Claro, has dado en el clavo.
La idea que tenia era validar por IP. Pero de esa manera estaria validando
TODA el trafico que llega a Kamailio, por tanto, tambien las extensiones que
se intentan registrar. Extensiones que no se que IP van a tener.
(te pido que me corrijas si me equivoco)
Entonces, la idea en vez de validar por IP, es buscar otro tipo de
validacion. El modulo permissions tambien puede validar por URI, aunque en
este caso estaria en la misma situacion, ya que no conozco TODAS las IP
desde las cuales las extensiones se registraran. No se si me explico bien.
Por ultimo, se me ocurre validar por username del URI, algo muy manual. A
menos que haya una forma mas "economica" de hacerlo.
¿Que me propones?
> ------------------------------
>
> Message: 2
> Date: Mon, 4 Oct 2010 17:01:29 +0200
> From: Iñaki Baz Castillo <ibc(a)aliax.net>
> Subject: Re: [SR-Users-ES] Seguridad en Kamailio
> To: Lista de usuarios de SIP Router <sr-users-es(a)lists.sip-router.org>
> Message-ID:
> <AANLkTikhAGieJEtZN0OrRgzLVV3nnENewx-xdogmAsD5(a)mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
>
> El día 4 de octubre de 2010 15:44, Tincho ylm <sadzas(a)gmail.com> escribió:
> >> Estuve leyendo el modulo "permissions".
> >
> > Creo que lo que quiero hacer se resuelve simplemente autenticando los
> INVITE
> > (que no estoy haciendo ahora).
>
> No creo que hayas leído eso en la documentación del módulo
> 'permissions'. Este módulo da funcionalidad de validación de la IP
> origen:
>
> http://kamailio.org/docs/modules/1.5.x/permissions.html#id2512057
> http://kamailio.org/docs/modules/1.5.x/permissions.html#id2498680
> http://kamailio.org/docs/modules/1.5.x/permissions.html#id2528182
>
> La autenticación SIP no tiene anda que ver con el permitir tráfico
> desde algunas IP's sin solicitarles autenticación. Estamos hablando
> simplemente de permitir tráfico no autenticado en caso de que el
> request llegue desde determinadas IP's "privilegiadas" (módulo
> 'permissions').
>
>
> > Haciendo una captura con ngrep, veo que cuando asterisk envia el INVITE,
> > kamailio lo tramita sin problemas y sin autenticarlo.
> > Que me recomiendan ?
>
> Que revises tu script de kamailio porque, sí o sí, en él has permitido
> explicitamente llamadas sin autenticación.
> Y que leas a fondo la documentación del módulo 'permissions'.
>
>
> --
> Iñaki Baz Castillo
> <ibc(a)aliax.net>
>
>
>
> ------------------------------
>
> _______________________________________________
> SR-Users-ES mailing list
> SR-Users-ES(a)lists.sip-router.org
> http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users-es
>
>
> Fin de Resumen de SR-Users-ES, Vol 37, Envío 3
> **********************************************
>
>
> Estuve leyendo el modulo "permissions".
>
Creo que lo que quiero hacer se resuelve simplemente autenticando los INVITE
(que no estoy haciendo ahora).
Haciendo una captura con ngrep, veo que cuando asterisk envia el INVITE,
kamailio lo tramita sin problemas y sin autenticarlo.
Que me recomiendan ?
gracias!
>
> Message: 1
> Date: Fri, 1 Oct 2010 15:22:11 -0300
> From: Tincho ylm <sadzas(a)gmail.com>
> Subject: [SR-Users-ES] Seguridad en Kamailio
> To: sr-users-es(a)lists.sip-router.org
> Message-ID:
> <AANLkTim+wsqq1a4B9iu51qa5dYHnfwa3gd7uTNaMShDt(a)mail.gmail.com<AANLkTim%2Bwsqq1a4B9iu51qa5dYHnfwa3gd7uTNaMShDt(a)mail.gmail.com>
> >
> Content-Type: text/plain; charset="iso-8859-1"
>
> Hola a todos.
>
> Estoy con Kamailio 3.0 y utilizo "subscriber" para autenticar a las
> extensiones. Esto funciona bien, pero tengo una consulta que hacer sobre
> las
> llamadas entrantes sin autenticar.
> Por ejemplo: En un asterisk defino un SIP TRUNK y envio las llamadas hacia
> Kamailio. Kamailio las trata sin problemas aun sin modificar una sola linea
> del script.
> Es esto ultimo lo que no entiendo y necesito que me orienten. La idea es
> que
> Kamailio rechaze todas las llamadas que provienen sin autenticacion.
>
> Me imagino que una opcion es preguntar por la ip entrante.. si no pertenece
> a un rango conocido entonces rechazarla. Pero supongo que debe haber algo
> mas practico que esto o ya definido. Algun modulo que no entendi bien o
> algo
> asi.
>
> Agracedere que me orienten un poco sobre el modulo si es que existe o donde
> apuntar para ver este tema.
>
>
> Gracias.
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL: <
> http://lists.sip-router.org/pipermail/sr-users-es/attachments/20101001/4d6e…
> >
>
> ------------------------------
>
> Message: 2
> Date: Fri, 1 Oct 2010 21:32:15 +0200
> From: Iñaki Baz Castillo <ibc(a)aliax.net>
> Subject: Re: [SR-Users-ES] Seguridad en Kamailio
> To: Lista de usuarios de SIP Router <sr-users-es(a)lists.sip-router.org>
> Message-ID:
> <AANLkTik97ZUQ6HMG+SEa7WUGEwyJ2z9yZR2=5Hwdy5L4(a)mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
>
> El día 1 de octubre de 2010 20:22, Tincho ylm <sadzas(a)gmail.com> escribió:
> > Hola a todos.
> > Estoy con Kamailio 3.0 y utilizo "subscriber" para autenticar a las
> > extensiones. Esto funciona bien, pero tengo una consulta que hacer sobre
> las
> > llamadas entrantes sin autenticar.
> > Por ejemplo: En un asterisk defino un SIP TRUNK y envio las llamadas
> hacia
> > Kamailio. Kamailio las trata sin problemas aun sin modificar una sola
> linea
> > del script.
> > Es esto ultimo lo que no entiendo y necesito que me orienten. La idea es
> que
> > Kamailio rechaze todas las llamadas que provienen sin autenticacion.
> > Me imagino que una opcion es preguntar por la ip entrante.. si no
> pertenece
> > a un rango conocido entonces rechazarla. Pero supongo que debe haber algo
> > mas practico que esto o ya definido. Algun modulo que no entendi bien o
> algo
> > asi.
> > Agracedere que me orienten un poco sobre el modulo si es que existe o
> donde
> > apuntar para ver este tema.
>
> Para validar por IP el módulo "permissions" es el más adecuado (tabla
> 'address' y funcionaes asociadas).
>
> Si tu Kamailio está permitiendo tráfico entrante desde cualquier IP
> eso significa que así lo has configurado. De todas formas verifica con
> ngrep que asterisk no esté, de hecho, autenticándose cuando Kamailio
> se lo solicita (si es que se lo solicita). Pero insisto: si Kamailio
> permite tráfico entrante desde IP's cualquiera eso sólo puede ser
> porque así lo has definido tú en el script de configuración.
>
> Saludos.
>
>
> --
> Iñaki Baz Castillo
> <ibc(a)aliax.net>
>
>
>
> ------------------------------
>
> _______________________________________________
> SR-Users-ES mailing list
> SR-Users-ES(a)lists.sip-router.org
> http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users-es
>
>
> Fin de Resumen de SR-Users-ES, Vol 37, Envío 1
> **********************************************
>
Lo que dices es correcto.
Kamailio esta configurado para permitir trafico entrante desde cualquier IP.
Ademas, en Asterisk tambien configure que no envie ningun tipo de
credencial. La pregunta apuntaba a que modulo es el mas adecuado para elegir
desde donde permitir el trafico. Por tanto, y como recomendaste, me pondre a
leer el modulo "permissions".
Una vez leida la documentacion del mismo.. vuelvo con las preguntas..
Muchas gracias!
El 2 de octubre de 2010 07:00,
<sr-users-es-request(a)lists.sip-router.org>escribió:
> Envíe los mensajes para la lista SR-Users-ES a
> sr-users-es(a)lists.sip-router.org
>
> Para subscribirse o anular su subscripción a través de la WEB
> http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users-es
>
> O por correo electrónico, enviando un mensaje con el texto "help" en
> el asunto (subject) o en el cuerpo a:
> sr-users-es-request(a)lists.sip-router.org
>
> Puede contactar con el responsable de la lista escribiendo a:
> sr-users-es-owner(a)lists.sip-router.org
>
> Si responde a algún contenido de este mensaje, por favor, edite la
> linea del asunto (subject) para que el texto sea mas especifico que:
> "Re: Contents of SR-Users-ES digest...". Además, por favor, incluya en
> la respuesta sólo aquellas partes del mensaje a las que está
> respondiendo.
>
>
> Asuntos del día:
>
> 1. Seguridad en Kamailio (Tincho ylm)
> 2. Re: Seguridad en Kamailio (Iñaki Baz Castillo)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Fri, 1 Oct 2010 15:22:11 -0300
> From: Tincho ylm <sadzas(a)gmail.com>
> Subject: [SR-Users-ES] Seguridad en Kamailio
> To: sr-users-es(a)lists.sip-router.org
> Message-ID:
> <AANLkTim+wsqq1a4B9iu51qa5dYHnfwa3gd7uTNaMShDt(a)mail.gmail.com<AANLkTim%2Bwsqq1a4B9iu51qa5dYHnfwa3gd7uTNaMShDt(a)mail.gmail.com>
> >
> Content-Type: text/plain; charset="iso-8859-1"
>
> Hola a todos.
>
> Estoy con Kamailio 3.0 y utilizo "subscriber" para autenticar a las
> extensiones. Esto funciona bien, pero tengo una consulta que hacer sobre
> las
> llamadas entrantes sin autenticar.
> Por ejemplo: En un asterisk defino un SIP TRUNK y envio las llamadas hacia
> Kamailio. Kamailio las trata sin problemas aun sin modificar una sola linea
> del script.
> Es esto ultimo lo que no entiendo y necesito que me orienten. La idea es
> que
> Kamailio rechaze todas las llamadas que provienen sin autenticacion.
>
> Me imagino que una opcion es preguntar por la ip entrante.. si no pertenece
> a un rango conocido entonces rechazarla. Pero supongo que debe haber algo
> mas practico que esto o ya definido. Algun modulo que no entendi bien o
> algo
> asi.
>
> Agracedere que me orienten un poco sobre el modulo si es que existe o donde
> apuntar para ver este tema.
>
>
> Gracias.
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL: <
> http://lists.sip-router.org/pipermail/sr-users-es/attachments/20101001/4d6e…
> >
>
> ------------------------------
>
> Message: 2
> Date: Fri, 1 Oct 2010 21:32:15 +0200
> From: Iñaki Baz Castillo <ibc(a)aliax.net>
> Subject: Re: [SR-Users-ES] Seguridad en Kamailio
> To: Lista de usuarios de SIP Router <sr-users-es(a)lists.sip-router.org>
> Message-ID:
> <AANLkTik97ZUQ6HMG+SEa7WUGEwyJ2z9yZR2=5Hwdy5L4(a)mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
>
> El día 1 de octubre de 2010 20:22, Tincho ylm <sadzas(a)gmail.com> escribió:
> > Hola a todos.
> > Estoy con Kamailio 3.0 y utilizo "subscriber" para autenticar a las
> > extensiones. Esto funciona bien, pero tengo una consulta que hacer sobre
> las
> > llamadas entrantes sin autenticar.
> > Por ejemplo: En un asterisk defino un SIP TRUNK y envio las llamadas
> hacia
> > Kamailio. Kamailio las trata sin problemas aun sin modificar una sola
> linea
> > del script.
> > Es esto ultimo lo que no entiendo y necesito que me orienten. La idea es
> que
> > Kamailio rechaze todas las llamadas que provienen sin autenticacion.
> > Me imagino que una opcion es preguntar por la ip entrante.. si no
> pertenece
> > a un rango conocido entonces rechazarla. Pero supongo que debe haber algo
> > mas practico que esto o ya definido. Algun modulo que no entendi bien o
> algo
> > asi.
> > Agracedere que me orienten un poco sobre el modulo si es que existe o
> donde
> > apuntar para ver este tema.
>
> Para validar por IP el módulo "permissions" es el más adecuado (tabla
> 'address' y funcionaes asociadas).
>
> Si tu Kamailio está permitiendo tráfico entrante desde cualquier IP
> eso significa que así lo has configurado. De todas formas verifica con
> ngrep que asterisk no esté, de hecho, autenticándose cuando Kamailio
> se lo solicita (si es que se lo solicita). Pero insisto: si Kamailio
> permite tráfico entrante desde IP's cualquiera eso sólo puede ser
> porque así lo has definido tú en el script de configuración.
>
> Saludos.
>
>
> --
> Iñaki Baz Castillo
> <ibc(a)aliax.net>
>
>
>
> ------------------------------
>
> _______________________________________________
> SR-Users-ES mailing list
> SR-Users-ES(a)lists.sip-router.org
> http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users-es
>
>
> Fin de Resumen de SR-Users-ES, Vol 37, Envío 1
> **********************************************
>
Hola a todos.
Estoy con Kamailio 3.0 y utilizo "subscriber" para autenticar a las
extensiones. Esto funciona bien, pero tengo una consulta que hacer sobre las
llamadas entrantes sin autenticar.
Por ejemplo: En un asterisk defino un SIP TRUNK y envio las llamadas hacia
Kamailio. Kamailio las trata sin problemas aun sin modificar una sola linea
del script.
Es esto ultimo lo que no entiendo y necesito que me orienten. La idea es que
Kamailio rechaze todas las llamadas que provienen sin autenticacion.
Me imagino que una opcion es preguntar por la ip entrante.. si no pertenece
a un rango conocido entonces rechazarla. Pero supongo que debe haber algo
mas practico que esto o ya definido. Algun modulo que no entendi bien o algo
asi.
Agracedere que me orienten un poco sobre el modulo si es que existe o donde
apuntar para ver este tema.
Gracias.