[OpenSER-Users-ES] Seguridad en cabeceras y parámetros

Jesus Rodriguez jesusr at voztele.com
Mon Jan 14 13:03:46 CET 2008 

Hola Gustavo,


> On Tue, 2008-01-08 at 12:08 +0100, Iñaki Baz Castillo wrote:
>> Hola, si llega un INVITE con la cabecera:
>>  Call-Info:;answer-after=0
>> algunos UAS descolgarán automáticamente la llamada.
> Hay una forma más estandar de hacer eso:
> http://potaroo.net/ietf/all-ids/draft-ietf-sip-answermode-06.txt
>
>> Pues hombre, está bien pero representa a todas luces un posible  
>> problema de
>> seguridad y privacidad (¿¿espionaje?? XD).
>
> El problema es del UA que descuelgue automáticamente, yo creo que el
> proxy no debería hacer nada al respecto.


Depende del tipo de servicio que quieras ofrecer y del entorno en el  
que estés.



> De hecho, aunque lo controles en el proxy, ¿que pasa si alguien llama
> directamente a la IP del teléfono sin pasar por tu proxy?


Hoy, con los temas de NAT los UAs que son directamente accesibles  
desde Internet son mínimos.



>> Tal vez el proxy sólo debería permitirse este tipo de cabeceras en  
>> ciertas
>> condiciones (llamada desde el B2BUA y cosas así). De hecho así lo  
>> prevee el
>> RFC 3261 respecto de las cabeceras Call-Info y Alert-Info.
>>
>> El caso es que en Asterisk éste problema no existe puesto que del  
>> INVITE que
>> le llega al que Asterisk genera no se parece ni el "From" (y no es  
>> coña).
>> Pero sé que otros B2BUA actúan de manera más transparente  
>> replicando las
>> cabeceras desconocidas.
>>
>> En este último caso me pregunto si existe algún listado de  
>> cabeceras o
>> parámetros que deba vigilar a parte de los mencionados. Se me  
>> ocurren:
>>
>> - Call-Info
>> - Alert-Info
>> - RPID
>> - PAI
> No sé a que te refieres por vigilar, pero yo haría lo mínimo posible  
> en el proxy y dejaría la inteligencia en los terminales lo máximo  
> posible.


Si estás en un entorno totalmente homogéneo en el que siempre usas los  
mismos dispositivos y sabes perfectamete qué pueden hacer y que no,  
posiblemente esa sea un opción. En entornos en los que no sabes los UA  
que se van a usar y que soportan cosas diferentes cuantas menos cosas  
dejes en las manos de los UA mejor porque te ahorrarás muchos  
problemas. En este caso, cuanta más inteligencia tengas en la red,  
mejor.


Saludos
JesusR.

------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr at voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------

More information about the Users-es mailing list