Hacking y Seguridad VoIP: El libro que todo administrador Asterisk debería tener
Por diversos lugares me entero de un libro sobre seguridad en VoIP General y Asterisk en particular que está teniendo una fantástica acogida, entre otros motivos por su profundidad: tan sencilla como para introducir a un administrador de sistemas, pero tan profunda como para ayudar a un experto a mejorar su seguridad y mantenerse al corriente de las nuevas técnicas.
Otras de las ventajas, el idioma ¿cuantos libros serios sobre seguridad VoIP hay en español?
Pero hay más… ¿y cuantos se distribuyen en latinoamérica? ¿cuantos libros profesionales cuestan 20€?
Sobre el autor… quizá os suene @Pepeluxx (twitter) 😉
Sin duda, son todo ventajas.
Siempre me he considerado un administrador de sistemas con cierto nivel de paranoia sobre los ámbitos de seguridad, quizá la vida real no sea consciente de cuanta importancia tiene la seguridad en el día a día que vivimos y no se le dedique los suficientes recursos como debería, en otros casos, los recursos son bastante inútiles y se peca de inutilidad, como aquellos que tienen 3 firewalls uno detrás de otro, tienen prohibido dar acceso SSH porque es «inseguro» pero en cambio piden conectar por Teamviewer. La seguridad es algo imprescindible pero debe ser transparente, no debe perjudicar el funcionamiento habitual de una empresa, no debe ser un impedimento, debe proteger, no prohibir.
En cuanto a la seguridad en sistemas de comunicaciones, el 90% de los problemas de seguridad vienen por falta de conocimientos, no saber cómo funciona un dialplan y los parámetros de un usuario SIP, cerrar el puerto SIP o cambiar de puerto puede ser una solución, aunque sin duda no es la mejor. Lo más peligroso no son los ataques que nos puedan hacer por configurar mal un dialplan, si no aquellos ataques de los que no somos conscientes y no sabemos cómo solucionar. Esos son los verdaderos quebraderos de cabeza.
Sin duda, Hacking y Seguridad VoIP es un gran libro, algo que deberíamos tener todos los que nos dedicamos a la VoIP y más aún si hemos tenido alguna vez algún problema de seguridad, porque aunque sepas dónde está el problema, seguro que hay cientos de problemas que aún no conoces.
Os indico el índice del libro, únicamente para que podáis ver el contenido tan completo que tiene:
Capítulo I: Introducción
- Un poco de historia
- ¿Por qué Asterisk?
- ¿Por qué este libro?
- Diferentes escenarios
- Protocolos para la VoIP
- Protocolo SIP
- Códecs
Capítulo II: Test de penetración
- Recopilación de información: Footprinting
- Numeración y proveedores
- Administradores
- Usuarios
- Enumeración: Fingerprinting
- Enumeración de extensiones
- Análisis: Búsqueda de vulnerabilidades
- Identificación de servicios
- Explotación
- Ataques contra dispositivos
- Prevención
Capítulo III: Ataques en redes locales
- Redes inalámbricas
- Ataques ‘Man in the middle’.
- Analizando capturas de red
- Prevención
Capítulo IV: Buscando objetivos
- Búsquedas a través de Google
- Búsquedas a través de Shodan
Capítulo V: Otros ataques
- Problemas en la configuración de usuarios
- Problemas en la configuración de contextos
- Problemas en la configuración de IVRs
- Problemas en la configuración de planes de llamada
- Configuración de dominios
- Sistemas de Click2Call
- Escuchas ilegales (Eavesdropping)
- Escuchas en tiempo real
- Grabación de conversaciones
- Interceptación y modificación de conversaciones
- Servicios TFTP
- Ataques de denegación de servicio
- Buscando nuevas vulnerabilidades
Capítulo VI: Problemas de los Front-end prediseñados
- Análisis de una FreePBX
- Algunos conceptos sobre la VoIP
- Consiguiendo acceso al sistema .
- Analizando los servicios
- Troyanizando el Asterisk
- Análisis de un Elastix
- Análisis de un Trixbox
- Escalada de privilegios en FreePBX, Elastix y Trixbox
- Conclusiones
Capítulo VII: Fraudes a través de VoIP
- Vishing: Phising a través de VoIP
- SPIT: Spam telefónico
- Montando una centralita pirata
- Realizando llamadas anónimas a través de Tor
Capítulo VIII: Restringiendo y monitorizando el sistema
- Restricción de destinos
- Restricción de horarios
- Restricción de consumo
- Monitorizando nuestro sistema
- Monitorización manual
- Monitorización automática
Capítulo IX: Repaso de algunos bugs
- Asterisk Manager User Unauthorized Shell Access
- Asterisk Remote Crash Vulnerability in SIP channel driver
- All your Calls Are Still Belong to Us
- FreePBX / Elastix Recordings Interface Remote Code Execution Vulnerability
Si estáis interesados en tener un ejemplar, nada más sencillo que pedirlo aquí:
http://www.informatica64.com/libros.aspx?id=voip

Debate en este artículo
-
Como siempre Elio llenando de Alegria el corazon de los linuxeros 🙂
-
Gracias Elio por la noticia, nosotros ya lo hemos pedido.
Un saludo.
-
Se ve interesante. Saben donde puedo contactarme para poder traer unos ejemplares a Lima – Perú. Intenté contactarme con las tres empresas que figuran en el link dejado, sin éxito.
Agradezco su apoyo.
-
Excelente aporte!
Hay una version digital de este libro? -
Igual que el comentario anterior…he enviado un correo solicitando me indiquen la forma de adquirir el libro pero no me han contestado…Alguien sabe como lo puedo conseguir? Soy de Lima – Perú.
-
Información Bitacoras.com…
Valora en Bitacoras.com: Por diversos lugares me entero de un libro sobre seguridad en VoIP General y Asterisk en particular que está teniendo una fantástica acogida, entre otros motivos por su profundidad: tan sencilla como para introducir a un ad……
-
Misma consulta que Adolfo … alguien podria decirme como conseguirlo para Bolivia ? o si hay disponible una edicion digital (paga por supuesto) ??
-
se puede comprar desde la argentina? como hacemos?
-
¿Cómo hago para comprar el libro? Soy de Peru
Muchas gracias por la crítica!