[OpenSER-Users-ES] Vulnerabilidad SIP con re-INVITE y digest

[Jesus Rodriguez]

Hola Iñaki,


> El 5/11/07, Iñaki Baz Castillo <ibc at aliax.net> escribió:
>
>> 1) Meter un "consume_credentials()" dentro de "loose_route()" para  
>> borrar la
>> autenticación justo antes de enviar el paquete al destino. Es  
>> decir, entiendo
>> que si un usuario at proxy.org es usuario de dicho proxy.org sólo  
>> tiene sentido
>> que se autentique en ese proxy (a pesar de los divertidos esquemas  
>> del país
>> de la piruleta que se ven en tech-invite.com con autenticaciones  
>> secuenciales
>> y demás fricadas que luego sencillamente no existen).
>>
>> 2) Mirar el Contact y denegar el paquete si la URI en dicho  
>> Contact está
>> prohibida (se corresponde con el proxy). El módulo "permissiones"  
>> permite
>> esto para REGISTER pero no lo encuentro para otros mensajes, ¿no  
>> se puede
>> hacer así? sería elegante.
>
> Como bien me han recalcado en la susodicha lista la vulnerabilidad se
> produce en un ataque directo, es decir llamado directa del atacante a
> la víctima sin pasar por el proxy de la víctima.
>
> Ya he añadido allí que entonces la solución es bloquear el tráfico SIP
> a los clientes si no viene desde la IP del proxy. Esto puede ser vía
> el propio UAS (los Linksys tienen la opción de hacerlo) o vía firewall
> de la LAN de los clientes.


Y también, teniendo en cuenta que la gran mayoría de equipos están  
detrás de NAT, y NAT simétrico especialmente, la cosa no es tan grave.



> A todo esto, entonces ya no soy tan paranoico con lo de permitir
> llamadas directas a usuarios si el atacante conoce el "Contact" de uno
> de ellos, ¿no? XDDDDD


Esto aún no lo he acabado de entender... me lo cuentas en Madrid con  
un mapa :)


Saludos
JesusR.

------------------------------------
Jesus Rodriguez
VozTelecom Sistemas, S.L.
jesusr at voztele.com
http://www.voztele.com
Tel. 902360305
-------------------------------------