[OpenSER-Users-ES] ¿Es válido cambiar el From NAME en vez del From username?
Victor Pascual Ávila
victor.pascual.avila at gmail.com
Mon May 5 23:14:26 CEST 2008
2008/5/5 Gustavo <ggb at tid.es>:
> Victor Pascual Ávila wrote:
> > ¿Cómo puede un UA verificar que el From del Invite que recibe es
> > realmente de quien dice ser?
>
> Yo creo que la cosa está chunga, como en el email.
> - Teoricamente si dispones de una infraestructura PKI podrías utilizar
> métodos para firmar las cabeceras (incluido el from) [RFC3893][RFC447]
> - En la práctica, si el mensaje es de un usuario de tu mismo dominio y
> pasa por el servidor de tu dominio, el servidor debería asegurarse que
> el From es quien dice ser. Si el mensaje es de un usuario de otro
> dominio no hay nada que hacer, salvo establecer relaciones de confianza
> entre dominios y cosas similares.
¿Tendría sentido hacer lo siguiente?
0) Suponemos que todos los UA (callerB i calleeA) se registran contra su proxy
1) CalleeA recibe un INVITE con el From de CallerB
2) CalleeA genera un re-INVITE contra el From de CallerB (en este
caso, contra su proxy)
3) El proxy, mediante el location service, hace un re-targeting contra
el CallerB
De este modo, si un attacker genera una llamada hacia CalleeA
suplantando el From de CallerB, CalleeA le preguntará a CallerB si
realmente es él quien le llama...
Puede sonar algo perverso, pero en un entorno no-trusted... ¿hay otro
modo de hacerlo?
Saludos,
--
Victor Pascual Ávila
More information about the Users-es
mailing list