Merge "res_pjsip: New endpoint option "refer_blind_progress""
[asterisk/asterisk.git] / res / res_pjsip_acl.c
1 /*
2  * Asterisk -- An open source telephony toolkit.
3  *
4  * Copyright (C) 2013, Digium, Inc.
5  *
6  * Mark Michelson <mmichelson@digium.com>
7  *
8  * See http://www.asterisk.org for more information about
9  * the Asterisk project. Please do not directly contact
10  * any of the maintainers of this project for assistance;
11  * the project provides a web site, mailing lists and IRC
12  * channels for your use.
13  *
14  * This program is free software, distributed under the terms of
15  * the GNU General Public License Version 2. See the LICENSE file
16  * at the top of the source tree.
17  */
18
19 /*** MODULEINFO
20         <depend>pjproject</depend>
21         <depend>res_pjsip</depend>
22         <support_level>core</support_level>
23  ***/
24
25 #include "asterisk.h"
26
27 #include <pjsip.h>
28
29 #include "asterisk/res_pjsip.h"
30 #include "asterisk/module.h"
31 #include "asterisk/logger.h"
32 #include "asterisk/sorcery.h"
33 #include "asterisk/acl.h"
34
35 /*** DOCUMENTATION
36         <configInfo name="res_pjsip_acl" language="en_US">
37                 <synopsis>SIP ACL module</synopsis>
38                 <description><para>
39                         <emphasis>ACL</emphasis>
40                         </para><para>
41                         The ACL module used by <literal>res_pjsip</literal>. This module is
42                         independent of <literal>endpoints</literal> and operates on all inbound
43                         SIP communication using res_pjsip.
44                         </para><para>
45                         There are two main ways of defining your ACL with the options
46                         provided. You can use the <literal>permit</literal> and <literal>deny</literal> options
47                         which act on <emphasis>IP</emphasis> addresses, or the <literal>contactpermit</literal>
48                         and <literal>contactdeny</literal> options which act on <emphasis>Contact header</emphasis>
49                         addresses in incoming REGISTER requests. You can combine the various options to
50                         create a mixed ACL.
51                         </para><para>
52                         Additionally, instead of defining an ACL with options, you can reference IP or
53                         Contact header ACLs from the file <filename>acl.conf</filename> by using the <literal>acl</literal>
54                         or <literal>contactacl</literal> options.
55                 </para></description>
56                 <configFile name="pjsip.conf">
57                         <configObject name="acl">
58                                 <synopsis>Access Control List</synopsis>
59                                 <configOption name="acl">
60                                         <synopsis>List of IP ACL section names in acl.conf</synopsis>
61                                         <description><para>
62                                                 This matches sections configured in <literal>acl.conf</literal>. The value is
63                                                 defined as a list of comma-delimited section names.
64                                         </para></description>
65                                 </configOption>
66                                 <configOption name="contact_acl">
67                                         <synopsis>List of Contact ACL section names in acl.conf</synopsis>
68                                         <description><para>
69                                                 This matches sections configured in <literal>acl.conf</literal>. The value is
70                                                 defined as a list of comma-delimited section names.
71                                         </para></description>
72                                 </configOption>
73                                 <configOption name="contact_deny">
74                                         <synopsis>List of Contact header addresses to deny</synopsis>
75                                         <description><para>
76                                                 The value is a comma-delimited list of IP addresses. IP addresses may
77                                                 have a subnet mask appended. The subnet mask may be written in either
78                                                 CIDR or dotted-decimal notation. Separate the IP address and subnet
79                                                 mask with a slash ('/')
80                                         </para></description>
81                                 </configOption>
82                                 <configOption name="contact_permit">
83                                         <synopsis>List of Contact header addresses to permit</synopsis>
84                                         <description><para>
85                                                 The value is a comma-delimited list of IP addresses. IP addresses may
86                                                 have a subnet mask appended. The subnet mask may be written in either
87                                                 CIDR or dotted-decimal notation. Separate the IP address and subnet
88                                                 mask with a slash ('/')
89                                         </para></description>
90                                 </configOption>
91                                 <configOption name="deny">
92                                         <synopsis>List of IP addresses to deny access from</synopsis>
93                                         <description><para>
94                                                 The value is a comma-delimited list of IP addresses. IP addresses may
95                                                 have a subnet mask appended. The subnet mask may be written in either
96                                                 CIDR or dotted-decimal notation. Separate the IP address and subnet
97                                                 mask with a slash ('/')
98                                         </para></description>
99                                 </configOption>
100                                 <configOption name="permit">
101                                         <synopsis>List of IP addresses to permit access from</synopsis>
102                                         <description><para>
103                                                 The value is a comma-delimited list of IP addresses. IP addresses may
104                                                 have a subnet mask appended. The subnet mask may be written in either
105                                                 CIDR or dotted-decimal notation. Separate the IP address and subnet
106                                                 mask with a slash ('/')
107                                         </para></description>
108                                 </configOption>
109                                 <configOption name="type">
110                                         <synopsis>Must be of type 'acl'.</synopsis>
111                                 </configOption>
112                         </configObject>
113                 </configFile>
114         </configInfo>
115  ***/
116
117 static int apply_acl(pjsip_rx_data *rdata, struct ast_acl_list *acl)
118 {
119         struct ast_sockaddr addr;
120
121         if (ast_acl_list_is_empty(acl)) {
122                 return 0;
123         }
124
125         memset(&addr, 0, sizeof(addr));
126         ast_sockaddr_parse(&addr, rdata->pkt_info.src_name, PARSE_PORT_FORBID);
127         ast_sockaddr_set_port(&addr, rdata->pkt_info.src_port);
128
129         if (ast_apply_acl(acl, &addr, "SIP ACL: ") != AST_SENSE_ALLOW) {
130                 ast_log(LOG_WARNING, "Incoming SIP message from %s did not pass ACL test\n", ast_sockaddr_stringify(&addr));
131                 return 1;
132         }
133         return 0;
134 }
135
136 static int extract_contact_addr(pjsip_contact_hdr *contact, struct ast_sockaddr **addrs)
137 {
138         pjsip_sip_uri *sip_uri;
139         char host[256];
140
141         if (!contact || contact->star) {
142                 *addrs = NULL;
143                 return 0;
144         }
145         if (!PJSIP_URI_SCHEME_IS_SIP(contact->uri) && !PJSIP_URI_SCHEME_IS_SIPS(contact->uri)) {
146                 *addrs = NULL;
147                 return 0;
148         }
149         sip_uri = pjsip_uri_get_uri(contact->uri);
150         ast_copy_pj_str(host, &sip_uri->host, sizeof(host));
151         return ast_sockaddr_resolve(addrs, host, PARSE_PORT_FORBID, AST_AF_UNSPEC);
152 }
153
154 static int apply_contact_acl(pjsip_rx_data *rdata, struct ast_acl_list *contact_acl)
155 {
156         int num_contact_addrs;
157         int forbidden = 0;
158         struct ast_sockaddr *contact_addrs;
159         int i;
160         pjsip_contact_hdr *contact = (pjsip_contact_hdr *)&rdata->msg_info.msg->hdr;
161
162         if (ast_acl_list_is_empty(contact_acl)) {
163                 return 0;
164         }
165
166         while ((contact = pjsip_msg_find_hdr(rdata->msg_info.msg, PJSIP_H_CONTACT, contact->next))) {
167                 num_contact_addrs = extract_contact_addr(contact, &contact_addrs);
168                 if (num_contact_addrs <= 0) {
169                         continue;
170                 }
171                 for (i = 0; i < num_contact_addrs; ++i) {
172                         if (ast_apply_acl(contact_acl, &contact_addrs[i], "SIP Contact ACL: ") != AST_SENSE_ALLOW) {
173                                 ast_log(LOG_WARNING, "Incoming SIP message from %s did not pass ACL test\n", ast_sockaddr_stringify(&contact_addrs[i]));
174                                 forbidden = 1;
175                                 break;
176                         }
177                 }
178                 ast_free(contact_addrs);
179                 if (forbidden) {
180                         /* No use checking other contacts if we already have failed ACL check */
181                         break;
182                 }
183         }
184
185         return forbidden;
186 }
187
188 #define SIP_SORCERY_ACL_TYPE "acl"
189
190 /*!
191  * \brief SIP ACL details and configuration.
192  */
193 struct ast_sip_acl {
194         SORCERY_OBJECT(details);
195         struct ast_acl_list *acl;
196         struct ast_acl_list *contact_acl;
197 };
198
199 static int check_acls(void *obj, void *arg, int flags)
200 {
201         struct ast_sip_acl *sip_acl = obj;
202         pjsip_rx_data *rdata = arg;
203
204         if (apply_acl(rdata, sip_acl->acl) ||
205             apply_contact_acl(rdata, sip_acl->contact_acl)) {
206                 return CMP_MATCH | CMP_STOP;
207         }
208         return 0;
209 }
210
211 static pj_bool_t acl_on_rx_msg(pjsip_rx_data *rdata)
212 {
213         RAII_VAR(struct ao2_container *, acls, ast_sorcery_retrieve_by_fields(
214                          ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE,
215                          AST_RETRIEVE_FLAG_MULTIPLE | AST_RETRIEVE_FLAG_ALL, NULL), ao2_cleanup);
216         RAII_VAR(struct ast_sip_acl *, matched_acl, NULL, ao2_cleanup);
217
218         if (!acls) {
219                 ast_log(LOG_ERROR, "Unable to retrieve ACL sorcery data\n");
220                 return PJ_FALSE;
221         }
222
223         if ((matched_acl = ao2_callback(acls, 0, check_acls, rdata))) {
224                 if (rdata->msg_info.msg->line.req.method.id != PJSIP_ACK_METHOD) {
225                         pjsip_endpt_respond_stateless(ast_sip_get_pjsip_endpoint(), rdata, 403, NULL, NULL, NULL);
226                 }
227                 return PJ_TRUE;
228         }
229
230         return PJ_FALSE;
231 }
232
233 static int acl_handler(const struct aco_option *opt, struct ast_variable *var, void *obj)
234 {
235         struct ast_sip_acl *sip_acl = obj;
236         int error = 0;
237         int ignore;
238
239         if (!strncmp(var->name, "contact_", 8)) {
240                 ast_append_acl(var->name + 8, var->value, &sip_acl->contact_acl, &error, &ignore);
241                 if (error) {
242                         ast_log(LOG_ERROR, "Bad contact ACL '%s' at line '%d' of pjsip.conf\n",
243                                         var->value, var->lineno);
244                 }
245         } else {
246                 ast_append_acl(var->name, var->value, &sip_acl->acl, &error, &ignore);
247                 if (error) {
248                         ast_log(LOG_ERROR, "Bad ACL '%s' at line '%d' of pjsip.conf\n",
249                                         var->value, var->lineno);
250                 }
251         }
252
253         if (error) {
254                 ast_log(LOG_ERROR, "There is an error in ACL configuration. Blocking ALL SIP traffic.\n");
255                 ast_append_acl("deny", "0.0.0.0/0.0.0.0", &sip_acl->acl, NULL, &ignore);
256         }
257
258         return error;
259 }
260
261 static pjsip_module acl_module = {
262         .name = { "ACL Module", 14 },
263         /* This should run after a logger but before anything else */
264         .priority = 1,
265         .on_rx_request = acl_on_rx_msg,
266 };
267
268 static void acl_destroy(void *obj)
269 {
270         struct ast_sip_acl *sip_acl = obj;
271         sip_acl->acl = ast_free_acl_list(sip_acl->acl);
272         sip_acl->contact_acl = ast_free_acl_list(sip_acl->contact_acl);
273 }
274
275 static void *acl_alloc(const char *name)
276 {
277         struct ast_sip_acl *sip_acl =
278                 ast_sorcery_generic_alloc(sizeof(*sip_acl), acl_destroy);
279
280         return sip_acl;
281 }
282
283 static int load_module(void)
284 {
285         CHECK_PJSIP_MODULE_LOADED();
286
287         ast_sorcery_apply_config(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE);
288         ast_sorcery_apply_default(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE,
289                                   "config", "pjsip.conf,criteria=type=acl");
290
291         if (ast_sorcery_object_register(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE,
292                                         acl_alloc, NULL, NULL)) {
293
294                 ast_log(LOG_ERROR, "Failed to register SIP %s object with sorcery\n",
295                         SIP_SORCERY_ACL_TYPE);
296                 return AST_MODULE_LOAD_DECLINE;
297         }
298
299         ast_sorcery_object_field_register(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE, "type", "", OPT_NOOP_T, 0, 0);
300         ast_sorcery_object_field_register_custom(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE, "permit", "", acl_handler, NULL, NULL, 0, 0);
301         ast_sorcery_object_field_register_custom(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE, "deny", "", acl_handler, NULL, NULL, 0, 0);
302         ast_sorcery_object_field_register_custom(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE, "acl", "", acl_handler, NULL, NULL, 0, 0);
303         ast_sorcery_object_field_register_custom(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE, "contact_permit", "", acl_handler, NULL, NULL, 0, 0);
304         ast_sorcery_object_field_register_custom(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE, "contact_deny", "", acl_handler, NULL, NULL, 0, 0);
305         ast_sorcery_object_field_register_custom(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE, "contact_acl", "", acl_handler, NULL, NULL, 0, 0);
306
307         ast_sorcery_load_object(ast_sip_get_sorcery(), SIP_SORCERY_ACL_TYPE);
308
309         ast_sip_register_service(&acl_module);
310         return AST_MODULE_LOAD_SUCCESS;
311 }
312
313 static int unload_module(void)
314 {
315         ast_sip_unregister_service(&acl_module);
316         return 0;
317 }
318
319 AST_MODULE_INFO(ASTERISK_GPL_KEY, AST_MODFLAG_LOAD_ORDER, "PJSIP ACL Resource",
320         .support_level = AST_MODULE_SUPPORT_CORE,
321         .load = load_module,
322         .unload = unload_module,
323         .load_pri = AST_MODPRI_APP_DEPEND,
324 );