[OpenSER-Users-ES] Duda sobre register.deny

Iñaki Baz Castillo ibc at in.ilimit.es
Wed Sep 19 15:01:53 CEST 2007


Hola, ¿cuál es el peligro real que trata de impedir el 
fichero "register.deny"?
Es decir, sé que lo que hace es impedir registros cuyo "Contact" indique una 
IP o nombre DNS contenido en este fichero de texto "register.deny".
Pero no sé cuál es el problema real.

Según el propio fichero:

# Suppose that we have a PSTN gateway with IP address 1.2.3.4
# We should prevent REGISTER messages that contain that IP
# address in Contact header field because that can cause serious
# security hole (a malicious user might be able to register such
# a contact and bypass security checks performed by the SIP proxy).
#
# The following line prevents registering Contacts with IP 1.2.3.4
# (Don't forget to list also all hostnames that can be used to
#  reach the PSTN gateway)


Veamos, el único problema de seguridad que yo veo es que un usuario 
malintencionado pudiese acceder a la pasarela PSTN 1.2.3.4 y que se 
registrase desde ella, pero nada más, ¿no?
O sea, aunque yo hackee mi softphone o use SIPp o lo que sea y envíe un 
REGISTER con "Contact=sip:1.2.3.4" no pasa absolutamente nada, ¿no?

Bueno, tal vez si fuese un registrar abierto y cada cuál se podría registrar 
con un usuario que el decidiese sin necesidad de autenticarse, entonces el 
usuario malintencionado enviaría un REGISTER:
  To: 937123123 at dominio.org
  Contact: sip:1.2.3.4

Y entonces si luego el mismo llama desde otra cuenta SIP a 
sip:937123123 at dominio.org entonces OpenSer enviaría esa llamada a la PSTN 
precisamente al número 937123123.

Pero no sé, me parece un cúmulo de cosas mal hechas. yo me refiero a un 
sistema en el que se exige autenticación para REGISTER y en el que existen 
unos usuarios en la tabla "subscriber" o en el Radius o como sea.

Entonces no habría problema, ¿no?

Saludos.



-- 
Iñaki Baz Castillo
ibc at in.ilimit.es




More information about the Users-es mailing list