Archivo donde se guarda los nombres de usuario y contraseña incorrecta de autentificación.
Victor
autentificar de extensiones SIP?
Gracias.
Iñaki Baz Castillo
> ¿Alguien sabe donde guarda los usuarios y contraseña incorrecto de
> autentificar de extensiones SIP?
SIP utiliza Digest y no envío de contraseñas en plano, así que ver el
Digest "response" que te envía el usuario SIP intentando autenticarse no vale
para nada puesto que es un hash a partir del cual *no* se puede averiguar el
password en texto claro que se ha utilizado para generarlo (si no sería una
gran vulnerabilidad).
En caso de autentificaciones incorrectas, Asterisk te lo loguea en el CLI si
tienes habilitado un nivel suficiente de "debug" y "verbose", y puedes ver el
nombre de usuario que trata de autenticarse.
--
Iñaki Baz Castillo
<ib...@xtratelecom.es>
Técnico Informático
El Usuario con el que el cliente sip intenta longuearse lo sé el problema es la contraseña que es la incorrecta, el problema es que no tengo acceso al cliente y quiero saber con que password utiliza para validarlo en el servidor Asterisk. Alguna forma debe haber para poderlo desde el propio servidor Asterisk supongo.
avast! Antivirus: Mensaje entrante limpio. Base
de datos de Virus (VPS): 090108-0, 08/01/2009
Comprobado el: 09/01/2009 13:27:57
avast! - copyright (c) 1988-2009 ALWIL Software.
Iñaki Baz Castillo
> El Usuario con el que el cliente sip intenta longuearse lo sé el problema
> es la contraseña que es la incorrecta, el problema es que no tengo acceso
> al cliente y quiero saber con que password utiliza para validarlo en el
> servidor Asterisk. Alguna forma debe haber para poderlo desde el propio
> servidor Asterisk supongo.
Ya te he dicho antes que no hay forma. Digest *NO* permite (y ya lo he
detallado antes) conocer el password en claro con el que ha sido generado el
hash que el cliente envía.
No, no hay forma, ni desde Asterisk ni desde ninguna cosa que autentique
usando Digest.
Técnico Informático
Gracias por tu ayuda Iñaki.
De:
aster...@googlegroups.com [mailto:aster...@googlegroups.com] En nombre
de Iñaki Baz Castillo
Enviado el: viernes, 09 de enero de 2009 13:43
Para: aster...@googlegroups.com
Asunto: [Asterisk-ES] Re: Archivo donde se guarda los nombres de usuario
y contraseña incorrecta de autentificación.
El Friday 09 January 2009 13:33:00 Técnico Informático escribió:
avast! Antivirus: Mensaje entrante limpio.
Base
de datos de Virus (VPS): 090108-0, 08/01/2009
Comprobado el: 09/01/2009 13:58:04
Ricardo Peironcely
Un saludo.
Ricardo Peironcely
Iñaki Baz Castillo
> Haz el hash de la contraseña que esperas y comprueba si es el mismo hash de
> la contraseña que te mandan.
Pero eso sólo sirve para confirmar que la contraseña es incorrecta, nunca para
averiguar el password que el cliente está usando.
Aprovechando que lo puse en otra lista, pego aquí el algoritmo para crear el
hash "response" del Digest:
### --- Algorithm for creating the Digest response field ---
## HA1
HA1 = MD5(A1) = MD5(username:realm:password)
## HA2
# If 'qop' == "auth" or not present:
HA2 = MD5(A2) = MD5(method:digestURI)
# If 'qop' == "auth-int":
HA2 = MD5(A2) = MD5(method:digestURI:H(entity-body))
## response
# If 'qop':
response = MD5(HA1:nonce:nonceCount:clientNonce:qop:HA2)
# If no 'qop' present:
response = MD5(HA1:nonce:HA2)
Más info en su RFC 2617.
Ricardo Peironcely
Un saludo.
Ricardo.
Técnico Informático
Iñaki Baz Castillo
> Ricardo se que el cliente SIP esta autentificando incorrectamente, también
> se que no es el usuario sino la contraseña, el problema es que no tengo
> acceso a el para corregir la contraseña, entonces la idea era averiguar
> que contraseña utiliza para modificarla en el propio servidor Asterisk para
> que la autentificación sea correcta. Pero por lo visto no hay forma de
> averiguar que contraseña esta utilizando el cliente SIP.
No, no hay forma. Es uno de los fundamentos de la autenticación Digest.