Seguridad
Gabriel Reyes
Queria saber si alguien me podria dar unos tips para asegurar una central telefonica, es decir ademas de la utilizacion de iptables y tcp wrappers, que otras maneras mas tengo de asegurar
la central, teniendo en cuenta como por ejemplo evitar que puedan hackear una anexo y llamar al resto del mundo ??.
Muchas gracias y atento a sus comentarios.
--
Gabriel Alonso Reyes Marchant
Alumno de Administracion de Redes Computacionales
Duoc UC Sede Viña del Mar
Sisco Ds
tenerlo todo bien cerradito y sólo abrir lo estrictamente necesario,
si puedes capar las IPs entrantes mejor que mejor, capar el SSH para
que sólo se pueda entrar con clave pública/privada y nunca con usuario
root y que las claves de las extensiones las tengas como mínimo de una
longitud de 12 o 15 caracteres con mayúsculas, minúsculas, números y
caracteres tipo "." "@" "-" y no basados en diccionario, te puede
ayudar esta web http://www.clavesegura.org/ (entre otras muchas)
Esto al menos es lo que yo uso
Si alguien usa algo más que nos lo diga que yo también estoy
interesado en aumentar la seguridad de mis instalaciones.
Saludos.
On 7 nov, 05:24, Gabriel Reyes <g.reyesmarch...@gmail.com> wrote:
> Estimados:
>
> Queria saber si alguien me podria dar unos tips para asegurar una central
> telefonica, es decir ademas de la utilizacion de iptables y tcp wrappers,
> que otras maneras mas tengo de asegurar
> la central, teniendo en cuenta como por ejemplo evitar que puedan hackear
> una anexo y llamar al resto del mundo ??.
>
> Muchas gracias y atento a sus comentarios.
>
> --
Samuel Cornu
Espero que este correo no moleste.
Saludos
Enviado desde mi iPhone
> --
> Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
>
> ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripción: asterisk-es...@googlegroups.com
alphil
allowguest=no
call-limit=2 (o lo que sea necesario)
>
> Queria saber si alguien me podria dar unos tips para asegurar una central
> telefonica, es decir ademas de la utilizacion de iptables y tcp wrappers,
> que otras maneras mas tengo de asegurar
> la central, teniendo en cuenta como por ejemplo evitar que puedan hackear
> una anexo y llamar al resto del mundo ??.
>
> Muchas gracias y atento a sus comentarios.
>
> --
Alejandro Mescua H.
Yo mas bien preguntaria an, si estas publicando tu centralita en Internet y con que finalidad ?.. sobre todo por los riezgos que puede generar.
Si es asi, no descartes utilizar mecanismos para conexion mas segura como VPNs, evitando asi publicar tu servidor en redes no tan confiables.
saludos,
Saúl Ibarra Corretgé
> Hola Gabriel:
> Yo mas bien preguntaria an, si estas publicando tu centralita en Internet y
> con que finalidad ?.. sobre todo por los riezgos que puede generar.
>
> Si es asi, no descartes utilizar mecanismos para conexion mas segura como
> VPNs, evitando asi publicar tu servidor en redes no tan confiables.
>
La finalidad es que le llamen. Vamos de modernos en plan "yeah, uso
VoIP" y luego no dejamos que nadie nos llame por SIP? WTF?!
Toda centralita debería ser accesible desde el exterior y si te quiero
llamar a sip:ful...@empresa.com debería poder. Es unas 1000 veces
mejor que llamar por la PSTN, que usa codecs de mierda y cada 10
segundos tengo que andar pidiendo que me repitan las cosas.
La centralita debería ser como la web de la empresa, accesible desde
todas partes.
Open your PBX!!!
--
/Saúl
http://saghul.net | http://sipdoc.net
Elio Rojano
<sag...@gmail.com> escribió:
Saúl, te has ganado el +1
Cuanto tiempo esperando escuchar algo así por la lista.
Paco Gil
--
http://www.sinologic.net/
José Luis Gómez
Podés dejar público el SIP siempre y cuando tomes tus recaudos. Ya se que te pueden atacar igual, pero los podés banear, por lo que el ataque dura 2 segundos.
Cada uno tiene su uso, abierto o cerrado, el tema es saber lo que hacés y no dejar permisos incorrectos, sino pagarás una cuenta grande de llamadas a Marruecos.
Saludos.
Ing. José Luis Gómez
www.qualis.com.ar
MarioAngeles
Elio Rojano
<jos...@gmail.com> escribió:
Utopía es que la gente se pueda llamar gratis por VoIP y que en lugar
de marcar un número de teléfono, marquen una uri.
Pero esa utopía existe, funciona y es real.
Otra cosa es que haya personas que no sepan configurar un Asterisk de
forma lo suficientemente segura como para permitir hacer eso sin que
le hagan llamadas a Cuba.
José Luis Gómez
En los museos cuantos robos hay?
Saúl Ibarra Corretgé
> Igual que no abriría la puerta de mi casa y la dejaría abierta...
> Si dejo la puerta abierta me pueden inundar a mierda y colapsar mis recursos
> en menos que canta un gallo, por no decir que sería como poner un caramelo
> en la puerto de un colegio... todos los figuras SIP de lo ajeno, estarían
> todo el rato dale que te pego.
> Resumiendo, una utopía....
>
Bullshit. Nuestro servicio está abierto a cualquiera y los problemas
son 0 (usando las medidas pertinentes).
La VoIP esa de palo metida en una jaula que venden como "PBX moderna"
no es más que la triste PSTN con un disfraz.
Elio Rojano
<jos...@gmail.com> escribió:
Primero... No hagais Top-Posting... (http://es.wikipedia.org/wiki/Top-posting)
En segundo lugar, dejad las mansiones y los fantasmas que Halloween ya
fue hace una semana...
Por último... cualquier sistema bien configurado es capaz de recibir
llamadas vía SIP sin problemas de seguridad.
Ojo... "bien configurado", otra cosa es como siempre he dicho... meter
un: include => outgoing en medio de un contexto [default], o una
extensión 100 con contraseña 100, que hay mucho cazurro por ahí
corriendo...
La única pega que le veo a abrir el SIP es que te entren llamadas
spam... pero para eso deben saber el nombre correcto al que llamar.
Paco Gil
Elio Rojano
Deja las metáforas... una PBX es una PBX y se debe comportar como tal.
Si no está bien configurada, es normal que te entren hasta la
cocina... Cada cual que haga lo que quiera... pero luego no vayáis
diciendo "somos pioneros en VoIP" porque nos conocemos todos... :P
Saúl Ibarra Corretgé
> repito...todo muy bonito... pero Internet es lo que es y eso no lo cambia
> nadie.
> A mi me gustaría ir con un Ferrari al barrio de los Asperones (Málaga -
> Spain) [http://www.20minutos.es/noticia/452559/0/vecinos/agresion/policias/]
> y dejarlo aparcado, con la puerta cerrada y la alarma puesta, mientras me
> compro un helado en el kiosko de la esquina. ¿que pasará? pues que igual no
> vuelvo para contarlo.
> La realidad, la dura realidad... que se lo pregunten a Papandreu y
> Berlusconi... :
Que diferencia hay entre tu server web y tu PBX? :-O
José Luis Gómez
Fijate que hay 3 minutos de dif entre tu mensaje y el mio.
Está concurrido este tema je
PD: Ya rehice este correo 3 veces porque siguen entrando correos, y no quiero que te enojes nuevamente je
2011/11/9 Saúl Ibarra Corretgé <sag...@gmail.com>
> por mucho que suene bien lo que habéis dicho... yo no la abriría ni de coña.Bullshit. Nuestro servicio está abierto a cualquiera y los problemas
> Igual que no abriría la puerta de mi casa y la dejaría abierta...
> Si dejo la puerta abierta me pueden inundar a mierda y colapsar mis recursos
> en menos que canta un gallo, por no decir que sería como poner un caramelo
> en la puerto de un colegio... todos los figuras SIP de lo ajeno, estarían
> todo el rato dale que te pego.
> Resumiendo, una utopía....
>
son 0 (usando las medidas pertinentes).
no lo pongas entre paréntesis... que aquí está la madre del cordero. No compares tu empresa con ingenieros de bilbao XD con el resto del mundo...Eso que llamas "medidas pertinentes" supone un alto nivel de conocimiento que no lo tienen ni el 5% de la gente que visita esta lista. No me valen tutoriales ni nada por el estilo... Mi opinión es que la gente estaría vendida ante los figuras SIP.Ni te cuento como no tengan actualizada la pbx y haya fallas de seguridad dando tumbos y sin corregir (porque resulta que no puedo subir de versión porque se jode no se qué cosa que me funcionaba bien)Puffff, miedo me da ser consciente de que todos los Elastix que hay por ahí, vinieran abiertos de serie...jejejeje
La VoIP esa de palo metida en una jaula que venden como "PBX moderna"
no es más que la triste PSTN con un disfraz.
--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Para anular la suscripción: asterisk-es...@googlegroups.com
Paco Gil
> por mucho que suene bien lo que habéis dicho... yo no la abriría ni de coña.
> Igual que no abriría la puerta de mi casa y la dejaría abierta...
> Si dejo la puerta abierta me pueden inundar a mierda y colapsar mis recursos
> en menos que canta un gallo, por no decir que sería como poner un caramelo
> en la puerto de un colegio... todos los figuras SIP de lo ajeno, estarían
> todo el rato dale que te pego.
> Resumiendo, una utopía....
>
Bullshit. Nuestro servicio está abierto a cualquiera y los problemas
son 0 (usando las medidas pertinentes).
La VoIP esa de palo metida en una jaula que venden como "PBX moderna"
no es más que la triste PSTN con un disfraz.
Saúl Ibarra Corretgé
> compares tu empresa con ingenieros de bilbao XD con el resto del mundo...
> Eso que llamas "medidas pertinentes" supone un alto nivel de conocimiento
> que no lo tienen ni el 5% de la gente que visita esta lista. No me valen
> tutoriales ni nada por el estilo... Mi opinión es que la gente estaría
> vendida ante los figuras SIP.
> Ni te cuento como no tengan actualizada la pbx y haya fallas de seguridad
> dando tumbos y sin corregir (porque resulta que no puedo subir de versión
> porque se jode no se qué cosa que me funcionaba bien)
> Puffff, miedo me da ser consciente de que todos los Elastix que hay por ahí,
> vinieran abiertos de serie...jejejeje
>
En lugar de ocultar tu centralita, que puede hacer ese segun tu 5%
para que eso no sea así?
ric...@gmail.com
Y me parece que hace mucho la humanidad los visita, cada tanto se roba alguno. Pero no es para generalizar...
Aprovecho para saludar a Pablo un fuerte abrazo...
Paco Gil
2011/11/9 Paco Gil <pag...@gmail.com>:
Paco Gil
> no lo pongas entre paréntesis... que aquí está la madre del cordero. No
Saúl Ibarra Corretgé
> métodos que conozcas.
>>
No me lo creo. A mis clientes no les entran todas las semanas. Tiene
que haber una manera de que la gente vaya aprendiendo a dejarlas
abiertas... se me ocurre donde escribirlo ;-)
Paco Gil
> Solución única: que tu PBX no esté accesible a la calle usando todos los
> métodos que conozcas.
>>
No me lo creo. A mis clientes no les entran todas las semanas. Tiene
que haber una manera de que la gente vaya aprendiendo a dejarlas
abiertas... se me ocurre donde escribirlo ;-)
Ing. Rodrigo Fernandez
la pistola cerca para agarrar "al delincuente" que me quiera hacer algo xD
Pero ya hablando en serio, les paso mi combinacion y uds diganme si estaria
bien "segura"?
1.- sipcheck (de la pagina de sinologic creo me lo baje)
2.- fail2ban apuntando a asterisk
3.- portsentry (por si hacen un barrido de puertos antes de intentar algo
con paranoico al nivel 2 )
4.- revisar diario los logs del asterisk
5.- usar passwords "fuertes" en las extensiones para la autenticacion SIP
6.- las rutas "vitales" (largas distancias, llamadas a moviles) cerrarlas
con password para que antes de llamar pida el password
Mi "loca teoria" es que la gente que ataca conmutadores VoIP corre scripts
que hacen el "robot" de tarea y si no le funciona busca otro y asi, entonces
no creo sean todavia ataques dirigidos especificos
Uds que opinan de mi loca teoria?
Saludos!
-----Mensaje original-----
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En
nombre de Saúl Ibarra Corretgé
Enviado el: Miércoles, 09 de Noviembre de 2011 11:53 a.m.
Para: aster...@googlegroups.com
Asunto: Re: [Asterisk-ES] Re: Seguridad
--
oxido A
En resumen cuanto dano le a echo elastix a Asterisk yo me pase 4 anos aprendiendo iptables , redes, estudiando tdm y sip y no me tengo la confianza de dejar la pbx abierta aunque es cierto hay que arriesgar con cierta estrategia.... Es un paso que se tiene que dar.....
Elio Rojano
<rfernan...@gmail.com> escribió:
Tus opciones son buenas, la seguridad siempre es lo primero y si es
activa y automática, mejor que mejor.
Lo de las password fuertes es donde muchos pecan... la mayoría de los
(voy a llamarlos novatos, por no hacer referencia a nada en concreto)
suelen utilizar usuario 100, contraseña 100, usuario 1035, contraseña
1035, usuario 5000, contraseña pass5000, y claro, así, en un fin de
semana, un bot haciendo pruebas, consigue registrarse y una vez
autenticado, ya échate a temblar.
- Utiliza contraseñas fuertes (de más de 8 caracteres) con números y
símbolos de puntuación.
- Mantén separado los contextos de "entrada" y los de "salida".
- Lo de pedir una contraseña para llamadas internacionales, siempre me
ha parecido una buena idea, molesta, pero buena.
- El sipcheck, es para evitar esos ataques continuados que son
molestos y para apuntar en una lista aquellas IP que podemos filtrar
en el IPTables (las IPs atacantes son enviadas a su página y
publicadas en la web).
Sobre el ancho de banda... es lo de menos, cuando un bot se propone
enviarte 10000 conexiones UDP a tu sistema, ya puedes tener el mejor
firewall del mundo, que te las vas a comer, aunque sea para
rechazarlas, así que estás listo.
José Luis Gómez
--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Para anular la suscripción: asterisk-es...@googlegroups.com
Paso un resumen que hice una vez (aunque no lo aplico siempre porque cada cliente es un escenario distino):
- allowguest=no
- allowexternalinvites=no
- autocreatepeer=no
- Chequear contexto por defecto en sip.conf, y que el contexto no pueda hacer llamadas con costo.
- Verificar Includes en los contextos.
- Verificar los contextos de Cola, para cuando marcan estando en espera de Cola.
- nat=no en extensiones internas
- Evitar utilizar puertos estándares en servicios complementarios (ssh, web, etc).
- Usamos fuertes password algo como esto por ejemplo r0d45#6G5%A
- Dejamos activado el portsentry (por si nos escanean puertos)
- Dejamos en escucha con maximo de 3 intentos el fail2ban (o usar Sipcheck).
- Usamos el logcheck (logsentry) (para que al email lleguen los logs del portsentry)
- Poner un PIN de salida a numeros internacionales y nacionales (o sea, todo larga distancia)Samuel Cornu
Si alguno puede tomarse el tiempo de leerlo y decirme su opinión estaré agradecido
El link de descarga es
http://sourceforge.net/projects/elastix/files/Tutorials_Docs_Manuals/Third%20Party%20Documentation/Security/Asegurando%20Elastix%20-%20Samuel%20Cornu.pdf/download
Saludos
Enviado desde mi iPhone
El 09/11/2011, a las 15:43, José Luis Gómez <jos...@gmail.com> escribió:
> i
Gus Tavo
Luego en caso que la PBX sea utilizada para proveer servicio de telefonía al público, ahí implementaría todas las herramientas que mensiono Rodrigo y también pondría límites de llamadas concurrentes por cliente y por destino.
Saludos!
--
Gustavo Borgoni
http://asteriskhelp.blogspot.com
Paco Gil
Estimados hace un tiempo atrás Escribí esto,a ver que opinan. Esta basado en Elastix porque la mayoría de los fraudes que ha tenido la compañía en la que trabajo fueron por ataques a esos sistemas. La gente de palosanto muy amablemente lo publico. Igualmente se puede utilizar para otros sistemas basados en asterisk o asterisk mismo.
Si alguno puede tomarse el tiempo de leerlo y decirme su opinión estaré agradecido
El link de descarga es
http://sourceforge.net/projects/elastix/files/Tutorials_Docs_Manuals/Third%20Party%20Documentation/Security/Asegurando%20Elastix%20-%20Samuel%20Cornu.pdf/download
El 09/11/2011, a las 15:43, José Luis Gómez <jos...@gmail.com> escribió:
Saludos
Enviado desde mi iPhone
> i
Ing. Rodrigo Fernandez
eso si, aunque la seguridad que mencione es como mi pistola “prefiero tenerla y no necesitarla, que necesitarla y no tenerla”
De: aster...@googlegroups.com [mailto:aster...@googlegroups.com] En nombre de Gus Tavo
Enviado el: Miércoles, 09 de
Noviembre de 2011 02:25 p.m.
Para: aster...@googlegroups.com
Asunto: Re: [Asterisk-ES] Re:
Seguridad
En mi opinión si el caso es, que la o las PBX van a estar dentro de una red corporativa y el único acceso externo que puede llegar a tener es con proveedores IP, entonces con una VPN y una relación de confianza con los proveedores IP es suficiente.
Richard.C
Aqui te dejo unos puntos que debes tener en cuenta para la
seguridad de tu PBX e iniciarte en este tema, tal y como dice Saúl,
una PBX debe estar abierta y accesible desde afuera. 100% de acuerdo,
pero para ello es correcto tener las normas de convivencia en la
public.
Recomendaciones:
Fail2Ban
Shorewall
Puertos a operar:
5060 udp
10000 al 20000 udp
22 ssh para poder tener acceso, recomendación cambiar el puerto así
evitas un acceso por default en 1era instancia.
Si usas una distro, tener cuidado los "pequeños backdoors.." ;P y
solucionarlos actualizando o parchando.
Link de referencias:
http://a2billing.wordpress.com/2010/11/17/configurar-seguridad-asterisk-fail2ban/
http://blogs.elastix.org/es/2009/10/22/recomendaciones-de-seguridad-en-elastix/
http://blogs.elastix.org/es/2010/09/06/backdoor-en-freepbx/
http://blogs.elastix.org/es/2010/01/14/instalacion-de-fail2ban/
Me disculpo a la lista, si tomo como referencia un distro, pero la
idea es dejar la esencia de la seguridad más que el ejemplo de la
distro.
Saludos cordiales,
On 7 nov, 01:24, Gabriel Reyes <g.reyesmarch...@gmail.com> wrote:
> Estimados:
>
> Queria saber si alguien me podria dar unos tips para asegurar una central
> telefonica, es decir ademas de la utilizacion de iptables y tcp wrappers,
> que otras maneras mas tengo de asegurar
> la central, teniendo en cuenta como por ejemplo evitar que puedan hackear
> una anexo y llamar al resto del mundo ??.
>
> Muchas gracias y atento a sus comentarios.
>
> --
> *Gabriel Alonso Reyes Marchant*
> Alumno de Administracion de Redes Computacionales
> Duoc UC Sede Viña del Mar
Pepelux
Fernando Villares
Jorge Eduardo Silva Jackson
> ni olvidar que mas del 80% de los ataques son internos....si tenemos
> todo cerrado pero los switches abiertos sin 801.x o radius etc etc
> cualquier puede meterse y snifear y listo...
>
> El 9 de noviembre de 2011 17:46, Pepelux <pepe...@gmail.com
>
> No hay que olvidar que por mucho que se cierre el acceso desde el
> exterior, si por ejemplo se tiene en la oficina una wifi, alguien
> tienes wifi y la crackean, no s�lo tendr�n acceso desde la red
> local sino que podr�n esnifar todo el tr�fico, contrase�as, etc.
>
MacFlood y a volaaaaarrrrr.
>
>
> El 9 de noviembre de 2011 21:38, Paco Gil <pag...@gmail.com
> <mailto:pag...@gmail.com>> escribi�:
>
>
>
> 2011/11/9 Samuel Cornu <sam...@gmail.com
> <mailto:sam...@gmail.com>>
>
> Estimados hace un tiempo atr�s Escrib� esto,a ver que
> opinan. Esta basado en Elastix porque la mayor�a de los
> fraudes que ha tenido la compa��a en la que trabajo fueron
> por ataques a esos sistemas. La gente de palosanto muy
> amablemente lo publico. Igualmente se puede utilizar para
> otros sistemas basados en asterisk o asterisk mismo.
> Si alguno puede tomarse el tiempo de leerlo y decirme su
> opini�n estar� agradecido
> El link de descarga es
> http://sourceforge.net/projects/elastix/files/Tutorials_Docs_Manuals/Third%20Party%20Documentation/Security/Asegurando%20Elastix%20-%20Samuel%20Cornu.pdf/download
>
>
> muy bueno... gracias por el aporte.
>
>
>
>
>
> Saludos
>
>
>
>
>
> Enviado desde mi iPhone
>
> El 09/11/2011, a las 15:43, Jos� Luis G�mez
> <jos...@gmail.com <mailto:jos...@gmail.com>> escribi�:
>
> > i
>
> --
> Este email pertenece a la lista de Asterisk-ES
> (http://www.asterisk-es.org)
>
> ~~~ Normas de la lista Asterisk-ES:
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripci�n:
> asterisk-es...@googlegroups.com
> <mailto:asterisk-es...@googlegroups.com>
>
>
> --
> Este email pertenece a la lista de Asterisk-ES
> (http://www.asterisk-es.org)
>
> ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripci�n:
> asterisk-es...@googlegroups.com
> <mailto:asterisk-es...@googlegroups.com>
>
>
> --
> Este email pertenece a la lista de Asterisk-ES
> (http://www.asterisk-es.org)
>
> ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripci�n:
> asterisk-es...@googlegroups.com
> <mailto:asterisk-es...@googlegroups.com>
>
>
> --
> Este email pertenece a la lista de Asterisk-ES
> (http://www.asterisk-es.org)
>
> ~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
> ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> - Para anular la suscripci�n: asterisk-es...@googlegroups.com
Ronin ARG
Tu concepto es fantastico, sinceramente en el momento actual lo veo
dificil de implementar, pero por lo que decis lo tenes implementado en
clientes. Utilizas un sip proxy antes de asterisk? kamailo, opensip?
Como para darme una idea del escenario que montas.
Sinceramente cada vez le agrego mas cosas en el tema de la seguridad
y las implementaciones que hacemos son como la seguridad en las casas
(las que no son de barrio o privado o country :)) en argentina, hay
meterle rejas, alarmas, luces con sensor, etc. (porsupuesto depende en
que lugar se viva)
No voy a entrar en polemicas si es una utopia, etc, si lo tenes
implementado, deja de serlo.
Muchas gracias y Saludos
Pablo
On 9 nov, 11:39, Saúl Ibarra Corretgé <sag...@gmail.com> wrote:
> 2011/11/7 Alejandro Mescua H. <alejandro.mes...@gmail.com>:
> > Hola Gabriel:
> > Yo mas bien preguntaria an, si estas publicando tu centralita en Internet y
> > con que finalidad ?.. sobre todo por los riezgos que puede generar.
>
> > Si es asi, no descartes utilizar mecanismos para conexion mas segura como
> > VPNs, evitando asi publicar tu servidor en redes no tan confiables.
>
> La finalidad es que le llamen. Vamos de modernos en plan "yeah, uso
> VoIP" y luego no dejamos que nadie nos llame por SIP? WTF?!
>
> Toda centralita debería ser accesible desde el exterior y si te quiero
> llamar a sip:ful...@empresa.com debería poder. Es unas 1000 veces
> mejor que llamar por la PSTN, que usa codecs de mierda y cada 10
> segundos tengo que andar pidiendo que me repitan las cosas.
>
> La centralita debería ser como la web de la empresa, accesible desde
> todas partes.
>
> Open your PBX!!!
>
> /Saúlhttp://saghul.net|http://sipdoc.net
Saúl Ibarra Corretgé
2011/11/12 Ronin ARG <pabloj...@gmail.com>:
> Saul,
>
> Tu concepto es fantastico, sinceramente en el momento actual lo veo
> dificil de implementar, pero por lo que decis lo tenes implementado en
> clientes. Utilizas un sip proxy antes de asterisk? kamailo, opensip?
> Como para darme una idea del escenario que montas.
> Sinceramente cada vez le agrego mas cosas en el tema de la seguridad
> y las implementaciones que hacemos son como la seguridad en las casas
> (las que no son de barrio o privado o country :)) en argentina, hay
> meterle rejas, alarmas, luces con sensor, etc. (porsupuesto depende en
> que lugar se viva)
> No voy a entrar en polemicas si es una utopia, etc, si lo tenes
> implementado, deja de serlo.
>
Poner Kamailio/OpenSIPS delante de Asterisk no te da seguridad automágica.
La mayoría de los ataques son causados por robos/crack de contraseñas,
no por exploits de seguridad (al menos en el caso que nos ocupa) por
lo que lo que tenemos que hacer es tomar medidas de mitigación de
daños:
- Limitar el número de llamadas simultáneas que los usuarios
pueden realizar. De esta manera, si a alguien le roban la cuenta no
podrán lanzar 200 llamadas simultáneas a Costa de Marfil.
- Implementar cuotas diarias y mensuales. Si los usuarios generan
un gasto diario de $15, un gasto de $100 es sospechoso. La cuenta es
bloqueada y hasta que no se desbloquee no es posible utilizarla. Vale,
hemos perdido $100, pero no miles de $$.
Lo bueno es que estos mecanismos también funcionan contra insiders.
Saludos,
Paco Gil
Saludos,
--
/Saúl
--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
~~~ Normas de la lista Asterisk-ES: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Para anular la suscripción: asterisk-es...@googlegroups.com
Gustavo Marcelo Sastre
Yo tengo esto corriendo en mi cron cada 1 minuto.
Estimados:
Queria saber si alguien me podria dar unos tips para asegurar una central telefonica, es decir ademas de la utilizacion de iptables y tcp wrappers, que otras maneras mas tengo de asegurar
la central, teniendo en cuenta como por ejemplo evitar que puedan hackear una anexo y llamar al resto del mundo ??.
Muchas gracias y atento a sus comentarios.
--
Gabriel Alonso Reyes Marchant
Alumno de Administracion de Redes Computacionales
Duoc UC Sede Viña del Mar
Raúl Alexis Betancor Santana
> Desde mi punto de vista, lo m�s seguro a d�a de hoy es autenticar por IP a
> todo el mundo. Esto implica hacer el esfuerzo de asignar las ip's donde
> corresponda...
Desde mi punto de vista, p�sima medida de seguridad, sobre todo desde
el punto de vista de un operador, pero por suerte, todos sabemos que
los operadores no usan Asterisk .. ;)
Saludos
Jon Bonilla
Raúl Alexis Betancor Santana <ra...@dimension-virtual.com> escribió:
> Desde mi punto de vista, pésima medida de seguridad, sobre todo desde
> el punto de vista de un operador, pero por suerte, todos sabemos que
> los operadores no usan Asterisk .. ;)
muhahaha!
Ronin ARG
Gracias por tu respuesta. Efectivamente tomar esas medidas como la de
limitar cantidad de canales, bloqueo de destinos segun grupos de
extensiones, implementar un monitoreo del consumo promedio, etc. Son
muy buenas medidas. Pero al final terminas cerrando, securizando, o
limitando (que fea palabra!! pero real) a tus clientes. Esto yendo al
punto del comienzo donde decias:
todas partes. Open your PBX!!!"
manera hay que cerrarlo.
Sin dudas que tenes mas conocimento que la mayoria de nosotros en SIP,
por eso preguntaba si armabas el escenario de alguna forma en donde
tenes la seguridad, pero sin dejar todo cerrado, con 10 cerraduras,
etc.
Ya se que no sos partidiario de openvpn, etc.
Tambien veo que si tengo que implementar perfiles de trafico por
cliente, y se complica si tengo muchos. se podria agrupar, etc., pero
al final es estar en la misma posicion inicial. Disculpas pero me
cuesta verlo (uso lentes y ya fui al oculista, antes de que empiecen
con los chistes, :))
Saludos y gracias.
On 13 nov, 11:54, Saúl Ibarra Corretgé <sag...@gmail.com> wrote:
> Buenas,
>
> 2011/11/12 Ronin ARG <pablojmira...@gmail.com>:
Saúl Ibarra Corretgé
2011/11/14 Ronin ARG <pabloj...@gmail.com>:
> Saul,
>
> Gracias por tu respuesta. Efectivamente tomar esas medidas como la de
> limitar cantidad de canales, bloqueo de destinos segun grupos de
> extensiones, implementar un monitoreo del consumo promedio, etc. Son
> muy buenas medidas. Pero al final terminas cerrando, securizando, o
> limitando (que fea palabra!! pero real) a tus clientes. Esto yendo al
> punto del comienzo donde decias:
Cuando he dicho yo que hay que cerrar algo?! Una cosa es tomar medidas
preventivas y otra es no dejar hacer nada.
> "La centralita debería ser como la web de la empresa, accesible desde
> todas partes. Open your PBX!!!"
> Seria fantastico, pero no lo alcanzo a ver posible, de alguna u otra
> manera hay que cerrarlo.
Creo que tenemos distintos conceptos de "cerrar". Para mi que una PBX
esté abierta significa que:
- Los usuarios pueden registrarse desde donde quieran (esto puede
no aplicar siempre, depende de políticas de empresa)
- La PBX debería ser accesible por SIP desde el exterior. Mejor
calidad de audio, y llamadas gratis para el que me llama.
- Extensiones alfanuméricas: 222 no me dice nada,
sag...@dominio.com si que me dice algo. El número puede ser un alias,
para su uso en IVRs y tal.
> Sin dudas que tenes mas conocimento que la mayoria de nosotros en SIP,
> por eso preguntaba si armabas el escenario de alguna forma en donde
> tenes la seguridad, pero sin dejar todo cerrado, con 10 cerraduras,
> etc.
> Ya se que no sos partidiario de openvpn, etc.
> Tambien veo que si tengo que implementar perfiles de trafico por
> cliente, y se complica si tengo muchos. se podria agrupar, etc., pero
> al final es estar en la misma posicion inicial. Disculpas pero me
> cuesta verlo (uso lentes y ya fui al oculista, antes de que empiecen
> con los chistes, :))
>
A mi me cuesta ver que vendamos VoIP como algo moderno y luego le
quitamos las features que molan y lo metemos en una caja. Y para
empeorar el problema mierdas como Viber o WhatsApp usan el número de
teléfono como ID de usuario.
Tras 5 años de iPhone Apple ha conseguido matar Flash en los móviles.
Igual dentro de 5 años también mata los números de teléfono (ya ha
empezado con iMessage y FaceTime) ;-)
Saludos!
Fernando Villares
Ronin ARG
Ahora entendi mejor el concepto que querias expresar, y sin dudas que
es el camino correcto, no es facil pero se puede. Coincido en que
muchas veces no se ofrecen ciertos features al cliente porque "puede
ser una vulnerabilidad". Habra que trabajar para cambiar eso.
Muchas gracias por tu respuesta.
Saludos
On 14 nov, 11:03, Saúl Ibarra Corretgé <sag...@gmail.com> wrote:
> Ronin,
>
> 2011/11/14 Ronin ARG <pablojmira...@gmail.com>: