2008/5/5 Gustavo ggb@tid.es:
Victor Pascual Ávila wrote:
¿Cómo puede un UA verificar que el From del Invite que recibe es realmente de quien dice ser?
Yo creo que la cosa está chunga, como en el email.
- Teoricamente si dispones de una infraestructura PKI podrías utilizar
métodos para firmar las cabeceras (incluido el from) [RFC3893][RFC447]
- En la práctica, si el mensaje es de un usuario de tu mismo dominio y
pasa por el servidor de tu dominio, el servidor debería asegurarse que el From es quien dice ser. Si el mensaje es de un usuario de otro dominio no hay nada que hacer, salvo establecer relaciones de confianza entre dominios y cosas similares.
¿Tendría sentido hacer lo siguiente?
0) Suponemos que todos los UA (callerB i calleeA) se registran contra su proxy 1) CalleeA recibe un INVITE con el From de CallerB 2) CalleeA genera un re-INVITE contra el From de CallerB (en este caso, contra su proxy) 3) El proxy, mediante el location service, hace un re-targeting contra el CallerB
De este modo, si un attacker genera una llamada hacia CalleeA suplantando el From de CallerB, CalleeA le preguntará a CallerB si realmente es él quien le llama...
Puede sonar algo perverso, pero en un entorno no-trusted... ¿hay otro modo de hacerlo?
Saludos,