AMI hacer llamada

358 views
Skip to first unread message

Emiliano Vazquez

unread,
Jan 17, 2013, 6:03:49 AM1/17/13
to aster...@googlegroups.com
Hola a todos, estoy con unas dudas sobre como hacer para que mi PBX me
permita hacer llamadas con el metodo POST, mandando una direcci�n con
los datos necesarios.

Mis "peque�os" avances:

1. Creaci�n del usuario en el manager.conf y configuraci�n del http.conf
2. para logear el usuario por intermedio de la web:

http://192.168.1.1:8088/ami/rawman?action=Login&username=best_username&secret=best_secret_password

y me responde con esto:

Response: Success
Message: Authentication accepted

3. Despu�s de eso tengo que "discar" pero el string requiere m�s
informaci�n de la que yo le quiero dar, para que llame a la extensi�n 1
y que haga un Dial al numero 112 debo poner estos datos:

http://192.168.1.1:8088/ami/rawman?action=Originate&channel=sip/1&application=Dial&data=dahdi/g1/112

Tengo que tener datos como la tecnolog�a de la extension (sip/1) y
tambien el troncal por donde voy a salir (dahdi/g1/112)

Hay alguna manera de que esto sea m�s simple? es decir, que solo
poniendo la extension y el numero al que haya que llamar busque en el
dialplay la mejor ruta?
Quisiera usar AMI porque devuelve algo de informaci�n que puedo utilizar
en el software que estoy armando.

Si hay otra forma en la que pueda recibir un POST desde otra PC para
discar extension y el numero a llamar en el que devuelva algo de
informaci�n les agradezco que aunque sea me lo comenten.

Un saludo a todos.

Emiliano.


--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 Interno 4
Movil: 011-15-6253-7165
Mail: emilian...@gmail.com
Web: http://www.pccentro.com.ar

El Ale...

unread,
Jan 17, 2013, 6:04:44 AM1/17/13
to aster...@googlegroups.com
Probaste con agi emi?.

Saludos!

El 17 de enero de 2013 09:03, Emiliano Vazquez <emilian...@gmail.com> escribió:
Hola a todos, estoy con unas dudas sobre como hacer para que mi PBX me permita hacer llamadas con el metodo POST, mandando una dirección con los datos necesarios.

Mis "pequeños" avances:

1. Creación del usuario en el manager.conf y configuración del http.conf

2. para logear el usuario por intermedio de la web:

http://192.168.1.1:8088/ami/rawman?action=Login&username=best_username&secret=best_secret_password

y me responde con esto:

Response: Success
Message: Authentication accepted

3. Después de eso tengo que "discar" pero el string requiere más información de la que yo le quiero dar, para que llame a la extensión 1 y que haga un Dial al numero 112 debo poner estos datos:

http://192.168.1.1:8088/ami/rawman?action=Originate&channel=sip/1&application=Dial&data=dahdi/g1/112

Tengo que tener datos como la tecnología de la extension (sip/1) y tambien el troncal por donde voy a salir (dahdi/g1/112)

Hay alguna manera de que esto sea más simple? es decir, que solo poniendo la extension y el numero al que haya que llamar busque en el dialplay la mejor ruta?
Quisiera usar AMI porque devuelve algo de información que puedo utilizar en el software que estoy armando.

Si hay otra forma en la que pueda recibir un POST desde otra PC para discar extension y el numero a llamar en el que devuelva algo de información les agradezco que aunque sea me lo comenten.


Un saludo a todos.

Emiliano.



--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 Interno 4
Movil: 011-15-6253-7165
Mail: emilian...@gmail.com
Web: http://www.pccentro.com.ar

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
--- Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Para anular tu suscripción a este grupo, envía un correo electrónico a asterisk-es+unsubscribe@googlegroups.com
Visita este grupo en http://groups.google.com/group/asterisk-es?hl=es.
Para obtener más opciones, visita https://groups.google.com/groups/opt_out.



Emiliano Vazquez

unread,
Jan 17, 2013, 6:23:23 AM1/17/13
to aster...@googlegroups.com

El 17/01/13 08:04, El Ale... escribi�:
> Probaste con agi emi?.
>
> Saludos!
>
Buenas! che, no prob� con agi ,voy a ver que puedo hacer con eso, la
idea ser�a ejecutar en un apache el agi??


Saludos!

Elio Rojano

unread,
Jan 17, 2013, 6:59:54 AM1/17/13
to aster...@googlegroups.com
Cuidado Emiliano... que esas cosas las carga el diablo.


El 17 de enero de 2013 12:23, Emiliano Vazquez <emilian...@gmail.com> escribió:

El 17/01/13 08:04, El Ale... escribió:

Probaste con agi emi?.

Saludos!

Buenas! che, no probé con agi ,voy a ver que puedo hacer con eso, la idea sería ejecutar en un apache el agi??


Saludos!



--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 Interno 4
Movil: 011-15-6253-7165
Mail: emilian...@gmail.com
Web: http://www.pccentro.com.ar

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
--- Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Para anular tu suscripción a este grupo, envía un correo electrónico a asterisk-es+unsubscribe@googlegroups.com
Visita este grupo en http://groups.google.com/group/asterisk-es?hl=es.
Para obtener más opciones, visita https://groups.google.com/groups/opt_out.


El Ale...

unread,
Jan 17, 2013, 7:15:28 AM1/17/13
to aster...@googlegroups.com
llamas desde el entorno gráfico que programaste pero lo ejecutas desde servidor, agi es lenguaje de servidor no cliente.

Saludos!

Para anular tu suscripción a este grupo, envía un correo electrónico a asterisk-es...@googlegroups.com

Emiliano Vazquez

unread,
Jan 17, 2013, 8:07:22 AM1/17/13
to aster...@googlegroups.com

El 17/01/13 08:59, Elio Rojano escribió:
Cuidado Emiliano... que esas cosas las carga el diablo.

Elio, no entendí bien.... si amplias te lo agradezco.

alexis...@gmail.com

unread,
Jan 17, 2013, 8:30:43 AM1/17/13
to aster...@googlegroups.com
Que si te la mandas con esto emi te puede salir carisimo $
Enviado desde mi BlackBerry de Personal (http://www.personal.com.ar/)

From: Emiliano Vazquez <emilian...@gmail.com>
Date: Thu, 17 Jan 2013 10:07:22 -0300
Subject: Re: [Asterisk-ES] AMI hacer llamada

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
---
Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Para anular tu suscripción a este grupo, envía un correo electrónico a asterisk-es...@googlegroups.com

Fernando Villares

unread,
Jan 17, 2013, 8:25:02 AM1/17/13
to aster...@googlegroups.com
que si usas ami o http
 te prepares...

Emiliano Vazquez

unread,
Jan 17, 2013, 8:34:57 AM1/17/13
to aster...@googlegroups.com

El 17/01/13 10:25, Fernando Villares escribió:
que si usas ami o http
 te prepares...

Porque ? la idea es solo hacer un allow de la IP que quiero que funcione con el AMI, es decir, la seguridad la doy a nivel local, por IP, sin permitir el acceso desde otra IP que no sea de la clase C en la que estoy apoyado, es más, la idea era VPN o un server pppoe entre el asterisk y el cliente que va a usar el ami.

Aun así lo ven riesgoso?

Les juro que lei del tema y me estoy tratando de asegurar que no sea algo que me perjudique a futuro, no quiero despertar a la bestia!!! jajajaj

Saludos.

alexis...@gmail.com

unread,
Jan 17, 2013, 9:06:22 AM1/17/13
to aster...@googlegroups.com
A tener ojo! Yo "desperte a la bestia" y me costo $6000 pesos de llamadas a mongolia desde argentina. Bella experiencia.
Enviado desde mi BlackBerry de Personal (http://www.personal.com.ar/)

From: Emiliano Vazquez <emilian...@gmail.com>
Date: Thu, 17 Jan 2013 10:34:57 -0300

Emiliano Vazquez

unread,
Jan 17, 2013, 9:16:22 AM1/17/13
to aster...@googlegroups.com

El 17/01/13 11:06, alexis...@gmail.com escribi�:
> A tener ojo! Yo "desperte a la bestia" y me costo $6000 pesos de
> llamadas a mongolia desde argentina. Bella experiencia.

uffffff dur�simo!

contame por favor que es lo que no hay que hacer, les parece bien las
medidas que tomo o a�n as� siguen siendo pocas??

Saludos.

Pepelux

unread,
Jan 17, 2013, 9:25:34 AM1/17/13
to aster...@googlegroups.com
Para qué quieres el AMI? click2call?

Debes tener en cuenta varias cosas ... así de cabeza se me ocurre:

A nivel de web:
- Por un lado que la web no tenga fallos de seguridad que permitan ver los datos de configuración del AMI (user/pass)
- No pasar el usuario y la contraseña como parámetro. Simplemente pasar por POST el teléfono y ejecutar internamente un socket que conecte con el AMI
- Poner un captcha para evitar llamadas desde programas

A nivel de Asterisk:
- Plan de llamadas bien configurado
- Restricción de IPs (no permitir llamadas masivas desde la misma IP)
- Prefijos permitidos en el dialplan configurado en el contexto de salida (o deseas hacer llamadas a todo el mundo?)
- Acceso del AMI sólo desde localhost
- Servicio del AMI bloqueado desde el exterior con iptables (5038/tcp)
- Contraseñas seguras
- Permitir sólo Originate

saludos


2013/1/17 Emiliano Vazquez <emilian...@gmail.com>

El 17/01/13 11:06, alexis...@gmail.com escribió:

A tener ojo! Yo "desperte a la bestia" y me costo $6000 pesos de llamadas a mongolia desde argentina. Bella experiencia.

uffffff durísimo!

contame por favor que es lo que no hay que hacer, les parece bien las medidas que tomo o aún así siguen siendo pocas??

Saludos.



--
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 Interno 4
Movil: 011-15-6253-7165
Mail: emilian...@gmail.com
Web: http://www.pccentro.com.ar

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
--- Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Para anular tu suscripción a este grupo, envía un correo electrónico a asterisk-es+unsubscribe@googlegroups.com

Gaston Draque

unread,
Jan 17, 2013, 9:48:24 AM1/17/13
to aster...@googlegroups.com
Me ha gustado la lista de pepeluxx :)

Si es muy obvio y se me ha pasado, pido disculpas por la repetición, pero yo si no es por HTTPS no monto un acceso a AMI ni por casualidad.
Para eso tienes que agregarle un proxy, o lo haces utilizando otro servidor web como nginx o apache + ssl (el de Asterisk es basico).  Lo malo es que con ellos la librería contra el AMI te la tienes que armar.

Saludos


2013/1/17 Pepelux <pepe...@gmail.com>
Para anular tu suscripción a este grupo, envía un correo electrónico a asterisk-es...@googlegroups.com

Visita este grupo en http://groups.google.com/group/asterisk-es?hl=es.
Para obtener más opciones, visita https://groups.google.com/groups/opt_out.
 
 



--
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCM GCC GIT d? s:+ a? C+++ UB++ UL+++ P++ L++ E-- W++ N++ o-- K+ w(++)
O M(+) V- PS+ PE Y+ PGP t-- 5-- X R- tv+ b+(++) DI+(++) D++
G e++ h---- r+++ y++++
-----END GEEK CODE BLOCK------

Pepelux

unread,
Jan 17, 2013, 9:50:41 AM1/17/13
to aster...@googlegroups.com
Gracias

Lo de https depende de varias cosas ... Si la web y el servidor Asterisk lo tienes en la misma red, no sería necesario .... si por el contrario los paquetes van a recorrer medio mundo, pues sí es más aconsejable :)



2013/1/17 Gaston Draque <gaston...@gmail.com>

emilian...@gmail.com

unread,
Jan 17, 2013, 10:13:59 AM1/17/13
to Asterisk-es
Gaston, algun link sobre el tema armado de librerias??

Yo voy a estar en la misma subred lan y puedo:

* vpn entre cliente.y server
* pppoe entre cliente y server
* le meto una placa de red mas a cada equipo y los uno con un medio fisico distinto.

Aun asi sigue siendo riesgoso?

La idea es utilizar un crm que aun corre en win y necesita un asterisk para unir al agente con el numero a llamar. Todo se realiza dentro de la subred y solo el troncal esta del otro lado.

Saludos y gracias a todos por las respuestas.

Emiliano Vazquez | PcCentro S.R.L.
Office: +54 (11) 4635-7764 ext. 4
Celular: 15.6253.7165

From: Gaston Draque <gaston...@gmail.com>
Date: Thu, 17 Jan 2013 11:48:24 -0300
Subject: Re: [Asterisk-ES] AMI hacer llamada

emilian...@gmail.com

unread,
Jan 17, 2013, 10:15:16 AM1/17/13
to Asterisk-es
Buenos tips pepelux! Los voy a tener en cuenta, sobre todo el de "solo originate" no lo habia pensado y hoy estoy con permisos full (es un server de pruebas).

Saludos!

Emiliano Vazquez | PcCentro S.R.L.
Office: +54 (11) 4635-7764 ext. 4
Celular: 15.6253.7165

From: Pepelux <pepe...@gmail.com>
Date: Thu, 17 Jan 2013 15:25:34 +0100
Subject: Re: [Asterisk-ES] AMI hacer llamada

Para anular tu suscripción a este grupo, envía un correo electrónico a asterisk-es...@googlegroups.com

Gaston Draque

unread,
Jan 17, 2013, 10:59:19 AM1/17/13
to aster...@googlegroups.com
[OFFTOPIC]
pepeluxx, yo sigo la máxima de que en la mayoría de los casos, la intrusión es interna.... y la "mínima" de que desconfió de todo :)

Un escenario podria ser que hubiese otra capa de https donde se realizara correctamente el proceso de autenticacion y luego este enviara los http requests al http server de Asterisk, el cual debería solo poder recibir requests de la IP del https server de la capa 1.


2013/1/17 Pepelux <pepe...@gmail.com>

Pepelux

unread,
Jan 17, 2013, 11:13:56 AM1/17/13
to aster...@googlegroups.com
Pero el https sólo te sirve para cifrar las comunicaciones y que no viajen en claro a través de Internet ... si has sufrido una intrusión dentro de tu red local con SSLSTrip y ataques MitM verán en claro la comunicación igualmente, aunque uses https



2013/1/17 Gaston Draque <gaston...@gmail.com>

Gaston Draque

unread,
Jan 17, 2013, 11:16:24 AM1/17/13
to aster...@googlegroups.com
Emiliano,
         Perdón, no lei tu descripción de la solución cuando escribi el OFFTOPIC a pepeluxx XDD
         Con respecto a desarrollar una libreria para AMI, es muy simple ya que es via sockets, asique con ruby, python, php, perl, etc, puedes hacerlo. Aunque ya hay varias, en ruby tienes http://adhearsion.com/ , en python https://code.google.com/p/py-asterisk/ y en php https://code.google.com/p/phpami/, entre otras.



2013/1/17 Gaston Draque <gaston...@gmail.com>

Gaston Draque

unread,
Jan 17, 2013, 11:24:18 AM1/17/13
to aster...@googlegroups.com
[OFFTOPIC dentro de OFFTOPIC dentro de OFFTOPIC ...etc]
Pero para eso no deberían ademas poder redireccionar el traffico? y ademas simular es mismo sitio al que quiere acceder el client?, porque según tengo entendido sslstrip no sirve para descifrar trafico capturado?

2013/1/17 Pepelux <pepe...@gmail.com>

emilian...@gmail.com

unread,
Jan 17, 2013, 11:38:06 AM1/17/13
to Asterisk-es
Gracias Gaston! A leer se ha dicho.

Emiliano Vazquez | PcCentro S.R.L.
Office: +54 (11) 4635-7764 ext. 4
Celular: 15.6253.7165

From: Gaston Draque <gaston...@gmail.com>
Date: Thu, 17 Jan 2013 13:16:24 -0300
Subject: Re: [Asterisk-ES] AMI hacer llamada

Pepelux

unread,
Jan 17, 2013, 11:39:55 AM1/17/13
to aster...@googlegroups.com
Con un ataque Man in the Middle en una red local, basado en envenenamiento de paquetes ARP, provocas que todo el tráfico pase por la máquina del atacante.

Por otro lado SSLSTrip redirige el tráfico hacia el puerto 80, de manera que tu comunicación no será https sino http desde tu máquina hasta el atacante (que está corriendo sslstrip) y desde la máquina del atacante hacia la web se mantendrá la comunicación cifrada, que gestionará el mismo sslstrip ... en resumen:

- el administrador accede a la web indicando: https://panel
- sslstrip intercepta la comunicación y de forma interna le dice la navegador del administrador que se está equivocando, que le debe mandar los datos por http y en claro ... pero que ponga el icono con el candado verde como si fuera una conexión https para no alertarle
- luego sslstrip comienza la navegación hacia la web final mediante https ... por lo que la comunicación se establece (entre el administrador y el atacante en claro - entre el atacante y el servidor web cifrada)

Tenemos por tanto que la máquina del atacante con sslstrip está recibiendo en claro las comunicaciones y almacenando todo el tráfico.

Saludos

Gaston Draque

unread,
Jan 17, 2013, 11:57:52 AM1/17/13
to aster...@googlegroups.com
Clarisimo, solucionado el MitM via ARP poisoning se da el redirect al atacante, este utiliza SSLSTrip para forzar el paso a 80, ahora va sin SSL... y de ahi en adelante el MitM actua de proxy contra el destino real.

Gracias pepeluxx,
Saludos y a seguir con el curro!

2013/1/17 Pepelux <pepe...@gmail.com>

Elio Rojano

unread,
Jan 17, 2013, 12:03:12 PM1/17/13
to aster...@googlegroups.com
El 17 de enero de 2013 14:07, Emiliano Vazquez <emilian...@gmail.com> escribió:

El 17/01/13 08:59, Elio Rojano escribió:
Cuidado Emiliano... que esas cosas las carga el diablo.

Elio, no entendí bien.... si amplias te lo agradezco.


1 de cada 100 servidores VoIP que aparecen en un escaneo de red básico suelen recibir ataques y de esos, el 5% tienen pérdidas económicas debidos a esos ataques.

En cambio, 1 de cada 20 servidores web reciben ataques y si el acceso a una web genera una llamada de teléfono, puede generar muchas, muchas llamadas no autorizadas.







-- 
Emiliano Vazquez | PcCentro Informatica & CCTV
Office: +54 (11) 4635-3218 Interno 4
Movil: 011-15-6253-7165
Mail: emilian...@gmail.com
Web: http://www.pccentro.com.ar

--
Este email pertenece a la lista de Asterisk-ES (http://www.asterisk-es.org)
Normas de la lista Asterisk-ES: http://comunidad.asterisk-es.org/index.php?title=Lista:normas-asterisk-es
---
Has recibido este mensaje porque estás suscrito al grupo "asterisk-es" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a aster...@googlegroups.com.
Para anular tu suscripción a este grupo, envía un correo electrónico a asterisk-es...@googlegroups.com

Visita este grupo en http://groups.google.com/group/asterisk-es?hl=es.
Para obtener más opciones, visita https://groups.google.com/groups/opt_out.
 
 
Reply all
Reply to author
Forward
0 new messages