Re: [OpenSER-Users-ES] ¡¡ El "outbound" se carga toda la seguridad !!

samuel samu60 at gmail.com
Thu Oct 25 10:53:03 CEST 2007


pos aplica un check en sección de outbound que no permita utilizar IPs
directamente, únicamente nombres de dominios. Con un regexp podrías dormir
tranquilo ;)
samuel.

2007/10/25, Iñaki Baz Castillo <ibc at in.ilimit.es>:
>
> El Wednesday 24 October 2007 19:44:25 Raúl Alexis Betancor Santana
> escribió:
>
> > > por lo que la llamada en mi OpenSer se considera outbound y puesto que
> la
> > > realiza un usuario "mío" se la permito... ¡¡pero se salta toda la
> > > política de seguridad!!
> >
> > Umm, o yo me le liado siguiendo el hilo o no tiene sentido lo que
> comentas.
>
> No no, en serio, hablo de lo mismo ;)
>
>
> > Aunque el usuario A conozca el contact del B, no le puede mandar un
> Invite
> > usando de outbound proxy, SI y siempre SI, tu compruebas que no es un
> > dialogo en curso.
>
> Sí que puede, y tiene todo el sentido. Yo permito que los usuarios de mis
> dominios (domA y domB) hagan llamadas outbound a dominos externos usando
> como
> outbound proxy mi OpenSer (para que ponga el RtpProxy y tal).
>
> Entonces si userA at domA llama a la IP de contact de B (sip:userB at ip
> _contact_B)
> entonces esa llamada la interpretará mi OpenSer como outbound (no va
> dirigida
> a un dominio local) y la rutará directamente, por lo que llegará al userB
> directamente. Comprobado.
>
> No entiendo porqué hablas ahora de diálogos en curso, no entiendo qué
> tiene
> que ver, yo hablo de un INVITE inicial pero que no va a @domB sino a
> @IP_contact_B (por lo que se ruta como Outbound) y en definitiva llega al
> usuario B ya que dicho usuario permite llamadas (nat pinging tras
> REGISTER)
> desde el proxy.
>
> De ahí que la solución que veo es la de rutar las llamadas outbound a otro
> proxy y así ya no se pueden "colar" aprovechando el natpinging.
>
>
> > > Además resulta que como dicho INVITE llegará desde el OpenSer el
> user_B
> > > lo aceptará de todas todas (ni siquiera hay una mínima protección de
> NAT
> > > o firewall posible).
> >
> > Creo que te has liado, el INVITE no llegará a B, porque desde que A te
> lo
> > mande pasará por todas tus reglas, a no ser que el orden de las reglas
> esté
> > mal.
>
> No es que las reglas estén mal, es que @IP_contact_B no es un dominio
> local
> luego es outbound y no se procesa por las reglas (que son para llamadas
> **entrantes** a los usuarios locales).
>
>
> Saludos y gracias.
>
>
> --
> Iñaki Baz Castillo
> ibc at in.ilimit.es
>
> _______________________________________________
> Users-es mailing list
> Users-es at openser.org
> http://openser.org/cgi-bin/mailman/listinfo/users-es
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.kamailio.org/pipermail/sr-users-es/attachments/20071025/d501a594/attachment-0002.htm 


More information about the Users-es mailing list