[OpenSER-Users-ES] Seguridad en cabeceras y parámetros

Iñaki Baz Castillo ibc at in.ilimit.es
Tue Jan 8 12:37:06 CET 2008 

On Tuesday 08 January 2008 12:19:30 Gustavo wrote:
> Hola,
>
> On Tue, 2008-01-08 at 12:08 +0100, Iñaki Baz Castillo wrote:
> > Hola, si llega un INVITE con la cabecera:
> >   Call-Info:;answer-after=0
> > algunos UAS descolgarán automáticamente la llamada.
>
> Hay una forma más estandar de hacer eso:
> http://potaroo.net/ietf/all-ids/draft-ietf-sip-answermode-06.txt

No lo conocía, gracias.


> > Pues hombre, está bien pero representa a todas luces un posible problema
> > de seguridad y privacidad (¿¿espionaje?? XD).
>
> El problema es del UA que descuelgue automáticamente, yo creo que el
> proxy no debería hacer nada al respecto.

Hombre, pero casos en los que te puede interesar que sí descuelgue, y además 
seguro que existen UAC's en los que no se puede denegar esta característica y 
cosas por el estilo, ¿no crees?


> De hecho, aunque lo controles en el proxy, ¿que pasa si alguien llama
> directamente a la IP del teléfono sin pasar por tu proxy?

Ese es otro problema de más bajo nivel que se puede solucionar con reglas de 
firewall y con la característica de algunos UAC's de sólo permitir entrantes 
desde el proxy.


> > Tal vez el proxy sólo debería permitirse este tipo de cabeceras en
> > ciertas condiciones (llamada desde el B2BUA y cosas así). De hecho así lo
> > prevee el RFC 3261 respecto de las cabeceras Call-Info y Alert-Info.
> >
> > El caso es que en Asterisk éste problema no existe puesto que del INVITE
> > que le llega al que Asterisk genera no se parece ni el "From" (y no es
> > coña). Pero sé que otros B2BUA actúan de manera más transparente
> > replicando las cabeceras desconocidas.
> >
> > En este último caso me pregunto si existe algún listado de cabeceras o
> > parámetros que deba vigilar a parte de los mencionados. Se me ocurren:
> >
> > - Call-Info
> > - Alert-Info
> > - RPID
> > - PAI
>
> No sé a que te refieres por vigilar, pero yo haría lo mínimo posible en el
> proxy y dejaría la inteligencia en los terminales lo máximo posible.

Por ejemplo, me consta que hay algunos terminales a los que si le llega una 
cabecera PAI o RPID la muestran como callerid en vez del From. Alguien 
malicioso podría jugar con eso autenticándose correctamente en su proxy pero 
enviando una info falseada al llamado.


Saludos.



-- 
Iñaki Baz Castillo
ibc at in.ilimit.es

More information about the Users-es mailing list