6 Oct
2010
6 Oct
'10
4:48 p.m.
Muy buenas,
Me imagino qué es lo que quiere hacer Tincho. Se trataría validar por IP origen y permitir
sólo las IP desde que algún cliente se le ha registrado al Kamailio.
Desgraciadamente no he visto ninguna solución "sencilla". Yo lo he implementado
haciendo la función de manera "manual". Es decir, utilizo la tabla trusted para
las WellKnown-IPs (o sea, la de los servers que ya sé que me llamarán) y para el resto me
he implementado un sql para que busque en la tabla de contactos registrados algún contacto
con la IP origen del request que quiero validar.
Puede que no sea elegante pero funciona (y tengo muchas cosas que mejorar al respecto).
Espero que esto os sirva de ayuda.
Saludos,
César Pinto (2439)
+34 91 787 23 00 alhambra-eidos.es
-----Mensaje original-----
De: sr-users-es-bounces(a)lists.sip-router.org
[mailto:sr-users-es-bounces@lists.sip-router.org] En nombre de Iñaki Baz Castillo
Enviado el: martes, 05 de octubre de 2010 16:31
Para: Lista de usuarios de SIP Router
Asunto: Re: [SR-Users-ES] Seguridad en Kamailio
El día 5 de octubre de 2010 15:16, Tincho ylm <sadzas(a)gmail.com> escribió:
Claro, has dado en el clavo.
La idea que tenia era validar por IP. Pero de esa manera estaria validando
TODA el trafico que llega a Kamailio, por tanto, tambien las extensiones que
se intentan registrar. Extensiones que no se que IP van a tener.
(te pido que me corrijas si me equivoco)
Entonces, la idea en vez de validar por IP, es buscar otro tipo de
validacion. El modulo permissions tambien puede validar por URI, aunque en
este caso estaria en la misma situacion, ya que no conozco TODAS las IP
desde las cuales las extensiones se registraran. No se si me explico bien.
Por ultimo, se me ocurre validar por username del URI, algo muy manual. A
menos que haya una forma mas "economica" de hacerlo.
¿Que me propones?
Creo que te estás liando y mucho. Sólo hay dos (tres) formas de
"validar" un request:
1) Por autenticación SIP: El request llega desde cualquier IP y el
server le solicita autenticación.
2) Por IP origen. El server permite requests desde algunas IP's
específicas (insisto: aquellas que figuren en la tabla 'address' y uso
de las funciones pertinentes del módulo 'permissions'.
3) Mezcla de 1 y 2. Sólo se permite tráfico desde IP's privilegiadas y
además se les exige autenticación (modo paranoia).
Lo de validar por URI no vale NADA, ya que ahora mismo desde China
alguien te puede mandar un INVITE conteniendo lo que el chino quiera.
Si pone una UrI determinada, ¿tu Kamailio le va a dejar pasar?
Si tienes un Asterisk que envíe llamadas a Kamailio (un Asterisk
*dentro* de tun arquitectura de servers, no un server Asterisk de un
cliente), lo normal es que permitas que esas llamadas lleguen a
Kamailio y no se pida autenticación. Para llamadas o registros desde
clientes de IP's arbitratarias siempre exigir autenticación.
Pero sinceramente creo que no tienes muy claro lo que pretendes (de
hecho aún no lo has dicho).
Saludos.
--
Iñaki Baz Castillo
<ibc(a)aliax.net>
_______________________________________________
SR-Users-ES mailing list
SR-Users-ES(a)lists.sip-router.org
http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users-es