Re: [OpenSER-Users-ES] ¡¡ El "outbound" se carga toda la seguridad !!
Jesus Rodriguez
jesusr at voztele.com
Wed Oct 24 23:12:43 CEST 2007
Hola Iñaki,
> El Miércoles, 24 de Octubre de 2007, Jesus Rodriguez escribió:
>>> - Pero si por alguna llamada anterior se conoce el "Contact"
>>> final del
>>> usuario_B at dom_B (ej: sip:usuario_B at 80.80.80.80:5061) entonces el
>>> usuario_A at dom_A puede llamar **directamente** a usuario_B at dom_B sin
>>> pasar por
>>> la política de seguridad de mi OpenSer sólo con tener predefinido
>>> su OpenSer
>>> como Outbound proxy y llamar directamente a
>>> sip:usuario_B at 80.80.80.80:5061
>>
>> No entiendo esto... ¿porqué no pasa por las políticas de seguridad
>> que tengas definidas?.
>
> Bien, la sección "outbound" está antes de la "inbound" y en ella
> simplemente
> compruebo si el llamante es "mío" y si es así le pido auth y suto
> la llamada
> directamente (t_relay) y aplico RtpProxy y corrección de NAT.
>
> Y luego viene la sección inbound donde, en función del dominio del
> RURI se
> aplica la política de seguridad, que viene a ser el tema que hice
> [1] de
> ACL's pero ahora mucho más "poderoso" (comparo fechas, horarios,
> IP's de
> origen, expresiones regulares, si es un forwarding o no...).
>
> [1] http://blog.aliax.net/2007/08/openser-acls-multidominio.html
>
> Es decir, recalco que la política de seguridad es en función del
> dominio y
> sólo se aplica para llamadas a usuarios de mis dominios.
>
>
> Pero si un usuario de uno de mis dominios (dom_A) conoce (por una
> llamada
> previa) el Contact exacto de otro usuario mío de un dominio
> distinto (dom_B)
> e, insisto, completamente independiente de dom_B, entonces el
> usuario puede
> llamar directamente a:
>
> sip:user_B at IP_Contact_user_B
>
> por lo que la llamada en mi OpenSer se considera outbound y puesto
> que la
> realiza un usuario "mío" se la permito... ¡¡pero se salta toda la
> política de
> seguridad!!
¿Aceptas llamadas a dominios diferentes de los que gestionas?. El
dominio del Contact: que tienes en el location nunca será ninguno de
los dominios que gestionas por lo que si sólo aceptas llamadas para
tus dominios tienes el problema solucionado.
Saludos
JesusR.
------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr at voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------
More information about the Users-es
mailing list