заказе услуги IP АТС все будет готово к работе в течение трех дней — это самый быстрый способ обеспечь компанию VoIP телефонией, как удобным и недорогим средством связи для развития бизнеса в своем регионе и в международном масштабе.

К списку