<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<p>Hi Daniel,</p>
<p>good tip about the crypto module.</p>
<p>It will indeed hide the IP address in the call-id, just tried it:<br>
</p>
<p>Call-ID: d810d369-aa60-4d79-aee5-9c03d2e66781<br>
</p>
<p>I think if we would feed the sruid unique ID (in libs/srutils) into the SHA256 hash (also available there) this it should be secure enough without the crypto dependencies.<br>
</p>
<p>The sruid is based on a LSFR implementation which is quite fast, and the SHA256 should provide the necessary unpredictability.<br>
</p>
<p>But as the crypto module approach works, it has probably not a really high priority. I can also look a bit into it when I got time.<br>
</p>
<p>Cheers,</p>
<p>Henning<br>
</p>
<div class="moz-cite-prefix">Am 14.08.19 um 19:21 schrieb Daniel-Constantin Mierla:<br>
</div>
<blockquote type="cite" cite="mid:d9dc0848-d8c4-5a78-71cf-a014fdb1ca48@gmail.com">
<p>Hello,</p>
<p>using the ip in call-id is not a good practice imo, I had it in mind to replace it properly everywhere for quite some time -- actually at this moment there is an option that can be activated in the crypto module making the call-id to be generated with libssl
 unique id generation functions, but I don't recall if the local ip is still appended. This would require libssl, so my goal was to add an alternative to generate a "good-enough" unique id, without external dependencies, to be used as local call-id.</p>
<p>Cheers,<br>
Daniel<br>
</p>
<div class="moz-cite-prefix">On 14.08.19 19:01, Joel Serrano wrote:<br>
</div>
<blockquote type="cite" cite="mid:CAMtXxQmSKXNOp2u6xZ0kPm9L4pZJBjuNJeB7=H_FM7a+vqkDXw@mail.gmail.com">
<div dir="ltr">Hello Henning, 
<div><br>
</div>
<div>No concerns at all!! As you say, the Call-ID can really say whatever...  The only concern could/would be in the security topic that you are disclosing potential sensible information about your infrastructure blablabla... but that can be solved just by
 changing the listen= order so even that wouldn't be a problem.. In reality I was just curious so I thought I'd ask :)</div>
<div><br>
</div>
<div>Thanks!!</div>
<div>Joel.</div>
<div><br>
</div>
<div><br>
</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">On Wed, Aug 14, 2019 at 9:32 AM Henning Westerholt <<a href="mailto:hw@skalatan.de" moz-do-not-send="true">hw@skalatan.de</a>> wrote:<br>
</div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px
            0.8ex;border-left:1px solid
            rgb(204,204,204);padding-left:1ex">
<div bgcolor="#FFFFFF">
<p>Hello Joel,</p>
<p>funny - I just had this discussion about the same topic some days ago.</p>
<p>In the end this is "only" the call-id, the IP should not be used to to routing descisions etc.. Do you have some more concerns about this?<br>
</p>
<p>I think as well it just uses the first IP. I think at the moment the call-id is generated internally from tm, but this could be of course changed for the module with some coding/extension.<br>
</p>
<p>Cheers,</p>
<p>Henning<br>
</p>
<div class="gmail-m_4871883704938569028moz-cite-prefix">Am 14.08.19 um 17:12 schrieb Joel Serrano:<br>
</div>
<blockquote type="cite">
<div dir="ltr">Hello, 
<div><br>
</div>
<div>Simple doubt regarding dispatcher module when you have the ds_default_socket() modparam set:</div>
<div><br>
</div>
<div>Say you have 2 kamailio boxes, active + passive, one shared IP via keepalived.... On the actrive node, you have dispatcher.send_ping to 1, and the passive has it set to 0.</div>
<div><br>
</div>
<div>So far OK, only the active box is sending out probing OPTIONS requests, and it's using as outbound socket the virtual IP out of all the available ones (as defined with ds_default_socket() modparam)</div>
<div><br>
</div>
<div>I have seen in a capture that the outbound OPTIONS look like:</div>
<div><br>
</div>
<font face="monospace">OPTIONS sip:<a href="http://190.14.203.219:5060" target="_blank" moz-do-not-send="true">190.14.203.219:5060</a> SIP/2.0<br>
Via: SIP/2.0/UDP <font color="#ff0000">A.B.C.180</font>;branch=z9hG4bK7abb.6fbaccc1000000000000000000000000.0<br>
To: <sip:<a href="http://190.14.203.219:5060" target="_blank" moz-do-not-send="true">190.14.203.219:5060</a>><br>
From: <a class="gmail-m_4871883704938569028moz-txt-link-rfc2396E" href="mailto:sip:dspinger@my.domain" target="_blank" moz-do-not-send="true">
<sip:dspinger@my.domain></a>;tag=e2bdd495733c59fd91487a137fccad4e-8a73<br>
CSeq: 10 OPTIONS<br>
Call-ID: 2019f8491329c382-31419@<font color="#ff0000">A.B.C.181</font><br>
Max-Forwards: 70<br>
</font>
<div><font face="monospace">Content-Length: 0</font></div>
<div><br>
</div>
<div>A.B.C.180 -> VRRP</div>
<div>A.B.C.181 -> Physical IP of the box</div>
<div><br>
</div>
<div>My doubt is, shouldn't ds_default_socket also update the IP used to generate the Call-ID used in the OPTIONS request? Currently, I believe it's using the first defined listen= IP from config script as I switched the order the listen= are defined and I
 get the desired result:</div>
<div><br>
</div>
<div><font face="monospace">OPTIONS sip:<a href="http://186.188.220.174:5060" target="_blank" moz-do-not-send="true">186.188.220.174:5060</a> SIP/2.0<br>
Via: SIP/2.0/UDP <font color="#ff0000">A.B.C.180</font>;branch=z9hG4bKc97e.a8d9e1c2000000000000000000000000.0<br>
To: <sip:<a href="http://186.188.220.174:5060" target="_blank" moz-do-not-send="true">186.188.220.174:5060</a>><br>
From: <a class="gmail-m_4871883704938569028moz-txt-link-rfc2396E" href="mailto:sip:dspinger@my.domain" target="_blank" moz-do-not-send="true">
<sip:dspinger@my.domain></a>;tag=5e2e1773f812f6a7e4085c5d036e29d8-d323<br>
CSeq: 10 OPTIONS<br>
Call-ID: 7d9a92c218fc1ba0-32111@<font color="#ff0000">A.B.C.180</font><br>
Max-Forwards: 70<br>
Content-Length: 0</font><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>Is this expected?</div>
<div><br>
</div>
<div>Cheers, </div>
<div>Joel.</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
</div>
<br>
<fieldset class="gmail-m_4871883704938569028mimeAttachmentHeader"></fieldset>
<pre class="gmail-m_4871883704938569028moz-quote-pre">_______________________________________________
Kamailio (SER) - Users Mailing List
<a class="gmail-m_4871883704938569028moz-txt-link-abbreviated" href="mailto:sr-users@lists.kamailio.org" target="_blank" moz-do-not-send="true">sr-users@lists.kamailio.org</a>
<a class="gmail-m_4871883704938569028moz-txt-link-freetext" href="https://lists.kamailio.org/cgi-bin/mailman/listinfo/sr-users" target="_blank" moz-do-not-send="true">https://lists.kamailio.org/cgi-bin/mailman/listinfo/sr-users</a>
</pre>
</blockquote>
<pre class="gmail-m_4871883704938569028moz-signature" cols="72">-- 
Henning Westerholt - <a class="gmail-m_4871883704938569028moz-txt-link-freetext" href="https://skalatan.de/blog/" target="_blank" moz-do-not-send="true">https://skalatan.de/blog/</a>
Kamailio services - <a class="gmail-m_4871883704938569028moz-txt-link-freetext" href="https://skalatan.de/services" target="_blank" moz-do-not-send="true">https://skalatan.de/services</a></pre>
</div>
</blockquote>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
Kamailio (SER) - Users Mailing List
<a class="moz-txt-link-abbreviated" href="mailto:sr-users@lists.kamailio.org" moz-do-not-send="true">sr-users@lists.kamailio.org</a>
<a class="moz-txt-link-freetext" href="https://lists.kamailio.org/cgi-bin/mailman/listinfo/sr-users" moz-do-not-send="true">https://lists.kamailio.org/cgi-bin/mailman/listinfo/sr-users</a>
</pre>
</blockquote>
<pre class="moz-signature" cols="72">-- 
Daniel-Constantin Mierla -- <a class="moz-txt-link-abbreviated" href="http://www.asipto.com" moz-do-not-send="true">www.asipto.com</a>
<a class="moz-txt-link-abbreviated" href="http://www.twitter.com/miconda" moz-do-not-send="true">www.twitter.com/miconda</a> -- <a class="moz-txt-link-abbreviated" href="http://www.linkedin.com/in/miconda" moz-do-not-send="true">www.linkedin.com/in/miconda</a></pre>
</blockquote>
<pre class="moz-signature" cols="72">-- 
Henning Westerholt - <a class="moz-txt-link-freetext" href="https://skalatan.de/blog/">https://skalatan.de/blog/</a>
Kamailio services - <a class="moz-txt-link-freetext" href="https://skalatan.de/services">https://skalatan.de/services</a></pre>
</body>
</html>