On dimanche 06 mai 2012, Vincent Caron wrote:
> Pas forcément, c'est un comportement qui était assez souhaitable avant
> que l'uPNP arrive. Ce système "d'ouverture de port UDP implicite" repose
> sur le fait que c'est le client qui doit initier la session.
>
> Techniquement, c'est le softphone qui envoie le premier paquet RTP;
> ensuite le proxy SIP sait qu'il peut répondre à l'IP et au port sources
> du paquet reçu en comptant sur le NAT pour assurer le chemin inverse
> jusqu'au softphone. Ceci implique qu'un utilisateur sur le LAN a
> (sciemment ou non) initié cette session, en tout cas ça n'ouvre aucune
> porte à un 'remote exploit'.
>
> Si tu bloque cette 'feature', tu auras soi besoin de forwarder
> arbitrairement des plages de port UDP vers ton softphone (peu pratique
> et peu fiable), soit gérer l'uPNP ce qui revient peu ou prou au même
> niveau de sécurité que la situation actuelle (l'utilisateur sur le LAN
> peut ouvrir des ports UDP vers lui-même quand ça lui chante).
Ok. Donc tant qu'on ne prend pas l'appel, il ne peut rien se passer, c'est
bien ça ?
Mais reste quand même l'appel lui-même : comment est-il passé ? C'est parce
que le client s'est connecté au proxy, et attend un retour ?
--
Frédéric