SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit KDG

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit KDG

Beitrag von Jirka »

SIP-Registrierung schlägt fehl mit 9.24-RU5 oder 9.24.0266 in Verbindung mit Kabel Deutschland (KDG)/Vodafone

Hallo,

mit der 9.24.0266 registrieren sich meine LANCOMs mit Kabel-Deutschland-SIP-Leitungen nicht mehr. Mit der 9.24.0252 war noch alles ok. Als Zwischenversion habe ich nur die 9.24.0261-RU5 gefunden, mit der geht es auch nicht.

In den Release-Notes stehen keine Änderungen drin, die das Verhalten erklären können. Anscheinend wurde jedoch das Verhalten beim REGISTER geändert. Es wird jetzt nicht mehr, wie zuvor, erst mal ohne Authentifizierung probiert, sondern gleich mit. Dabei passiert anscheinend der Fehler, dass das "opaque" vergessen wird, mit anzugeben. Und das mag der SIP-Server wohl nicht...

So sah es bisher aus:

Code: Alles auswählen

[SIP-Packet] 2017/06/24 16:42:41,630 [PACKET] :
Sending datagram with length 566 from 31.16.16.16:12294 to 83.169.182.113:5060 using UDP
REGISTER sip:reg141.kabelphone.de SIP/2.0\r\n
Via: SIP/2.0/UDP 31.16.16.16:12294;branch=z9hG4bK-20d88f01-be79df7c\r\n
From: <sip:3022334455@reg141.kabelphone.de>;tag=-1948117760--116403184\r\n
To: <sip:3022334455@reg141.kabelphone.de>\r\n
Call-ID: 3022334455-reg141.kabelphone.de-ad208ddc@00a0572e968d\r\n
CSeq: 3 REGISTER\r\n
Allow: REGISTER, INVITE, ACK, CANCEL, BYE, REFER, NOTIFY, OPTIONS, PRACK, UPDATE, SUBSCRIBE\r\n
Max-Forwards: 70\r\n
Contact: <sip:3022334455@31.16.16.16:12294;transport=UDP>\r\n
Expires: 480\r\n
User-Agent: LANCOM 1781EW / 9.24.0252 / 18.05.2017\r\n
Content-Length: 0\r\n
\r\n

[SIP-Packet] 2017/06/24 16:42:41,662 [PACKET] :
Receiving datagram with length 480 from 83.169.182.113:5060 to 31.16.16.16:12294 using UDP
SIP/2.0 401 Unauthorized\r\n
Via: SIP/2.0/UDP 31.16.16.16:12294;branch=z9hG4bK-20d88f01-be79df7c\r\n
From: <sip:3022334455@reg141.kabelphone.de>;tag=-1948117760--116403184\r\n
To: <sip:3022334455@reg141.kabelphone.de>;tag=SDi6fs599-c8d8b67f+1+37920029+f8345731\r\n
Call-ID: 3022334455-reg141.kabelphone.de-ad208ddc@00a0572e968d\r\n
CSeq: 3 REGISTER\r\n
WWW-Authenticate: Digest realm="b-grad-safaricms-1.kabel-bb.de",nonce="84ddd05f9e69145a061b3bd7bc710927",opaque="DEADBEEF"\r\n
Content-Length: 0\r\n
\r\n

[SIP-Packet] 2017/06/24 16:42:41,664 [PACKET] :
Sending datagram with length 804 from 31.16.16.16:12294 to 83.169.182.113:5060 using UDP
REGISTER sip:reg141.kabelphone.de SIP/2.0\r\n
Via: SIP/2.0/UDP 31.16.16.16:12294;branch=z9hG4bK-956e7ac2-b7d0d881\r\n
From: <sip:3022334455@reg141.kabelphone.de>;tag=-1948117760--116403184\r\n
To: <sip:3022334455@reg141.kabelphone.de>\r\n
Call-ID: 3022334455-reg141.kabelphone.de-ad208ddc@00a0572e968d\r\n
CSeq: 4 REGISTER\r\n
Allow: REGISTER, INVITE, ACK, CANCEL, BYE, REFER, NOTIFY, OPTIONS, PRACK, UPDATE, SUBSCRIBE\r\n
Max-Forwards: 70\r\n
Contact: <sip:3022334455@31.16.16.16:12294;transport=UDP>\r\n
Expires: 480\r\n
User-Agent: LANCOM 1781EW / 9.24.0252 / 18.05.2017\r\n
Authorization: Digest username="3022334455", realm="b-grad-safaricms-1.kabel-bb.de", algorithm=MD5, uri="sip:reg141.kabelphone.de", nonce="84ddd05f9e69145a061b3bd7bc710927", opaque="DEADBEEF", response="e9ef0f19599a98db710057a00490dc37"\r\n
Content-Length: 0\r\n
\r\n

[SIP-Packet] 2017/06/24 16:42:41,695 [PACKET] :
Receiving datagram with length 418 from 83.169.182.113:5060 to 31.16.16.16:12294 using UDP
SIP/2.0 200 OK\r\n
Via: SIP/2.0/UDP 31.16.16.16:12294;branch=z9hG4bK-956e7ac2-b7d0d881\r\n
From: <sip:3022334455@reg141.kabelphone.de>;tag=-1948117760--116403184\r\n
To: <sip:3022334455@reg141.kabelphone.de>;tag=SDi6fs599-c8d8b67f+1+37920029+f9bace39\r\n
Call-ID: 3022334455-reg141.kabelphone.de-ad208ddc@00a0572e968d\r\n
CSeq: 4 REGISTER\r\n
Content-Length: 0\r\n
Contact: <sip:3022334455@31.16.16.16:12294;transport=UDP>;expires=3600\r\n
\r\n
Und so mit der neuen Firmware (hier RU5):

Code: Alles auswählen

[SIP-Packet] 2017/06/24 16:40:18,370 [PACKET] :
Sending datagram with length 784 from 31.16.16.16:12294 to 83.169.182.113:5060 using UDP
REGISTER sip:reg141.kabelphone.de SIP/2.0\r\n
Via: SIP/2.0/UDP 31.16.16.16:12294;branch=z9hG4bK-71686b8f-144a0783\r\n
From: <sip:3022334455@reg141.kabelphone.de>;tag=869458404--1772611671\r\n
To: <sip:3022334455@reg141.kabelphone.de>\r\n
Call-ID: 3022334455-reg141.kabelphone.de-8896d020@00a0572e968d\r\n
CSeq: 3 REGISTER\r\n
Allow: REGISTER, INVITE, ACK, CANCEL, BYE, REFER, NOTIFY, OPTIONS, PRACK, UPDATE, SUBSCRIBE\r\n
Max-Forwards: 70\r\n
Contact: <sip:3022334455@31.16.16.16:12294;transport=UDP>\r\n
Expires: 480\r\n
User-Agent: LANCOM 1781EW / 9.24.0261 / 09.06.2017\r\n
Authorization: Digest username="3022334455", realm="b-grad-safaricms-1.kabel-bb.de", algorithm=MD5, uri="sip:reg141.kabelphone.de", nonce="323ec190b346384982f492c49f479492", response="5b0bf3a2bad3e92aeee1e825031918dc"\r\n
Content-Length: 0\r\n
\r\n

[SIP-Packet] 2017/06/24 16:40:18,405 [PACKET] :
Receiving datagram with length 354 from 83.169.182.113:5060 to 31.16.16.16:12294 using UDP
SIP/2.0 400 Bad Request\r\n
Via: SIP/2.0/UDP 31.16.16.16:12294;branch=z9hG4bK-71686b8f-144a0783\r\n
From: <sip:3022334455@reg141.kabelphone.de>;tag=869458404--1772611671\r\n
To: <sip:3022334455@reg141.kabelphone.de>;tag=SDtr3m299-c8d8b67f+1+be7d0024+a01844ad\r\n
Call-ID: 3022334455-reg141.kabelphone.de-8896d020@00a0572e968d\r\n
CSeq: 3 REGISTER\r\n
Content-Length: 0\r\n
\r\n
Zu dem opaque hier noch ein paar Infos:
The server can put anything it wants to into the value.
The client MUST just return that value if present in the
Authorization header.

RFC-2617 says:
Because the client is required to return the value of the opaque
directive given to it by the server for the duration of a session,
the opaque data may be used to transport authentication session state
information.

RFC-2617 also says:
Note that any such use can also be accomplished more
easily and safely by including the state in the nonce.

which was a nicer way of saying 'opaque is pointless and insecure'
because the opaque value is not protected by the response hash, it can
be replayed by an attacker. If you're implementing a server, it is best
not to include it. If you're implementing a client, just send it back
and ignore it.
Quelle: https://www.ietf.org/mail-archive/web/s ... 20292.html

Der SIP-Server von Kabel Deutschland findet nach einer authorisierten Registrierung eine unauthorisierte übrigens eine zeitlang auch ok, so habe ich das bei anderen SIP-Servern auch schon gesehen. (Natürlich unter der Voraussetzung, dass sich die IP-Adresse und sowas nicht geändert hat und auch nicht zu viel Zeit vergangen ist.)

Nach dem Bad Request kommt der LANCOM-Router übrigens nicht einmal auf die Idee, es mal mit einem normalen REGISTER (unauthorisiert) zu probieren, er schickt nach Schema F immer das gleiche Paket.

Vielen Dank und viele Grüße,
Jirka

P.S.: Falls hier bei jemandem die Frage aufkommt, woher der VCM denn die Authorization-Daten hat, die er in der RU5 oben beim REGISTER angibt: Na ja, vor dem ersten REGISTER macht der LANCOM-Router ja immer ein DE-REGISTER, und das macht er erst mal ohne Authorization, weil da hat er noch nichts. Die merkt er sich dann (wobei er eben das opaque vergisst) und versucht dann das REGISTER eben gleich mit Authorization.
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit

Beitrag von beki »

Jirka hat geschrieben:P.S.: Falls hier bei jemandem die Frage aufkommt, woher der VCM denn die Authorization-Daten hat, die er in der RU5 oben beim REGISTER angibt: Na ja, vor dem ersten REGISTER macht der LANCOM-Router ja immer ein DE-REGISTER, und das macht er erst mal ohne Authorization, weil da hat er noch nichts. Die merkt er sich dann (wobei er eben das opaque vergisst) und versucht dann das REGISTER eben gleich mit Authorization.
Äh... was? Tatsächlich, mein 10.12RC1 schickt beim REGISTER ebenfalls als bereits gerbauchte NONCE mit. Also entweder hab ich etwas nicht auf dem Schirm oder hier haben mindestens zwei andere gepennt:
1. 1und1 hat gepennt denn es darf keine NONCE zweimal akzeptieren
2. LANCOM hat gepennt weil eine NONE per Definition nur einmal benutzt werden darf.

Wofür brauche ich eine NONCE wenn jeder Depp die Nachricht für eine Replay-Attacke benutzen kann? Anti-Replay-Attacke ist doch der Sinn und Zweck des Nonce... Ich bin total verstört. Hab ich was falsch verstanden?

Also in deinem Fall fehlt das opaque, das hat du gut beobachtet und das wird ein Grund sein dafür dass es nicht mehr tut. Aber IMHO dürfte es auch mit trotzdem nicht tun weil die NONCE ungültig sein müsste. Hier bin ich sehr auf ein Update gespannt!

[EDIT]: @LANCOM Habt ihr die Wiederverwendung der NONCE mit verschiedenen Anbietern getestet? Alle ignorieren die verbrauchte NONCE? Macht das eine Asterisk auch so? Wie verhält es sich gegen ein anderes LANCOM?
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit

Beitrag von Jirka »

Hallo Bernhard,
beki hat geschrieben:Äh... was? Tatsächlich, mein 10.12RC1 schickt beim REGISTER ebenfalls eine bereits gerbauchte NONCE mit. Also entweder hab ich etwas nicht auf dem Schirm oder hier haben mindestens zwei andere gepennt
ich weiß es auch nicht, denke aber, dass man hier Kompromisse bei der Sicherheit macht, um letztlich Serverlast/Systemressourcen einzusparen. Da es "jeder" macht, kommen da anscheinend bei niemandem Gedanken an die Sicherheit auf.
beki hat geschrieben:Hier bin ich sehr auf ein Update gespannt!
Ich auch. Die 9.24.0282 hat es leider noch nicht gebracht - das Verhalten ist unverändert, die SIP-Leitungen registrieren sich nicht.
beki hat geschrieben:Habt ihr die Wiederverwendung der NONCE mit verschiedenen Anbietern getestet?
Von der FRITZ!Box kennt man das schon länger. Und in diesem Zusammenhang auch mit diversen SIP-Anbietern, wie ich ja schon im ersten Posting schrieb.

Vielen Dank und viele Grüße,
Jirka
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit

Beitrag von Jirka »

Hallo,

mit der 9.24.0290 keine Änderung.

Fehlen Kapazitäten, damit der Bug gefixt werden kann? Oder ist der Bug noch nicht erfasst worden? Ich meine Fehlersuche brauch ja keiner mehr machen, das habe ich ja schon gemacht, folglich sollte so ein Mini-Bug ja wohl in 30 Min. zu fixen sein zzgl. noch mal 30 Min. für Dokumentation. Demnächst soll das RU6 kommen...

Vielen Dank und viele Grüße,
Jirka
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit

Beitrag von Jirka »

Hallo,

mit der Firmware 9.24.0305 vom 09.09.2017 ist die Situation immer noch unverändert.

Ich frage daher nochmals: Fehlen Kapazitäten, damit der Bug gefixt werden kann? Oder ist der Bug noch nicht erfasst worden? Oder besteht gar kein Interesse den Bug zu fixen? Oder wird noch ein Q.931-Trace benötigt?

Vielen Dank und viele Grüße,
Jirka
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit

Beitrag von cpuprofi »

Jirka hat geschrieben:Oder wird noch ein Q.931-Trace benötigt?
LoL

:L) :L) :L)

Grüße
Cpuprofi
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit

Beitrag von beki »

Jirka hat geschrieben:Fehlen Kapazitäten, damit der Bug gefixt werden kann?
Das sehe ich als realistisch. Oder dass die Priorität sehr niedrig ist^^
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit

Beitrag von LoUiS »

Bitte mit der aktuellen 9.24.0313 gegentesten. Danke!

Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: SIP-Registrierung schlägt fehl mit 9.24-RU5 in Verb. mit

Beitrag von Jirka »

Die 9.24.0313 funktioniert nun endlich wieder. Vielen Dank.

Viele Grüße,
Jirka
Antworten