[OpenSER-Users-ES] ¿Es válido cambiar el From NAME en vez del From username?

Victor Pascual Ávila victor.pascual.avila at gmail.com
Mon May 5 23:14:26 CEST 2008


2008/5/5 Gustavo <ggb at tid.es>:
>  Victor Pascual Ávila wrote:
>  > ¿Cómo puede un UA verificar que el From del Invite que recibe es
>  > realmente de quien dice ser?
>
>  Yo creo que la cosa está chunga, como en el email.
>  - Teoricamente si dispones de una infraestructura PKI podrías utilizar
>  métodos para firmar las cabeceras (incluido el from) [RFC3893][RFC447]
>  - En la práctica, si el mensaje es de un usuario de tu mismo dominio y
>  pasa por el servidor de tu dominio, el servidor debería asegurarse que
>  el From es quien dice ser.   Si el mensaje es de un usuario de otro
>  dominio no hay nada que hacer, salvo establecer relaciones de confianza
>  entre dominios y cosas similares.

¿Tendría sentido hacer lo siguiente?

0) Suponemos que todos los UA (callerB i calleeA) se registran contra su proxy
1) CalleeA recibe un INVITE con el From de CallerB
2) CalleeA genera un re-INVITE contra el From de CallerB (en este
caso, contra su proxy)
3) El proxy, mediante el location service, hace un re-targeting contra
el CallerB

De este modo, si un attacker genera una llamada hacia CalleeA
suplantando el From de CallerB, CalleeA le preguntará a CallerB si
realmente es él quien le llama...

Puede sonar algo perverso, pero en un entorno no-trusted... ¿hay otro
modo de hacerlo?

Saludos,
-- 
Victor Pascual Ávila


More information about the Users-es mailing list