[OpenSER-Users-ES] Seguridad en cabeceras y parámetros
Gustavo
ggb at tid.es
Tue Jan 8 12:19:30 CET 2008
Hola,
On Tue, 2008-01-08 at 12:08 +0100, Iñaki Baz Castillo wrote:
> Hola, si llega un INVITE con la cabecera:
> Call-Info:;answer-after=0
> algunos UAS descolgarán automáticamente la llamada.
Hay una forma más estandar de hacer eso:
http://potaroo.net/ietf/all-ids/draft-ietf-sip-answermode-06.txt
> Pues hombre, está bien pero representa a todas luces un posible problema de
> seguridad y privacidad (¿¿espionaje?? XD).
El problema es del UA que descuelgue automáticamente, yo creo que el
proxy no debería hacer nada al respecto.
De hecho, aunque lo controles en el proxy, ¿que pasa si alguien llama
directamente a la IP del teléfono sin pasar por tu proxy?
> Tal vez el proxy sólo debería permitirse este tipo de cabeceras en ciertas
> condiciones (llamada desde el B2BUA y cosas así). De hecho así lo prevee el
> RFC 3261 respecto de las cabeceras Call-Info y Alert-Info.
>
> El caso es que en Asterisk éste problema no existe puesto que del INVITE que
> le llega al que Asterisk genera no se parece ni el "From" (y no es coña).
> Pero sé que otros B2BUA actúan de manera más transparente replicando las
> cabeceras desconocidas.
>
> En este último caso me pregunto si existe algún listado de cabeceras o
> parámetros que deba vigilar a parte de los mencionados. Se me ocurren:
>
> - Call-Info
> - Alert-Info
> - RPID
> - PAI
No sé a que te refieres por vigilar, pero yo haría lo mínimo posible en el proxy y dejaría la inteligencia en los terminales lo máximo posible.
> ¿Alguno más?
>
> Gracias.
Un saludo,
G.
More information about the Users-es
mailing list