Re: [OpenSER-Users-ES] ¡¡ El "outbound" se carga toda la seguridad !!

Jesus Rodriguez jesusr at voztele.com
Wed Oct 24 23:12:43 CEST 2007


Hola Iñaki,


> El Miércoles, 24 de Octubre de 2007, Jesus Rodriguez escribió:
>>> - Pero si por alguna llamada anterior se conoce el "Contact"  
>>> final del
>>> usuario_B at dom_B (ej: sip:usuario_B at 80.80.80.80:5061) entonces el
>>> usuario_A at dom_A puede llamar **directamente** a usuario_B at dom_B sin
>>> pasar por
>>> la política de seguridad de mi OpenSer sólo con tener predefinido
>>> su OpenSer
>>> como Outbound proxy y llamar directamente a
>>>   sip:usuario_B at 80.80.80.80:5061
>>
>> No entiendo esto... ¿porqué no pasa por las políticas de seguridad
>> que tengas definidas?.
>
> Bien, la sección "outbound" está antes de la "inbound" y en ella  
> simplemente
> compruebo si el llamante es "mío" y si es así le pido auth y suto  
> la llamada
> directamente (t_relay) y aplico RtpProxy y corrección de NAT.
>
> Y luego viene la sección inbound donde, en función del dominio del  
> RURI se
> aplica la política de seguridad,  que viene a ser el tema que hice  
> [1] de
> ACL's pero ahora mucho más "poderoso" (comparo fechas, horarios,  
> IP's de
> origen, expresiones regulares, si es un forwarding o no...).
>
> [1] http://blog.aliax.net/2007/08/openser-acls-multidominio.html
>
> Es decir, recalco que la política de seguridad es en función del  
> dominio y
> sólo se aplica para llamadas a usuarios de mis dominios.
>
>
> Pero si un usuario de uno de mis dominios (dom_A) conoce (por una  
> llamada
> previa) el Contact exacto de otro usuario mío de un dominio  
> distinto (dom_B)
> e, insisto, completamente independiente de dom_B, entonces el  
> usuario puede
> llamar directamente a:
>
>   sip:user_B at IP_Contact_user_B
>
> por lo que la llamada en mi OpenSer se considera outbound y puesto  
> que la
> realiza un usuario "mío" se la permito... ¡¡pero se salta toda la  
> política de
> seguridad!!


¿Aceptas llamadas a dominios diferentes de los que gestionas?. El  
dominio del Contact: que tienes en el location nunca será ninguno de  
los dominios que gestionas por lo que si sólo aceptas llamadas para  
tus dominios tienes el problema solucionado.


Saludos
JesusR.

------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr at voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------








More information about the Users-es mailing list