Podrias mirar si la IP destino a la que se dirige el mensaje (justo antes del t_relay en la ruta outbound) es alguna de las que tiene algun usuario registrado en el openser....


sam.

2007/10/25, Iñaki Baz Castillo <ibc@in.ilimit.es>:
El Thursday 25 October 2007 11:34:15 Raúl Alexis Betancor Santana escribió:

> > No entiendo porqué hablas ahora de diálogos en curso, no entiendo qué
> > tiene que ver, yo hablo de un INVITE inicial pero que no va a @domB sino
> > a @IP_contact_B (por lo que se ruta como Outbound) y en definitiva llega
> > al usuario B ya que dicho usuario permite llamadas (nat pinging tras
> > REGISTER) desde el proxy.
>
> Umm, error de concepto, tu OpenSer no tiene porqué usar los mismos datos de
> contacto que tiene del register para hacer esta llamada Outbound, y sino
> usa los mimos el Invite saliente hacia B se estampará contra el NAT de B

No entiendo, yo mismo hice la prueba y la vulnerabilidad existe:

- Desde userA@domA llamo a userB@domB.
- Me fijo en el Contact que envía el userB (que ha sido corregido por OpenSer
con la IP pública y puerto por la que sale nateado).

Si yo más tarde llamo directamente a esa IP del contact (IP pública) mi
OpenSer la identifica como outbound ($rd != dominio local) y la ruta
directamente, es decir, la ruta a la IP pública nateada del userB, y como es
el OpenSer quien lo envía atraviesa el NAT y llega al userB.

Insito en que todo esto lo tengo exaustivamente comprobado. Me puedes llamar
paranoico (y acertarás) pero lo que describo insisto en que es real.


> > De ahí que la solución que veo es la de rutar las llamadas outbound a
> > otro proxy y así ya no se pueden "colar" aprovechando el natpinging.
>
> Ahora mismo no tengo claro como .. pero estoy seguro de que no te hace
> falta otro proxy para esto.

Si mi OpenSer reenvia las llamadas outbound a otro proxy2 entonces cuando
dicho proxy2 encamine la llamada a la IP del Contact de userB se pegará el
leñazo con el NAT ya que sl router NAT no conoce conoexiones salientes desde
userB a proxy2.


Saludos y gracias de nuevo.

--
Iñaki Baz Castillo
ibc@in.ilimit.es

_______________________________________________
Users-es mailing list
Users-es@openser.org
http://openser.org/cgi-bin/mailman/listinfo/users-es