Hola Iñaki,
El 5/11/07, Iñaki Baz Castillo ibc@aliax.net escribió:
- Meter un "consume_credentials()" dentro de "loose_route()" para
borrar la autenticación justo antes de enviar el paquete al destino. Es decir, entiendo que si un usuario@proxy.org es usuario de dicho proxy.org sólo tiene sentido que se autentique en ese proxy (a pesar de los divertidos esquemas del país de la piruleta que se ven en tech-invite.com con autenticaciones secuenciales y demás fricadas que luego sencillamente no existen).
- Mirar el Contact y denegar el paquete si la URI en dicho
Contact está prohibida (se corresponde con el proxy). El módulo "permissiones" permite esto para REGISTER pero no lo encuentro para otros mensajes, ¿no se puede hacer así? sería elegante.
Como bien me han recalcado en la susodicha lista la vulnerabilidad se produce en un ataque directo, es decir llamado directa del atacante a la víctima sin pasar por el proxy de la víctima.
Ya he añadido allí que entonces la solución es bloquear el tráfico SIP a los clientes si no viene desde la IP del proxy. Esto puede ser vía el propio UAS (los Linksys tienen la opción de hacerlo) o vía firewall de la LAN de los clientes.
Y también, teniendo en cuenta que la gran mayoría de equipos están detrás de NAT, y NAT simétrico especialmente, la cosa no es tan grave.
A todo esto, entonces ya no soy tan paranoico con lo de permitir llamadas directas a usuarios si el atacante conoce el "Contact" de uno de ellos, ¿no? XDDDDD
Esto aún no lo he acabado de entender... me lo cuentas en Madrid con un mapa :)
Saludos JesusR.
------------------------------------ Jesus Rodriguez VozTelecom Sistemas, S.L. jesusr@voztele.com http://www.voztele.com Tel. 902360305 -------------------------------------