[SR-Users-ES] Seguridad en Kamailio
Iñaki Baz Castillo
ibc en aliax.net
Mar Oct 5 16:31:01 CEST 2010
El día 5 de octubre de 2010 15:16, Tincho ylm <sadzas en gmail.com> escribió:
> Claro, has dado en el clavo.
> La idea que tenia era validar por IP. Pero de esa manera estaria validando
> TODA el trafico que llega a Kamailio, por tanto, tambien las extensiones que
> se intentan registrar. Extensiones que no se que IP van a tener.
> (te pido que me corrijas si me equivoco)
>
> Entonces, la idea en vez de validar por IP, es buscar otro tipo de
> validacion. El modulo permissions tambien puede validar por URI, aunque en
> este caso estaria en la misma situacion, ya que no conozco TODAS las IP
> desde las cuales las extensiones se registraran. No se si me explico bien.
> Por ultimo, se me ocurre validar por username del URI, algo muy manual. A
> menos que haya una forma mas "economica" de hacerlo.
> ¿Que me propones?
Creo que te estás liando y mucho. Sólo hay dos (tres) formas de
"validar" un request:
1) Por autenticación SIP: El request llega desde cualquier IP y el
server le solicita autenticación.
2) Por IP origen. El server permite requests desde algunas IP's
específicas (insisto: aquellas que figuren en la tabla 'address' y uso
de las funciones pertinentes del módulo 'permissions'.
3) Mezcla de 1 y 2. Sólo se permite tráfico desde IP's privilegiadas y
además se les exige autenticación (modo paranoia).
Lo de validar por URI no vale NADA, ya que ahora mismo desde China
alguien te puede mandar un INVITE conteniendo lo que el chino quiera.
Si pone una UrI determinada, ¿tu Kamailio le va a dejar pasar?
Si tienes un Asterisk que envíe llamadas a Kamailio (un Asterisk
*dentro* de tun arquitectura de servers, no un server Asterisk de un
cliente), lo normal es que permitas que esas llamadas lleguen a
Kamailio y no se pida autenticación. Para llamadas o registros desde
clientes de IP's arbitratarias siempre exigir autenticación.
Pero sinceramente creo que no tienes muy claro lo que pretendes (de
hecho aún no lo has dicho).
Saludos.
--
Iñaki Baz Castillo
<ibc en aliax.net>
Más información sobre la lista de distribución SR-Users-ES