5 Nov
2007
5 Nov
'07
8:21 p.m.
Hola Iñaki,
El 5/11/07, Iñaki Baz Castillo <ibc(a)aliax.net>
escribió:
Y también, teniendo en cuenta que la gran mayoría de equipos están
detrás de NAT, y NAT simétrico especialmente, la cosa no es tan grave.
1) Meter un "consume_credentials()"
dentro de "loose_route()" para
borrar la
autenticación justo antes de enviar el paquete al destino. Es
decir, entiendo
que si un usuario(a)proxy.org es usuario de dicho proxy.org sólo
tiene sentido
que se autentique en ese proxy (a pesar de los divertidos esquemas
del país
de la piruleta que se ven en tech-invite.com con autenticaciones
secuenciales
y demás fricadas que luego sencillamente no existen).
2) Mirar el Contact y denegar el paquete si la URI en dicho
Contact está
prohibida (se corresponde con el proxy). El módulo "permissiones"
permite
esto para REGISTER pero no lo encuentro para otros mensajes, ¿no
se puede
hacer así? sería elegante.
Como bien me han recalcado en la susodicha lista la vulnerabilidad se
produce en un ataque directo, es decir llamado directa del atacante a
la víctima sin pasar por el proxy de la víctima.
Ya he añadido allí que entonces la solución es bloquear el tráfico SIP
a los clientes si no viene desde la IP del proxy. Esto puede ser vía
el propio UAS (los Linksys tienen la opción de hacerlo) o vía firewall
de la LAN de los clientes. A todo esto, entonces ya no soy tan paranoico con lo
de permitir
llamadas directas a usuarios si el atacante conoce el "Contact" de uno
de ellos, ¿no? XDDDDD
Esto aún no lo he acabado de entender... me lo cuentas en Madrid con
un mapa :)
Saludos
JesusR.
------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr(a)voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------