Fail2ban - El enemigo en casa

-

 Fail2ban

El enemigo en casa


Houston, tenemos un problema

Estás en la oficina, tienes que hacer una llamada y cuando vas a realizarla no puedes, el teléfono nada más marcar te devuelve un error, contactas con el soporte de la centralita de telefonía para que revisen el problema y el soporte te dice que: "se ha caído el SIP trunk y el servidor de telefonía del operador no responde". Este es un problema muy común, vamos a ver como resolverlo.

El diagnostico

Puede haber varias causas que hayan desencadenado este problema, pero hoy nos centraremos en una de las causas más comunes que me suelo encontrar cuando en la instalación hay una PBX con un fail2ban o firewall mal configurado. Algunos fabricantes incluyen políticas de control del tráfico SIP, que teniendo en cuenta ciertos valores como puede ser: cantidad de mensajes recibidos desde una IP o intentos incorrectos de login fallidos de una extensión SIP. Esto bloqueará la IP origen de forma dinámica. 

Hay muchos fabricante de sistemas de telefonía que incluyen firewall o un sistema de fail2ban, tenerlos correctamente configurados te evitará dolores de cabeza, a veces el desconocimiento del instalador o tal vez un descuido o un fallo en la configuración acabará ocasionando un pérdida de conexión en el SIP trunk. En algunas ocasiones lo que ocurre es que, el fail2ban detecta a la IP del operador como una IP atacante y la añade a la lista negra. Aquí es donde tenemos el problema, ya que se dejan de recibir las respuestas a las peticiones de registro enviadas y nuestro servicio deja de funcionar.


Comportamiento de los mensajes SIP cuando la IP del operador está en la Blacklist.


"Hay muchos fabricante de sistemas de telefonía que incluyen firewall o un sistema de fail2ban, tenerlos correctamente configurados te evitará dolores de cabeza, a veces el desconocimiento del instalador o tal vez un descuido o un fallo en la configuración acabará ocasionando un pérdida de conexión en el SIP trunk"

Una vez se añade la IP del operador en la blacklist la centralita podrá enviar las peticiones de registro al proveedor del SIP trunk, el operador recibirá los mensajes y contestará, para que continúe el proceso de registro con la fase de autenticación, pero el proceso será interrumpido por el firewall de la PBX que bloqueará los mensajes que vienen desde fuera de la red.


¿Cómo lo soluciono?

Solucionarlo es más sencillo de lo que parece, permitir en el Firewall las IPs del proveedor con el que trabajas además de cualquier otra IP que requiera interacción con la PBX, como por ejemplo servidores SMTP, NTP, etcétera. Recuerda que debes eliminar de la blacklist la IP bloqueada si no se ha quitado al añadirla en la regla de aceptación del firewall, una vez hecho esto el problema quedará resuelto. 

A continuación dejo unos vídeos del fabricante Yeastar que hablan sobre el tema, recuerdo que los vídeos se pueden poner con subtítulos en español.

En el primero se habla de como funciona la autodefensa y en el segundo de como corregir el problema.







Los problemas relacionados con Firewalls, fail2ban, y sistemas de prevención de flooding son muy normales y tienden a causar bastantes problemas, aunque suelen ser sencillo de solucionar. Si alguna vez te ha ocurrido este problema, ahora serás capaz de solucionarlo. Es muy común encontrarse estos problemas en PBX basadas en Asterisk ¿Te había pasado alguna vez? ¿Conoces más centralitas donde ocurra este problema?






Ubicación: Madrid, España

Comentarios

Publicar un comentario

Entradas populares de este blog

RFC 1918 y modelo de resolución por capas TCP/IP para SIP

-
Imagen
  !Hola red! El #RFC1918 indica las " mejores prácticas " de direccionamiento de una red privada, esto es algo realmente importante de seguir. - 10.0.0.0 - 10.255.255.255 (10/8 subnet) - 172.16.0.0 - 172.31.255.255 (172.16/12 subnet) - 192.168.0.0 - 192.168.255.255 (192.168/16 subnet) En ocasiones no se siguen las recomendaciones, quizás porque un técnico llega a una instalación donde existe un direccionamiento con IP públicas y supone un gran esfuerzo cambiar todo el direccionamiento de la red, y claro si funcione no lo toques. Otras veces puede haber en la red un direccionamiento extraño como puede ser el del protocolo #APIPA en épocas donde no había un servidor #DHCP y que los técnicos deciden mantener pensando que es un direccionamiento correcto para esa red, por no hablar de otros casos curiosos. Quizás para la mayoría de protocolos de internet esto no sea un problema, aunque para el protocolo #SIP esto sí supone un gran problema. Los mensajes SIP contienen cabecer
Leer más

Mensajes de respuesta en el protocolo SIP y su significado

-
 Mensajes de respuesta en el protocolo SIP  y su significado En ocasiones tenemos la oportunidad de poder capturar mensajes o poder ver los mensajes en nuestro sistema de log pero desconocemos su significado, vamos a ver que significan estos mensajes. La interpretación dada de estos mensajes es general y cada servidor que responda con algunas de estas causas puede tener su propia interpretación o circunstnacia de respuesta . Aunque el protocolo SIP tiene muchos mensajes de respuesta estos a veces no siempre nos dan la información necesaria para resolver lo ocurrido , interpretar y tener experiencia resolviendo los problemas que pueda haber será algo importante para salir de una situación problemática. Respuesta 1XX - Mensajes informativos.
Leer más

¿Necesito un SIP trunk?

-
Imagen
 ¿Necesito un SIP trunk ? Conectándose con el operador ¿Para que sirve un SIP trunk? Uno de las cuestiones con las que se debe lidiar al instalar una centralita telefónica de Voz sobre IP es conseguir una salida a la red pública telefónica con el objetivo de poder comunicarse con el exterior, y poder así recibir y emitir llamadas. Para poder hablar con otras personas podremos contratar un SIP trunk con algún proveedor local que una vez configurado nos dará acceso a la red telefónica . ¿Qué es un SIP trunk? Un SIP trunk es un enlace virtual entre dos puntos de conexión , normalmente entre una centralita telefónica y un «ITSP». ITSP es la abreviatura de «Internet Telephone Service provider» que se traduce como proveedor de servicios de telefonía e internet, ya que la mayoría de operadores que ofrecen telefonía también ofrece internet, aunque no siempre es así, u n operador de telefonía te dará acceso a la red pública y así poder comunicarte con otros números de teléfonos.  El nombre «SIP
Leer más