Правило пограничного фильтра (borderrule)

Содержание

Описание
Ограничения
Поля
- Действия при получении входящих запросов
- Виды сервисов
См. также
- API
- Логические роли

Описание

Статическое правило фильтрации входящих SIP-запросов. Применяется в целях защиты от атак SIP-ролями, находящимися на границе развернутой системы «Era».
Остальные SIP-роли принудительно фильтруют по адресу отправителя, допуская лишь пакеты от других внутренних серверов.

Система применяет самое приоритетное из подходящих по условиям правил.

В качестве значения IP-адреса может выступать IP-адрес (напр. 192.168.0.10), маска подсети (напр. 192.168.0.0/24), диапазон IP-адресов (напр. 172.25.0.50+10).

Входящие сообщения проходят двойной цикл проверки. Сначала среди правил выбираются те, где задан только фильтр по IP-адресу/маске удаленной стороны. Эта проверка не требует больших ресурсов. Правила, в которых заданы другие фильтры автоматически пропускают сообщения с первого этапа на второй. Если сообщение не отфильтровано на первом этапе, то оно допускается в систему, и после парсера к разобранному сообщению применяются все правила с их фильтрами, включая те, где заданы фильтры на домен заголовка From, имя пользователя заголовка From, юзерагента (заголовок User-Agent) и т.д. Это необходимо учитывать при формировании белых списков, где последнее по приоритету правило - отказать всем.

Правила, где задан только фильтр по IP-адресу/маске, влекут запрет на размещение адресов в динамическом бан-листе (превышение количества попыток авторизации с разными учетными данными в течение короткого интервала времени).

Ограничения

Коллекция доступна только в мастер-домене.

Поля

Структура сущности

{
  "id": uuid,
  "priority": str,
  "enabled": int,
  "site": str,
  "domain": str,
  "username": str,
  "useragent": str,
  "remoteipmask": str,
  "action": str,
  "opts": {
    "title": str,
    "comment": str
  },
  "ext": {
    "ct": date,
    "lwt": date
  }
}

Описание характеристик спецификации

Table 1. Поля
Спецификация	Описание
Поле: `id` Режим: `inout` Тип: `uuid` По умолчанию: generated	Идентификатор. Может быть задан при создании, иначе генерируется системой.
Поле: `enabled` Режим: `in` Тип: `intbool` По умолчанию: `1`	Выключатель правила
Поле: `priority` Режим: `in` Тип: `int` По умолчанию: required	Приоритет. Меньшее значение означает более высокий приоритет.
Поле: `site` Режим: `in` Тип: `str` По умолчанию: `"*"`	Сайт, на котором применяется правило. `"*"` – применяется на всех сайтах.
Поле: `service` Режим: `in` Тип: `str` По умолчанию: `"*"`	Сервис, на котором применяется правило. Виды сервисов
Поле: `domain` Режим: `in` Тип: `str` По умолчанию: empty	Домен отправителя или регулярное выражение.
Поле: `username` Режим: `in` Тип: `str` По умолчанию: empty	Имя пользователя или регулярное выражение.
Поле: `useragent` Режим: `in` Тип: `str` По умолчанию: empty	Значение поля UserAgent в SIP запросе или регулярное выражение.
Поле: `remoteipmask` Режим: `in` Тип: `str` По умолчанию: `"0.0.0.0/0"`	Маска IP-адреса отправителя. В качестве значения IP-адреса могут выступать: IP-адрес (напр. '192.168.0.10'), Маска подсети (напр. '192.168.0.0/24'), Диапазон IP-адресов (напр. '172.25.0.50+10'). Правила, подходящие под соответствующую службу, в которых указан только фильтр для IP-адреса, используются системой особым образом. Запретительные из таких правил формируют черный список IP-адресов — поступающие с них запросы откидываются без дальнейшего парсинга и обработки. Разрешительные из таких правил формируют белый список IP-адресов, для которых не применяется динамический бан-лист. Белый список IP-адрес входит в белый список, если одновременно: существует разрешительное правило пограничного фильтра, которое накрывает исследуемый IP-адрес своей маской/диапазоном, это правило не имеет других заданных фильтров на значения заголовков, это правило ориентировано на соответствующую службу, это правило разрешительное, не существует других правил с меньшими значениями поля 'приоритет', которые также накрывают IP-адрес маской/диапазоном и ориентированы на соответствующую службу. Таким образом, чтобы динамический бан-лист применялся для произвольных адресов необходимо: либо чтобы отсутствовало разрешительное правило для 0.0.0.0/0, ориентированное на соответствующий сервис, и не содержащее других фильтров на поля запроса; либо чтобы среди правил с меньшим приоритетом присутствовало правило для 0.0.0.0/0, ориентированное на соответствующий сервис, и содержащее какой-либо дополнительный фильтр на поля запроса. По умолчанию, если ни одно из имеющихся правил не подходит, пакет, поступивший с IP-адреса, пропускается на обработку. В дальнейшем действуют фильтры следующих уровней, в частности отбрасывание неудачных ответов и динамический бан-лист.
Поле: `action` Режим: `in` Тип: `str` По умолчанию: required	Действия при получении входящих запросов.
Поле: `opts` Режим: `in` Тип: `object` Составное поле
Поле: `opts.title` Режим: `in` Тип: `str` По умолчанию: empty	Произвольный заголовок
Поле: `opts.comment` Режим: `in` Тип: `str` По умолчанию: empty	Произвольный комментарий
Поле: `opts.mps_limit` Режим: `in` Тип: `int` \| "default" По умолчанию: `"default"`	Значение показателя предельно допустимой плотности сообщений (количество сообщений в секунду), поступающих с конкретного IP-адреса, подпадающего под фильтр правила с наименьшим возможным приоритетом. Значение 0 отключает применение счетчика и функции блокировки. Значение -1 или "default" принимает для IP-адресов, удовлетворяющих фильтру правила, значение по умолчанию из настроек мастер-домена. При включенной функции защиты от спам-атак (для адреса задана ненулевая предельно допустимая плотность сообщений в привязке к протоколу): если с адреса в течение нескольких секунд поступает количество сообщений выше указанной плотности, то адрес автоматически попадает в управляемый бан-лист на некоторое время, так что дальнейшие поступающие с него сообщения игнорируются. Применимо для фасадных микросервисов: веб-сервер (ws). Считаются HTTP-запросы к API, факты подключения по вебсокету и все websocket-сообщения до авторизации. внутренний SIP-шлюз (sg) и внешний SIP-шлюз (esg). Считаются всевозможные SIP-запросы и SIP-ответы, а также непротокольные пакеты, поступающие на SIP-интерфейсы. сервис автопровизии (ap). Считаются все запросы, поступающие на TFTP и PNP интерфейсы. Если правило применяется для разных видов сервисов и устанавливает предельную плотность, то имеет смысл разделить правило на несколько по видам сервисам, чтобы иметь возможность задать различную предельную плотность для разных видов сервисов. Для включения счетчика и функции защиты от спам-атак, следует: выделить экземпляры микросервисов, для которых функция защиты от спам-атак отключена в конфигурации. Например: принимающие веб-хуки в неограниченных объемах; находящиеся в закрытом контуре; выделенные на отдельные серверы, и предусматривающие риск DoS. создать высокоприоритетные разрешающие правила пограничного фильтра для следующих типов адресов/диапазонов/подсетей: используемых провайдерами SIP-телефонии, и задать для них индивидуальные пределы пропорциональные количеству транков. являющихся NAT фасадами абонентских подсетей, и задать для них индивидуальные пределы пропорциональные максимально возможному количеству устройств с расчетом на 2-3 одновременных разговора с каждого из них. являющихся системными аппаратами, использующими сервисы подписки на изменения состояний, голосовых ящиков и прочие. Из расчета среднего количества сообщений с кратным запасом. являющихся адресами интегрированных по http(s) системами, в том числе отправляющих массово веб-хуки, например сервисы некоторых мессенджеров. в значение по-умолчанию в настройках мастер-домена разместить значение, покрывающее с запасом и подходящее для большинства одиночных устройств, например, для sip правил 20 (входящих SIP-сообщений в секунду, то есть всевозможных запросов и ответов, включая переповторы). Внутренние адреса кластера, упомянутые в конфигурационных опциях серверов, исключаются из отслеживания функцией защиты от спам-атак вне зависимости от того, как настроены правила пограничного фильтра. Для смягчения критерия срабатывания блокировки применяется усреднение на интервале в несколько секунд. Принятие решения о блокировке фиксируется в основном лог-журнале ноды микросервиса.
Поле: `ext` Режим: `inout` Тип: `object` Составное поле	Позволяет расширять состав произвольными ключами и значениями
Поле: `ext.ct` Режим: `out` Тип: `date` По умолчанию: generated	Время создания объекта
Поле: `ext.lwt` Режим: `out` Тип: `date` По умолчанию: generated	Время последней модификации объекта

Действия при получении входящих запросов

Table 2. Действия при получении входящих запросов
Значение	Описание
`"allow"`	Разрешено
`"drop"`	Запрещено. Игнорирование запроса без отправки ответа.
`"deny"`	Запрещено. Возврат ответа с отказом.

Виды сервисов

Table 3. Виды сервисов
Значение	Описание
`"ws"`	Применяется только на веб-сервере для HTTP(S) и WS(S) запросов к API.
`"sg"`	Применяется только на sg (TCP, UDP, TLS, WS, WSS).
`"esg"`	Применяется только на esg (TCP, UDP, TLS).
`"ap"`	Применяется только на autoprovision (TFTP).
`"sip"`	Применяется на всех пограничных SIP-сервисах: sg, esg, ap.
`"*"`	Применяется на всех вышеперечисленных сервисах.

См. также

API

/rest/v1/master/borderrules

Логические роли

sg реализует SBC (Session Border Controller) на границе с устройствами.
esg реализует SBC (Session Border Controller) на границе с аплинками.