Autor: Vincent Caron Data: A: guilde Assumpte: Re: Protocole Sip
On sam., 2012-05-05 at 19:29 +0200, Frédéric wrote: > Faut queje vois comment filtrer tout ça de manière plus fine sur mon
> routeur, alors ! Car ça veut dire que c'est un peu passoire, non ?
Pas forcément, c'est un comportement qui était assez souhaitable avant
que l'uPNP arrive. Ce système "d'ouverture de port UDP implicite" repose
sur le fait que c'est le client qui doit initier la session.
Techniquement, c'est le softphone qui envoie le premier paquet RTP;
ensuite le proxy SIP sait qu'il peut répondre à l'IP et au port sources
du paquet reçu en comptant sur le NAT pour assurer le chemin inverse
jusqu'au softphone. Ceci implique qu'un utilisateur sur le LAN a
(sciemment ou non) initié cette session, en tout cas ça n'ouvre aucune
porte à un 'remote exploit'.
Si tu bloque cette 'feature', tu auras soi besoin de forwarder
arbitrairement des plages de port UDP vers ton softphone (peu pratique
et peu fiable), soit gérer l'uPNP ce qui revient peu ou prou au même
niveau de sécurité que la situation actuelle (l'utilisateur sur le LAN
peut ouvrir des ports UDP vers lui-même quand ça lui chante).