Страница 1 из 2
Fail2Ban И SMG-1016M
Добавлено: 03 авг 2015 20:38
syan
Добрый день!
Подскажите пожалуйста в чём может быть проблема.
У нас smg1016m
Программное обеспечение:
Версия ПО V.3.3.1.1403 M/PBX/SORM Build: Jun 15 2015 10:44:39
Версия SIP-адаптера 3.3.0.69
Заводские параметры:
Модель SMG-1016M
Включили Fail2ban, он начал блокировать наших клиентов и заносить их в чёрные списки.
Без включенного fail2ban всё рабоотает корректно.
Эта тема уже поднималась на форуме, но внятного ответа я не нашёл.
В логах на атс вот такое сообщение
cat /tmp/logs/pbx_sip_bun.log Request error: OPTIONS failed : Unknown original address : from
Клиенты с софтфонами, астериск
Буду благодарен за любую помощь.
Re: Fail2Ban И SMG-1016M
Добавлено: 03 авг 2015 23:29
Fluke
Тут ситуация двоякая.
1. С клиентской стороны приходят OPTIONS в качестве keep-alive. Если клиент криво настроил астериск, то эти OPTIONS не содержат действительного имени пользователя или CallerID и SMG такие OPTIONS отбивает как 403 Forbidden, чем самым провоцирует Fail2Ban.
2. В SMG нет возможности отключить проверку имени пользователя при входящем OPTIONS.
Выход: 1. сообщить клиентам чтобы те отключили посылку OPTIONS или настроили как нужно. 2. Добиться от разработчиков SMG, добавления функции отключения проверки имени пользователя при входящем OPTIONS со стороны абонентов.
Re: Fail2Ban И SMG-1016M
Добавлено: 06 авг 2015 14:17
syan
Спасибо большое Fluke.
А ответа от Елтекса дождёмся когда нибудь?
Re: Fail2Ban И SMG-1016M
Добавлено: 06 авг 2015 16:05
Анна
Добрый день.
можете снять tcp dumo (раздел pcap трассировки) и выслать ее на
anna.zhadovets@eltex.nsk.ru? Сейчас у вас абоненты по прежнему заносятся в черные списки?
Re: Fail2Ban И SMG-1016M
Добавлено: 06 авг 2015 17:33
Анна
Так же вышлите файл конфигурации с вашего устройства
Re: Fail2Ban И SMG-1016M
Добавлено: 10 авг 2015 15:27
syan
Анна писал(а):Добрый день.
можете снять tcp dumo (раздел pcap трассировки) и выслать ее на
anna.zhadovets@eltex.nsk.ru? Сейчас у вас абоненты по прежнему заносятся в черные списки?
Да, заносятся.
Re: Fail2Ban И SMG-1016M
Добавлено: 10 авг 2015 15:30
syan
Анна, всё выслал вам в почту
Re: Fail2Ban И SMG-1016M
Добавлено: 17 авг 2015 14:38
syan
И всё таки вопрос к Элтекс.
Когда планируется к выпуску обновление ПО с поддержкой OPTIONS?
В RFС3261 явно указано следующее:
11 Querying for Capabilities
The SIP method OPTIONS allows a UA to query another UA or a proxy
server as to its capabilities. This allows a client to discover
information about the supported methods, content types, extensions,
codecs, etc. without "ringing" the other party. For example, before
a client inserts a Require header field into an INVITE listing an
option that it is not certain the destination UAS supports, the
client can query the destination UAS with an OPTIONS to see if this
option is returned in a Supported header field. All UAs MUST support
the OPTIONS method.
The target of the OPTIONS request is identified by the Request-URI,
which could identify another UA or a SIP server. If the OPTIONS is
addressed to a proxy server, the Request-URI is set without a user
part, similar to the way a Request-URI is set for a REGISTER request.
Re: Fail2Ban И SMG-1016M
Добавлено: 17 авг 2015 17:22
Bokrenok
syan писал(а):И всё таки вопрос к Элтекс.
Когда планируется к выпуску обновление ПО с поддержкой OPTIONS?
А кто сказал, что SMG не поддреживает запросы OPTIONS?
Она их вполне себе поддерживает, вот только в Вашем случае SMG не может идентифицировать отправителя, потому и попадают эти запросы в бан.
Может стоит озаботиться настройкой OPTIONS со стороны отправителя, чтобы SMG могла нормально идентифицировать того, кто отправил?
Re: Fail2Ban И SMG-1016M
Добавлено: 17 авг 2015 18:34
syan
Bokrenok писал(а):syan писал(а):И всё таки вопрос к Элтекс.
Когда планируется к выпуску обновление ПО с поддержкой OPTIONS?
А кто сказал, что SMG не поддреживает запросы OPTIONS?
Она их вполне себе поддерживает, вот только в Вашем случае SMG не может идентифицировать отправителя, потому и попадают эти запросы в бан.
Может стоит озаботиться настройкой OPTIONS со стороны отправителя, чтобы SMG могла нормально идентифицировать того, кто отправил?
Ок. Не верно сформулировал вопрос.
Давайте иначе.
Когда появится ПО в котором будут учтены ситуации, когда клиент отправляет Options с unknown?
Re: Fail2Ban И SMG-1016M
Добавлено: 18 авг 2015 00:51
voipais
А может не надо? Такая ситуация, это потенциальная угроза безопасности...
Re: Fail2Ban И SMG-1016M
Добавлено: 18 авг 2015 09:01
Женя
voipais писал(а):А может не надо? Такая ситуация, это потенциальная угроза безопасности...
Кстати да, прежде чем требовать подумайте о безопасности, если SMG будет обрабатывать все options то как минимум можете получить DoS/DDoS атаку, причем fail2ban на это не среагирует.
Может таки отключить options на стороне клиентов, keep-alive можно делать при помощи register (с небольшим expires) либо со стороны SMG отправлять options клиенту.
Re: Fail2Ban И SMG-1016M
Добавлено: 18 авг 2015 13:58
Fluke
Женя писал(а):voipais писал(а):А может не надо? Такая ситуация, это потенциальная угроза безопасности...
Кстати да, прежде чем требовать подумайте о безопасности, если SMG будет обрабатывать все options то как минимум можете получить DoS/DDoS атаку, причем fail2ban на это не среагирует.
Может таки отключить options на стороне клиентов, keep-alive можно делать при помощи register (с небольшим expires) либо со стороны SMG отправлять options клиенту.
А не проще ли идентифицировать отправителя OPTIONS по IP-адресу? Если, ip-адрес отправителя OPTIONS совпадает с ip-адресом в списке зарегистрированных sip абонентов, то ответить OK. Если регистрации нет - отправить 403 и в бан.
OPTIONS не обязан содержать имя пользователя.
Re: Fail2Ban И SMG-1016M
Добавлено: 18 авг 2015 15:27
syan
voipais писал(а):А может не надо? Такая ситуация, это потенциальная угроза безопасности...
О потенциальных угрозах я думаю все и так знают.
Сейчас разговор не о них
Re: Fail2Ban И SMG-1016M
Добавлено: 18 авг 2015 15:31
syan
Женя писал(а):voipais писал(а):А может не надо? Такая ситуация, это потенциальная угроза безопасности...
Кстати да, прежде чем требовать подумайте о безопасности, если SMG будет обрабатывать все options то как минимум можете получить DoS/DDoS атаку, причем fail2ban на это не среагирует.
Может таки отключить options на стороне клиентов, keep-alive можно делать при помощи register (с небольшим expires) либо со стороны SMG отправлять options клиенту.
Евгений, о безопасности уже написал выше.
Не думаю, что правильным ходом является диктовать клиентам свои условия.
Вопрос остаётся открытым.
Причём это можно реализовать я думаю не в принудительном порядке, а сделать в меню checkbox (принимать пакеты с Unknown в Options)