Bytecoders - seguridad gnu-linux

Lo más nuevo: Microsoft Office Communications Server

bytecoders — Wed, 03 Sep 2008 19:36:49 +0200

<ironic mode> Como todos sabemos ya Microsoft Office Communications Server trae un montón de "nuevas funcionalidades" que están revolucionando el mundo de la VoIP. También veremos porque el software libre no puede competir con este genial producto de los señores de Redmond, que parece que ya avanzan a pasos agigantados en sus planes para dominar el mundo </ironic mode>

Proteger servidores VoIP de ataques DoS

bytecoders — Mon, 25 Aug 2008 18:09:26 +0200

Fadil Sutomo de la School of Computer Science de la Carleton University de Canada ha publicado un interesante paper donde muestra como proteger servidores VoIP frente a ataques DoS (Denegación de Servicio) implementando un puzzle criptográfico. El documento se centra en Asterisk.

Backup de Asterisk y FreePBX

bytecoders — Mon, 04 Aug 2008 11:39:01 +0200

Un sencillo script para realizar un backup de las configuraciones de Asterisk, freePBX, recordings, sonidos y archivos TFTP para configuraciones de los teléfonos, está pensado automatizar el proceso utilizando cron jobs y enviar un informe por e-mail si disponemos de un MTA configurado.

También nos permite definir el tamaño del histórico de configuraciones que queremos guardar (en la variable max_files), aquí queda el script:

Husmeando en una red VoIP

bytecoders — Thu, 24 Jul 2008 20:35:30 +0200

Vamos a intentar averiguar que dispositivos hay en una red VoIP, que servidores y como podemos obtener una lista de usuarios para conectarnos a ellos.

El primer paso va a ser obtener la herramienta smap, que podemos descargar desde el siguiente enlace (parece que ya no está en la web del autor, el software está bajo licencia BSD). Para obtener los usuarios SIP e IAX utilizaremos las herramientas sipscan y enumiax que podemos obtener desde el sitio web Hacking Exposed Voip.

Fe de erratas: Mantenimiento de Asterisk en Debian

bytecoders — Wed, 23 Jul 2008 20:03:29 +0200

No hace mucho se publicó el post Mantenimiento de Asterisk en Debian, donde se trató el tema de como mantener un sistema Asterisk PBX corriendo sobre un sistema Debian GNU/Linux, revisando aspectos sobre instalación y mantenimiento.

Al realizar el escrito, se pasó por alto toda la rama security de Debian (http://security.debian.org) por tanto ofreciendo información errónea ya que si bien la versión de Asterisk en el lanzamiento de Etch fue congelada a esta siempre se le han aplicado parches de seguridad, grave error que pudiera incluso llegar a poner en entredicho la seguridad de Debian generando así graves malentendidos, alejándonos de lo que es en realidad el mantenimiento de software de esta fantástica distribución.

Charlas sobre seguridad de Last Hope

bytecoders — Mon, 21 Jul 2008 19:02:47 +0200

El fin de semana, en la conferencia Last HOPE (Hackers On Planet Earth) se lanzó la "Security Season".

Durante la conferencia, Kevin Mitnick explicó y mostró un script para Asterisk PBX que muestra la información de Caller ID de alguien que está llamando aunque el Caller ID del teléfono se ponga en "private."

Mantenimiento de Asterisk en Debian

bytecoders — Thu, 17 Jul 2008 19:28:39 +0200

Para instalar Asterisk en Debian GNU/Linux debemos contemplar seriamente la opción de bajarnos el código fuente del sitio web de Digium y compilarlo. La verdad es que es una tarea sumamente sencilla aunque un poco más costosa (me refiero al tiempo de compilación) pero es la única que creo viable.

Si bien es cierto que Debian tiene un fantástico gestor de paquetes (dpkg) y muy buenas herramientas como apt-get, aptitude o synaptic para agregar o eliminar paquetes de la distribución de forma muy limpia, debemos considerar que estamos a la merced de los mantenedores del paquete en Debian (hay que reconocer que hacen un fantástico trabajo) pero en el mundillo del software libre es interesante estar siempre "a la última".

Cracking de contraseñas SIP con SIPCrack

bytecoders — Wed, 16 Jul 2008 19:43:26 +0200

Existen multitud de herramientas para obtener usuarios y contraseñas SIP en una red, y uno de ellos, de uso sencillo es SIPcrack.

Este proceso se divide en dos partes: una primera que estaremos escuchando en la red con el sniffer sipdump para capturar la autenticación digest, y luego con sipcrack intentaremos obtener el hash por fuerza bruta utilizando un diccionario o la entrada estándar.

Valorar el riesgo en redes VoIP / UC

bytecoders — Fri, 27 Jun 2008 18:37:04 +0200

Bogdan Materna de VoIPShield ha escrito un interesante artículo en la edición de Junio de la revista (IN)SECURE Magazine, donde valora los riesgos de una red VoIP o de Comunicaciones Unificadas. Se trata de una revista en inglés dedicada a temas de seguridad que podemos descargar y/o redistribuir libremente.

Problemas de SIP Identity

bytecoders — Wed, 25 Jun 2008 21:08:47 +0200

La RFC 4474 define la SIP Identity definida como un mecanismo para identificar de forma segura quien ha originado los mensajes SIP, usando firmas y certificados. Una buena solución para combatir el SPIT (Spam Over IP Telephony).

No obstante podemos tener problemas con productos como los Session Border Controllers (SBCs) que modifican campos firmados criptograficamente. Como podemos ver mas ampliamente en el draft de J. Rosenberg que detalla las vulnerabilidades de SIP Identity