Puede aún ser "peor": si el UA no tiene configurado outbound proxy y utiliza directamente IPs, la llamada se cursará sin que tu proxy vea un sólo paquete...así es cómo funciona SIP. Para evitarlo debes proporcionar a tus usuarios una razón para que pasen por tu proxy, generalmente solventando problemas de NAT, servicios extras,...
<br><br>El "tema" aquí es que los usuarios raramente saben qué IP tienen los dispositivos y aunque lo sepan es más cómodo no indicar nombre de dominio. Aparte que si tus usuarios utilizan conversores PAP raramente podrán especificar dominio en el Req-URI...
<br> <br>Qué problema hay que los usuarios se llamen entre sí????<br><br>Samuel<br><br><div><span class="gmail_quote">2007/10/23, Iñaki Baz Castillo <<a href="mailto:ibc@aliax.net">ibc@aliax.net</a>>:</span><blockquote class="gmail_quote" style="margin-top: 0; margin-right: 0; margin-bottom: 0; margin-left: 0; margin-left: 0.80ex; border-left-color: #cccccc; border-left-width: 1px; border-left-style: solid; padding-left: 1ex">
Hola, estoy terriblemente preocupado:<br><br>Estaba yo feliz con mi supuesta seguridad entre distintos dominios alojados en<br>mi OpenSer cuando he caído en la cuenta de que dicha seguridad es muy<br>fácilmente rebasable sin más que llamar al "Contact" final de cualquier
<br>usuario de cualquiera de estos dominios.<br><br>Es decir, supongamos dos dominios locales: dom_A y dom_B.<br><br>- Si un usuario_A@dom_A llama al AOR sip:usuario_B@dom_B entonces mi OpenSer<br>aplica las reglas entre-dominios para ver quién puede llamar a quién y tal.
<br>Ok.<br><br>- Pero si por alguna llamada anterior se conoce el "Contact" final del<br>usuario_B@dom_B (ej: sip:usuario_B@80.80.80.80:5061) entonces el<br>usuario_A@dom_A puede llamar **directamente** a usuario_B@dom
_B sin pasar por<br>la política de seguridad de mi OpenSer sólo con tener predefinido su OpenSer<br>como Outbound proxy y llamar directamente a<br> sip:usuario_B@80.80.80.80:5061<br><br>Entonces la llamada es Outbound y se ruta directamente (t_relay). Además la
<br>llamada llega al destino desde su propio proxy por lo que no serviría ni una<br>supuesta política de seguridad de firewall (impedir entrantes SIP desde IP's<br>distintas a mi proxy).<br><br>Por supuesto que sólo permito outbound para dominios locales, pero el problema
<br>está en la seguridad entre ellos.<br><br><br>¿Y ahora qué hago? Sólo se me ocurre:<br><br>- Drástico: Eliminar la posibilidad de outbound proxy en mi OpenSer, así al<br>menos doy pie a soluciones de firewall o NAT (la IP origen no sería el proxy
<br>así que NAT no lo deja pasar).<br><br>- Separar el outbound proxy a otro OpenSer en otra IP (para conseguir lo mismo<br>que antes sin eliminar las llamadas Outbound).<br><br><br>En fin, me va a dar algo, ¿alguna otra alternativa más limpia y segura? ¿es
<br>realmente un proxy SIP que gestiona dominios separados? ¿o hay que poner<br>necesariamente un B2BUA delante de cada entorno SIP?<br><br>Gracias por cualquier sugerencia.<br><br><br>--<br>Iñaki Baz Castillo<br><br><br>
_______________________________________________<br>Users-es mailing list<br><a href="mailto:Users-es@openser.org">Users-es@openser.org</a><br><a href="http://openser.org/cgi-bin/mailman/listinfo/users-es">http://openser.org/cgi-bin/mailman/listinfo/users-es
</a><br><br></blockquote></div><br>