[OpenSER-Users-ES] Vulnerabilidad SIP con re-INVITE y digest

Iñaki Baz Castillo ibc at aliax.net
Mon Nov 5 09:27:19 CET 2007


El 5/11/07, Iñaki Baz Castillo <ibc at aliax.net> escribió:

> 1) Meter un "consume_credentials()" dentro de "loose_route()" para borrar la
> autenticación justo antes de enviar el paquete al destino. Es decir, entiendo
> que si un usuario at proxy.org es usuario de dicho proxy.org sólo tiene sentido
> que se autentique en ese proxy (a pesar de los divertidos esquemas del país
> de la piruleta que se ven en tech-invite.com con autenticaciones secuenciales
> y demás fricadas que luego sencillamente no existen).
>
> 2) Mirar el Contact y denegar el paquete si la URI en dicho Contact está
> prohibida (se corresponde con el proxy). El módulo "permissiones" permite
> esto para REGISTER pero no lo encuentro para otros mensajes, ¿no se puede
> hacer así? sería elegante.

Como bien me han recalcado en la susodicha lista la vulnerabilidad se
produce en un ataque directo, es decir llamado directa del atacante a
la víctima sin pasar por el proxy de la víctima.

Ya he añadido allí que entonces la solución es bloquear el tráfico SIP
a los clientes si no viene desde la IP del proxy. Esto puede ser vía
el propio UAS (los Linksys tienen la opción de hacerlo) o vía firewall
de la LAN de los clientes.

A todo esto, entonces ya no soy tan paranoico con lo de permitir
llamadas directas a usuarios si el atacante conoce el "Contact" de uno
de ellos, ¿no? XDDDDD



-- 
Iñaki Baz Castillo
<ibc at aliax.net>


More information about the Users-es mailing list