Fail2Ban И SMG-1016M

[syan]

Добрый день!
Подскажите пожалуйста в чём может быть проблема.
У нас smg1016m

Программное обеспечение:
Версия ПО V.3.3.1.1403 M/PBX/SORM Build: Jun 15 2015 10:44:39
Версия SIP-адаптера 3.3.0.69

Заводские параметры:
Модель SMG-1016M

Включили Fail2ban, он начал блокировать наших клиентов и заносить их в чёрные списки.
Без включенного fail2ban всё рабоотает корректно.


Эта тема уже поднималась на форуме, но внятного ответа я не нашёл.
В логах на атс вот такое сообщение
cat /tmp/logs/pbx_sip_bun.log Request error: OPTIONS failed : Unknown original address : from

Клиенты с софтфонами, астериск

Буду благодарен за любую помощь.

[Fluke]

Тут ситуация двоякая.
1. С клиентской стороны приходят OPTIONS в качестве keep-alive. Если клиент криво настроил астериск, то эти OPTIONS не содержат действительного имени пользователя или CallerID и SMG такие OPTIONS отбивает как 403 Forbidden, чем самым провоцирует Fail2Ban.

2. В SMG нет возможности отключить проверку имени пользователя при входящем OPTIONS.

Выход: 1. сообщить клиентам чтобы те отключили посылку OPTIONS или настроили как нужно. 2. Добиться от разработчиков SMG, добавления функции отключения проверки имени пользователя при входящем OPTIONS со стороны абонентов.

[syan]

Спасибо большое Fluke.

А ответа от Елтекса дождёмся когда нибудь?

[Анна]

Добрый день.
можете снять tcp dumo (раздел pcap трассировки) и выслать ее на anna.zhadovets@eltex.nsk.ru? Сейчас у вас абоненты по прежнему заносятся в черные списки?

[Анна]

Так же вышлите файл конфигурации с вашего устройства

[syan]

Добрый день.
можете снять tcp dumo (раздел pcap трассировки) и выслать ее на anna.zhadovets@eltex.nsk.ru? Сейчас у вас абоненты по прежнему заносятся в черные списки?

Да, заносятся.

[syan]

Анна, всё выслал вам в почту

[syan]

И всё таки вопрос к Элтекс.

Когда планируется к выпуску обновление ПО с поддержкой OPTIONS?

В RFС3261 явно указано следующее:

11 Querying for Capabilities

The SIP method OPTIONS allows a UA to query another UA or a proxy
server as to its capabilities. This allows a client to discover
information about the supported methods, content types, extensions,
codecs, etc. without "ringing" the other party. For example, before
a client inserts a Require header field into an INVITE listing an
option that it is not certain the destination UAS supports, the
client can query the destination UAS with an OPTIONS to see if this
option is returned in a Supported header field. All UAs MUST support
the OPTIONS method.

The target of the OPTIONS request is identified by the Request-URI,
which could identify another UA or a SIP server. If the OPTIONS is
addressed to a proxy server, the Request-URI is set without a user
part, similar to the way a Request-URI is set for a REGISTER request.

[Bokrenok]

И всё таки вопрос к Элтекс.

Когда планируется к выпуску обновление ПО с поддержкой OPTIONS?

А кто сказал, что SMG не поддреживает запросы OPTIONS?
Она их вполне себе поддерживает, вот только в Вашем случае SMG не может идентифицировать отправителя, потому и попадают эти запросы в бан.

Может стоит озаботиться настройкой OPTIONS со стороны отправителя, чтобы SMG могла нормально идентифицировать того, кто отправил?

[syan]

И всё таки вопрос к Элтекс.

Когда планируется к выпуску обновление ПО с поддержкой OPTIONS?

А кто сказал, что SMG не поддреживает запросы OPTIONS?
Она их вполне себе поддерживает, вот только в Вашем случае SMG не может идентифицировать отправителя, потому и попадают эти запросы в бан.

Может стоит озаботиться настройкой OPTIONS со стороны отправителя, чтобы SMG могла нормально идентифицировать того, кто отправил?

Ок. Не верно сформулировал вопрос.
Давайте иначе.

Когда появится ПО в котором будут учтены ситуации, когда клиент отправляет Options с unknown?

[voipais]

А может не надо? Такая ситуация, это потенциальная угроза безопасности...

[Женя]

А может не надо? Такая ситуация, это потенциальная угроза безопасности...

Кстати да, прежде чем требовать подумайте о безопасности, если SMG будет обрабатывать все options то как минимум можете получить DoS/DDoS атаку, причем fail2ban на это не среагирует.
Может таки отключить options на стороне клиентов, keep-alive можно делать при помощи register (с небольшим expires) либо со стороны SMG отправлять options клиенту.

[Fluke]

А может не надо? Такая ситуация, это потенциальная угроза безопасности...

Кстати да, прежде чем требовать подумайте о безопасности, если SMG будет обрабатывать все options то как минимум можете получить DoS/DDoS атаку, причем fail2ban на это не среагирует.
Может таки отключить options на стороне клиентов, keep-alive можно делать при помощи register (с небольшим expires) либо со стороны SMG отправлять options клиенту.

А не проще ли идентифицировать отправителя OPTIONS по IP-адресу? Если, ip-адрес отправителя OPTIONS совпадает с ip-адресом в списке зарегистрированных sip абонентов, то ответить OK. Если регистрации нет - отправить 403 и в бан.
OPTIONS не обязан содержать имя пользователя.

[syan]

А может не надо? Такая ситуация, это потенциальная угроза безопасности...

О потенциальных угрозах я думаю все и так знают.
Сейчас разговор не о них

[syan]

А может не надо? Такая ситуация, это потенциальная угроза безопасности...

Кстати да, прежде чем требовать подумайте о безопасности, если SMG будет обрабатывать все options то как минимум можете получить DoS/DDoS атаку, причем fail2ban на это не среагирует.
Может таки отключить options на стороне клиентов, keep-alive можно делать при помощи register (с небольшим expires) либо со стороны SMG отправлять options клиенту.

Евгений, о безопасности уже написал выше.
Не думаю, что правильным ходом является диктовать клиентам свои условия.
Вопрос остаётся открытым.
Причём это можно реализовать я думаю не в принудительном порядке, а сделать в меню checkbox (принимать пакеты с Unknown в Options)