El 5/11/07, Iñaki Baz Castillo ibc@aliax.net escribió:
- Meter un "consume_credentials()" dentro de "loose_route()" para borrar la
autenticación justo antes de enviar el paquete al destino. Es decir, entiendo que si un usuario@proxy.org es usuario de dicho proxy.org sólo tiene sentido que se autentique en ese proxy (a pesar de los divertidos esquemas del país de la piruleta que se ven en tech-invite.com con autenticaciones secuenciales y demás fricadas que luego sencillamente no existen).
- Mirar el Contact y denegar el paquete si la URI en dicho Contact está
prohibida (se corresponde con el proxy). El módulo "permissiones" permite esto para REGISTER pero no lo encuentro para otros mensajes, ¿no se puede hacer así? sería elegante.
Como bien me han recalcado en la susodicha lista la vulnerabilidad se produce en un ataque directo, es decir llamado directa del atacante a la víctima sin pasar por el proxy de la víctima.
Ya he añadido allí que entonces la solución es bloquear el tráfico SIP a los clientes si no viene desde la IP del proxy. Esto puede ser vía el propio UAS (los Linksys tienen la opción de hacerlo) o vía firewall de la LAN de los clientes.
A todo esto, entonces ya no soy tan paranoico con lo de permitir llamadas directas a usuarios si el atacante conoce el "Contact" de uno de ellos, ¿no? XDDDDD