[SR-Users-ES] Seguridad en Kamailio
César Pinto Magán
Cesar.Pinto en a-e.es
Mie Oct 6 15:48:29 CEST 2010
Muy buenas,
Me imagino qué es lo que quiere hacer Tincho. Se trataría validar por IP origen y permitir sólo las IP desde que algún cliente se le ha registrado al Kamailio.
Desgraciadamente no he visto ninguna solución "sencilla". Yo lo he implementado haciendo la función de manera "manual". Es decir, utilizo la tabla trusted para las WellKnown-IPs (o sea, la de los servers que ya sé que me llamarán) y para el resto me he implementado un sql para que busque en la tabla de contactos registrados algún contacto con la IP origen del request que quiero validar.
Puede que no sea elegante pero funciona (y tengo muchas cosas que mejorar al respecto).
Espero que esto os sirva de ayuda.
Saludos,
César Pinto (2439)
+34 91 787 23 00 alhambra-eidos.es
-----Mensaje original-----
De: sr-users-es-bounces en lists.sip-router.org [mailto:sr-users-es-bounces en lists.sip-router.org] En nombre de Iñaki Baz Castillo
Enviado el: martes, 05 de octubre de 2010 16:31
Para: Lista de usuarios de SIP Router
Asunto: Re: [SR-Users-ES] Seguridad en Kamailio
El día 5 de octubre de 2010 15:16, Tincho ylm <sadzas en gmail.com> escribió:
> Claro, has dado en el clavo.
> La idea que tenia era validar por IP. Pero de esa manera estaria validando
> TODA el trafico que llega a Kamailio, por tanto, tambien las extensiones que
> se intentan registrar. Extensiones que no se que IP van a tener.
> (te pido que me corrijas si me equivoco)
>
> Entonces, la idea en vez de validar por IP, es buscar otro tipo de
> validacion. El modulo permissions tambien puede validar por URI, aunque en
> este caso estaria en la misma situacion, ya que no conozco TODAS las IP
> desde las cuales las extensiones se registraran. No se si me explico bien.
> Por ultimo, se me ocurre validar por username del URI, algo muy manual. A
> menos que haya una forma mas "economica" de hacerlo.
> ¿Que me propones?
Creo que te estás liando y mucho. Sólo hay dos (tres) formas de
"validar" un request:
1) Por autenticación SIP: El request llega desde cualquier IP y el
server le solicita autenticación.
2) Por IP origen. El server permite requests desde algunas IP's
específicas (insisto: aquellas que figuren en la tabla 'address' y uso
de las funciones pertinentes del módulo 'permissions'.
3) Mezcla de 1 y 2. Sólo se permite tráfico desde IP's privilegiadas y
además se les exige autenticación (modo paranoia).
Lo de validar por URI no vale NADA, ya que ahora mismo desde China
alguien te puede mandar un INVITE conteniendo lo que el chino quiera.
Si pone una UrI determinada, ¿tu Kamailio le va a dejar pasar?
Si tienes un Asterisk que envíe llamadas a Kamailio (un Asterisk
*dentro* de tun arquitectura de servers, no un server Asterisk de un
cliente), lo normal es que permitas que esas llamadas lleguen a
Kamailio y no se pida autenticación. Para llamadas o registros desde
clientes de IP's arbitratarias siempre exigir autenticación.
Pero sinceramente creo que no tienes muy claro lo que pretendes (de
hecho aún no lo has dicho).
Saludos.
--
Iñaki Baz Castillo
<ibc en aliax.net>
_______________________________________________
SR-Users-ES mailing list
SR-Users-ES en lists.sip-router.org
http://lists.sip-router.org/cgi-bin/mailman/listinfo/sr-users-es
Más información sobre la lista de distribución SR-Users-ES