El control en las Comunicaciones Elio Rojano @hellc2 https://www.sinologic.net

Elio Rojano <hellc2@gmail.com> @hellc2 • En el mundo de la informática desde 1984 • Apoyando el software libre desde 1996 • Disfrutando de la VoIP y Asterisk desde 2004 • Cocreador de la comunidad Asterisk-ES • Creador de sinologic.net

• Desde 2004 hablando de VoIP y Asterisk • Más de 3500 visitas diarias • Más de 2500 usuarios únicos • Más de 2000 artículos …y todo gracias a tí…

El Control de las Comunicaciones Control de las comunicaciones “Rama de la tecnología dedicada al diseño, desarrollo y mantenimiento de las aplicaciones encargadas de gestionar y monitorizar las comunicaciones.”

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Configuración Gestión Monitorización Seguridad Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Configuración Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones ¿Qué es el control de las comunicaciones?

Vamos a ver cómo han evolucionado los interfaces de configuración… Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Interfaces de gestión de comunicaciones 1900 Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Interfaces de gestión de comunicaciones 1970 Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Interfaces de gestión de comunicaciones 1980 Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Interfaces de gestión de comunicaciones 1990 Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Interfaces de gestión de comunicaciones 2000 Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Interfaces de gestión de comunicaciones 2005 Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Interfaces de gestión de comunicaciones 2010 Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Interfaces de gestión de comunicaciones 2015 Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Un ejemplo: Elastix archivos .conf Base de datos Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones El código fuente ofrece un 100% de posibilidades de adaptación Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones No siempre poseemos los conocimientos técnicos para modificar el código de forma segura… Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones La modificación de los archivos de configuración permiten ajustar el 80% de las posibilidades… Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones En un interfaz web, se suelen eliminar el 80% de las opciones de los archivos de configuración … y eso que está orientado a un usuario técnico… Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Problema: Todos los interfaces de configuración están orientados a la “pequeña empresa” ¿cuánto tiempo tardaríamos en dar de alta 3000 extensiones?

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Las nuevas metodologías de programación simplifican su creación.

Aplicación móvil Interfaz web Aplicación terceros API Sistema / Aplicación / Entorno Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Las nuevas metodologías de programación simplifican su creación.

Aplicación móvil Interfaz web API

REST (ARI)

Elio Rojano https://www.sinologic.net Aplicación terceros

El Control de las Comunicaciones Gestión Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Las aplicaciones de gestión permiten a los usuarios realizar tareas sencillas que no requieren conocimientos técnicos.

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Los interfaces de gestión solo sirven para que el usuario final sepa qué está haciendo su sistema de comunicaciones.

No debe servir para configurarlo. Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Una panadería, una carnicería, una fábrica de calzado, … no tiene porque saber qué es un codec, el puerto del protocolo SIP y qué contraseña es la más adecuada.

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Generalmente suele venir integrada dentro de la aplicación de configuración, pero nadie lo explica.

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones La parte de gestión sí que debe integrarse con la siguiente parte:

Monitorización Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Monitorización Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Muestran al usuario el estado del sistema y toda la información relevante EN TIEMPO REAL Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones La Red El servidor Las llamadas actuales Las llamadas realizadas Estado de las colas Incidencias Seguridad etc… Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Monitorización de la Red Zenoss (http://www.zenoss.org/) Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Monitorización de la Red Pandora (http://pandorafms.com/) Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Monitorización del Servidor Cacti (http://www.cacti.net/) Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Monitorización del Servidor Munin (http://munin-monitoring.org/) Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Herramientas de visualización de CDR hay muchas, pero a partir de cierto número de llamadas, el sistema se vuelve lento.

La mayoría de sistemas no están preparados para un número grande de llamadas y/o usuarios.

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Para ello, el sistema a monitorizar debe permitir “exportar” la información a un sistema que pueda procesarla.

Bases de datos, CDR, REST, AMI, AGI, etc… muchos métodos para obtener información… Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Asterisk 12, Asterisk 13 y Kamailio han incorporado nuevas herramientas para monitorización en tiempo real Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Graphite http://graphite.wikidot.com/ statsd https://github.com/etsy/statsd statsd http://acalustra.com/kamailio-statsd-better-statistics-in-your-voip-platform.html Elio Rojano https://www.sinologic.net res_statsd.so

El Control de las Comunicaciones Hay planificadas nuevas aplicaciones de Dialplan para utilizar ‘statsd’ en Asterisk más dinámicamente.

[Initialization] StatsD(gauge, channels.inuse, 0) [Statistics] exten => _XXXX,1,NoOp(Do some awesome statistics.) same => n,StatsD(gauge, channels.inuse, +1) same => n,Dial(${EXTEN}) same => n,Hangup() same => n,StatsD(gauge, channels.inuse, -1) https://wiki.asterisk.org/wiki/display/~tcambron Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Seguridad Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones “Hay dos tipos de empresas, las que admiten que han sido víctimas de un ataque, y las que aún no lo saben” John Chambers Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones ¿A quién no le ha ocurrido esto?

[Sep 26 17:17:26] NOTICE[16166]: chan_sip.c:27851 handle_request_register: Registration from '"712" <sip:

712@78.60.201.227>' failed for '212.129.8.246:7245' - Wrong password [Sep 26 17:17:26] NOTICE[16166]: chan_sip.c:27851 handle_request_register: Registration from '"712" <sip:

712@78.60.201.227>' failed for '212.129.8.246:7245' - Wrong password [Sep 26 17:17:27] NOTICE[16166]: chan_sip.c:27851 handle_request_register: Registration from '"712" <sip:

712@78.60.201.227>' failed for '212.129.8.246:7245' - Wrong password [Sep 26 17:17:27] NOTICE[16166]: chan_sip.c:27851 handle_request_register: Registration from '"712" <sip:

712@78.60.201.227>' failed for '212.129.8.246:7245' - Wrong password [Sep 26 17:17:27] NOTICE[16166]: chan_sip.c:27851 handle_request_register: Registration from '"712" <sip:

712@78.60.201.227>' failed for '212.129.8.246:7245' - Wrong password [Sep 26 17:17:27] NOTICE[16166]: chan_sip.c:27851 handle_request_register: Registration from '"712" <sip:

712@78.60.201.227>' failed for '212.129.8.246:7245' - Wrong password [Sep 26 17:17:27] NOTICE[16166]: chan_sip.c:27851 handle_request_register: Registration from '"712" <sip:

712@78.60.201.227>' failed for '212.129.8.246:7245' - Wrong password … 6 minutos después… … [Sep 26 17:24:13] NOTICE[27646]: chan_sip.c:27851 handle_request_register: Registration from '"711" <sip:

711@78.60.201.227>' failed for '212.129.8.246:6302' - Wrong password [Sep 26 17:24:13] NOTICE[27646]: chan_sip.c:27851 handle_request_register: Registration from '"711" <sip:

711@78.60.201.227>' failed for '212.129.8.246:6302' - Wrong password [Sep 26 17:24:13] NOTICE[27646]: chan_sip.c:27851 handle_request_register: Registration from '"711" <sip:

711@78.60.201.227>' failed for '212.129.8.246:6302' - Wrong password [Sep 26 17:24:13] NOTICE[27646]: chan_sip.c:27851 handle_request_register: Registration from '"711" <sip:

711@78.60.201.227>' failed for '212.129.8.246:6302' - Wrong password [Sep 26 17:24:14] NOTICE[27646]: chan_sip.c:27851 handle_request_register: Registration from '"711" <sip:

711@78.60.201.227>' failed for '212.129.8.246:6302' - Wrong password [Sep 26 17:24:14] NOTICE[27646]: chan_sip.c:27851 handle_request_register: Registration from '"711" <sip:

711@78.60.201.227>' failed for '212.129.8.246:6302' - Wrong password [Sep 26 17:24:14] NOTICE[27646]: chan_sip.c:27851 handle_request_register: Registration from '"711" <sip:

711@78.60.201.227>' failed for '212.129.8.246:6302' - Wrong password [Sep 26 17:24:14] NOTICE[27646]: chan_sip.c:27851 handle_request_register: Registration from '"711" <sip:

711@78.60.201.227>' failed for '212.129.8.246:6302' - Wrong password Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones ¿Cómo detectarlo a tiempo?

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Vamos a ver el LOG de seguridad… /var/log/asterisk/security

2533695/2474K

100% [Sep 26 17:29:00] SECURITY[27675] res_security_log.c:

SecurityEvent=“InvalidPassword",EventTV="2015-09-26T17:29:00.130+020 0”,Severity=“Error”,Service="SIP",EventVersion="2",AccountID="711",SessionID="0x7fbfd4312518" ,LocalAddress="IPV4/UDP/78.60.201.227/5060”,RemoteAddress="IPV4/UDP/ 212.129.8.246/7393" ,Challenge="29883af8",ReceivedChallenge="29883af8",ReceivedHash ="ab1fd45dd7b4ac45e9940fe23dc2bc7f" [Sep 26 17:29:00] SECURITY[27675] res_security_log.c:

SecurityEvent="InvalidPassword",EventTV="2015-09-26T17:29:00.230+020 0",Severity="Error",Service="SIP",EventVersion="2",AccountID="711",SessionID="0x7fbfd42f0b68" ,LocalAddress="IPV4/UDP/78.6 0.201.227/5060",RemoteAddress="IPV4/UDP/ 212.129.8.246/7393",Challenge="5e6536ce",ReceivedChallenge="5e6536ce",ReceivedHash ="83e7fe40c874f7b107f22155beade95f" [Sep 26 17:29:00] SECURITY[27675] res_security_log.c:

SecurityEvent="ChallengeSent",EventTV="2015-09-26T17:29:00.340+0200" ,Severity="Informational",Service="SIP",EventVersion="1",AccountID="711",SessionID="0x7fbfd42 fad68",LocalAddress="IPV4/UDP /78.60.201.227/5060",RemoteAddress="IPV4/UDP/212.129.8.246/7393",Challenge="106cfc0a" [Sep 26 17:29:00] SECURITY[27675] res_security_log.c:

SecurityEvent="ChallengeSent",EventTV="2015-09-26T17:29:00.371+0200" ,Severity="Informational",Service="SIP",EventVersion="1",AccountID="711",SessionID="0x7fbfd42 fc268",LocalAddress="IPV4/UDP /78.60.201.227/5060",RemoteAddress="IPV4/UDP/212.129.8.246/7393",Challenge="0373c790" Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones Ya lo tenemos: 212.129.8.246 ¿y ahora qué?

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones ¿y ahora qué?

•Los ataques se hacen con ordenadores zombies… así que sirve de poco contraatacar.

•La policía suelen tener personal dedicado a la caza y captura de estos atacantes.

•De momento, lo más normal, es bloquearlos.

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones ¿y ahora qué?

Utilizar un bloqueador automático: * Fail2ban (http://www.fail2ban.org) * SIPCheck2 (https://github.com/sinologicnet/sipcheck) Revisar las contraseñas:

* Generar siempre contraseñas fuertes: https://www.sinologic.net/proyectos/genpass/ Nota: Las contraseñas SIP no hay que recordarlas, se utilizan entre el servidor y el teléfono/softphone, así que no tiene que ser fácil de recordar.

Vigilar y automatizar los avisos * No utilices el correo como medio de información, no es seguro.

Elio Rojano https://www.sinologic.net

El Control de las Comunicaciones ¿y ahora qué?

Revisa posibles exploits que pueden surgir en las distintas páginas:

Elio Rojano https://www.sinologic.net