All-IP/VoIP: SIP-Authentifizierung schlägt fehl (9.24)

Forum zu LANCOM Systems VoIP Router/Gateways und zur LANCOM VoIP Option

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

All-IP/VoIP: SIP-Authentifizierung schlägt fehl (9.24)

Beitrag von Jirka »

Hallo,

LCOS 9.24.0376

es sind mehrere SIP-User angelegt. Grundsätzlich sind alle SIP-User mit Auth-Name (Authentifizierungs-Name) und Passwort versehen, der Auth-Name ist dabei niemals der SIP-Name (interne Rufnummer) sondern ein mehr oder weniger nach einem gewissen Schema vergebener Name des Benutzers. Wie es der Zufall will, gibt es zwei SIP-User mit dem gleichen Auth-Name, was ja keinesfalls falsch ist, schließlich sind diese Authentifizierungsdaten ja nur für die jeweilige SIP-ID gültig. Ein REGISTER funktioniert auch anstandslos (was dazu geführt hat, dass das Problem zunächst nicht bemerkt wurde). Kommt jedoch ein INVITE rein, kommt es dazu, dass der LANCOM sagt "403 Forbidden". Im Callmanager-Trace sieht man da ein "Reject, forbidden (invalid auth)". Der LANCOM erwartet hier fälschlicherweise offenbar das Passwort des anderen SIP-Benutzers mit dem gleichen Auth-Name, was der SIP-Benutzer aber natürlich nicht verwendet. Wie gesagt, beim REGISTER gibt es keine Probleme, nur beim INVITE funktioniert es nicht richtig. Da wird unterschlagen, von welchen SIP-Benutzer die Authentifizierungsdaten geprüft werden sollen.

Ich habe das Problem hier in runtergebrochener Form angegeben, wo es vielleicht unlogisch klingt zweimal den gleichen Auth-Name zu haben. In Wahrheit war das Problem weitaus komplexer, was die Fehlersuche extrem erschwert hat (SIP-Benutzer kam über Registrierung einer SIP-PBX-Leitung rein, das Passwort enthielt Sonderzeichen und hatte eine größere Länge als die Passwörter anderer SIP-Benutzer, für den Fall des Fehlschlagens eines Rufaufbaus waren Backup-Leitungen in der Call-Routen-Tabelle erfasst, ein- und derselbe Mensch telefonierte je nach Arbeitsplatz über verschiedene SIP-Benutzer). Das führte dazu, dass das Problem seit anderthalb Jahren vor sich hin schwelgte und anfangs wie zufällig auftretend aussah (und dann hatte man natürlich keinen Trace, und wenn man dann getraced hat, dann trat das Problem wieder nicht auf). In Wirklichkeit war es jedoch immer da, wenn über den entsprechenden SIP-Benutzer raustelefoniert wurde.

Da bei der Authentifizierung zum INVITE somit alle Kombinationen aus Auth-Name und Passwort der anderen SIP-Benutzer gültige Kombinationen ergeben, halte ich das Problem zumindest ein Stück weit auch für kritisch.

Vielen Dank und viele Grüße,
Jirka
Antworten