Jun
18
OpenSER: nueva funcionalidad “Secure nonce”
Y más novedades en el futuro OpenSER 1.4 … esta vez le toca al módulo de autenticación. Esta nueva funcionalidad es un mecanismo de protección contra el uso fraudulento de la autenticación en SIP ya que no permite re-utilizar credenciales con el mismo nonce aunque no haya expirado el tiempo de vida de ese nonce.
El mail de Bogdan en el que anuncia la nueva funcionalidad es una excelente explicación por lo que creo que no vale la pena alargarse mucho aquí.
Si no entiendo mal, esta nueva feature:
- supone una pèrdida de rendimiento (por locking)
- la arquitectura requiere load-balancers ‘especializados’- en otro caso, una petición y una petición con credentials no coincidirian
- no tengo muy claro la seguridad que ofrece para la cache…
Por cierto, me ha dicho un pajarito que te alomejor haces una visita a la isla… de momento Carlos y Xavi ya han reservado su vuelo!
Hola Victor,
- El impacto que tiene esta nueva funcionalidad es entre un 4% y un 7% según ponía Bogdan en su mail… en instalaciones muy grandes puede que tenga cierto impacto pero creo que vale la pena si aseguras más el servicio.
- Los balanceadores para SIP necesitas que sean statefull porque si no tendrás otros muchos problemas no relacionados con la autenticación… de hecho, hay muy poquitos balanceadores que sepan gestionar bien el tema SIP… y no te cuanto ya cuando tienes NAT por en medio.
- No entiendo lo que comentas de la cache…
Igual nos vemos por allí, sí… depende de si me lo puedo montar o no
Saludos
JesusR.