El documento habla sobre la seguridad en Asterisk. Explica la importancia de la seguridad informática y los costos asociados con las vulnerabilidades. Describe ataques comunes como el fraude telefónico y la denegación de servicio, así como las etapas de un ataque. Identifica vulnerabilidades comunes en Asterisk y medidas básicas de seguridad para proteger los sistemas Asterisk, como el uso de firewalls, contraseñas fuertes y actualizaciones regulares.
The Cryptography puzzle discussed here is part of an online challenge. I demonstrate how I broke RSA when random prime numbers were common among a set of keys. I discuss basic metrics as well as implementation/design of my exploit scripts, too.
in I.T field we need secure data communication and one of the most worldwide utility is OpenSSL . In our slide you will find basic introduction of OpenSSL and how to use it with black track for local communication data encryption.
The Cryptography puzzle discussed here is part of an online challenge. I demonstrate how I broke RSA when random prime numbers were common among a set of keys. I discuss basic metrics as well as implementation/design of my exploit scripts, too.
in I.T field we need secure data communication and one of the most worldwide utility is OpenSSL . In our slide you will find basic introduction of OpenSSL and how to use it with black track for local communication data encryption.
The following slides explains about elliptic curves, their interpretation over Gallois finite fields, algorithms that reduces arithmetic computational requirements and primarly applications of the ECC.
How to Hack WPA/WPA2 Wi Fi with Kali Linux. Kali Linux can be used for many things, but it probably is best known for its ability to penetration test, or “hack,” WPA and WPA2 networks.
Warning..!! WIFI hacking is illegal. "This ppt is only for educational purposes. I am not responsible for any consequences."
This presentation contains the contents pertaining to the undergraduate course on Cryptography and Network Security (UITC203) at Sri Ramakrishna Institute of Technology. This covers the Elliptic Curve Cryptography and the basis of elliptic curve arithmetics.
This Presentation Elliptical Curve Cryptography give a brief explain about this topic, it will use to enrich your knowledge on this topic. Use this ppt for your reference purpose and if you have any queries you'll ask questions.
We will discuss the following: RSA Key generation , RSA Encryption , RSA Decryption , A Real World Example, RSA Security.
https://www.youtube.com/watch?v=x7QWJ13dgGs&list=PLKYmvyjH53q13_6aS4VwgXU0Nb_4sjwuf&index=7
https://mloey.github.io/courses/security2017.html
We will discuss the following: Cryptography, Computer Security, OSI Security Architecture, Security Structure Scheme, Key Properties, Symmetric Encryption, Asymmetric Encryption, finally Our Book
This is a technical presentation about hacking and hardening asterisk servers.
The information contained here should be use only for legal and ethical purposes
Desde hace un tiempo se vienen presentando ataques contra servidores de VoIP e incluso se han presentado casos de fraudes telefónicos en los cuales los atacantes han ganado acceso a extensiones SIP de los servidores y las han usado para sacar llamadas locales, larga distancia nacional y larga distancia internacional. Esta charla pretende mostrar las características de estos ataques, las herramientas utilizadas, el análisis de los mismos y las mejores prácticas para prevenir y evitarlos.
The following slides explains about elliptic curves, their interpretation over Gallois finite fields, algorithms that reduces arithmetic computational requirements and primarly applications of the ECC.
How to Hack WPA/WPA2 Wi Fi with Kali Linux. Kali Linux can be used for many things, but it probably is best known for its ability to penetration test, or “hack,” WPA and WPA2 networks.
Warning..!! WIFI hacking is illegal. "This ppt is only for educational purposes. I am not responsible for any consequences."
This presentation contains the contents pertaining to the undergraduate course on Cryptography and Network Security (UITC203) at Sri Ramakrishna Institute of Technology. This covers the Elliptic Curve Cryptography and the basis of elliptic curve arithmetics.
This Presentation Elliptical Curve Cryptography give a brief explain about this topic, it will use to enrich your knowledge on this topic. Use this ppt for your reference purpose and if you have any queries you'll ask questions.
We will discuss the following: RSA Key generation , RSA Encryption , RSA Decryption , A Real World Example, RSA Security.
https://www.youtube.com/watch?v=x7QWJ13dgGs&list=PLKYmvyjH53q13_6aS4VwgXU0Nb_4sjwuf&index=7
https://mloey.github.io/courses/security2017.html
We will discuss the following: Cryptography, Computer Security, OSI Security Architecture, Security Structure Scheme, Key Properties, Symmetric Encryption, Asymmetric Encryption, finally Our Book
This is a technical presentation about hacking and hardening asterisk servers.
The information contained here should be use only for legal and ethical purposes
Desde hace un tiempo se vienen presentando ataques contra servidores de VoIP e incluso se han presentado casos de fraudes telefónicos en los cuales los atacantes han ganado acceso a extensiones SIP de los servidores y las han usado para sacar llamadas locales, larga distancia nacional y larga distancia internacional. Esta charla pretende mostrar las características de estos ataques, las herramientas utilizadas, el análisis de los mismos y las mejores prácticas para prevenir y evitarlos.
Recorrido sobre las novedades de Asterisk 10, Asterisk 11 y Asterisk 12, así como las características que convierten a una aplicación considerada una PBX como un Framework de desarrollo de aplicaciones de voz, así como una herramienta tan potente como flexible.
Curso de introducción a la VoIP y Asterisk de Irontec.com
En esta tercera parte detallaremos la potencia que el Dialplan (lógica de llamadas) aporta a Asterisk
¿Deseas formación en Voz IP y Asterisk?
http://www.irontec.com/cursos/curso-asterisk-avanzado
Resto del curso
Parte 1: http://bit.ly/curso-voip-1
Parte 2: http://bit.ly/curso-voip-2
Parte 4: http://bit.ly/curso-voip-4
Curso de VoIP / Parte 04: Conceptos avanzadosIrontec
Curso de introducción a la VoIP y Asterisk de Irontec.com
Última parte del curso donde analizaremos conceptos avanzados de VoIP como sistemas de colas y agentes, informes de llamadas, Asterisk Realtime y mucho más
¿Deseas formación en Voz IP y Asterisk?
http://www.irontec.com/cursos/curso-asterisk-avanzado
Resto del curso:
Parte 2: http://bit.ly/curso-voip-2
Parte 3: http://bit.ly/curso-voip-3
Parte 4: http://bit.ly/curso-voip-4
www.AsteriskClub.org : Trucos muy interesantes imprescindibles para configurar y administrar un Asterisk para ahorrar tiempo y esfuerzo. Herramientas, técnicas y programación del Manager de Asterisk
Curso de introducción a la VoIP y Asterisk de Irontec.com
En esta segunda parte estudiaremos los conceptos básicos de SIP y cómo realizar llamadas con Asterisk utilizando SIP
¿Deseas formación en Voz IP y Asterisk?
http://www.irontec.com/cursos/curso-asterisk-avanzado
Resto del curso:
Parte 1: http://bit.ly/curso-voip-1
Parte 3: http://bit.ly/curso-voip-3
Parte 4: http://bit.ly/curso-voip-4
Nuestros administrador de sistemas y experto en seguridad nos habla de las buenas prácticas en la gestión de servidores, los ataques más comunes en Internet y las posibles soluciones a estas amenazas. Abordamos soluciones prácticas de diferente nivel (empezando por las más sencillas) para la protección de servidores evitando que usuarios malintencionados tengan acceso a este. ¡Aprende a proteger tu servidor!
Más info: http://www.nominalia.com/server/serverded.html
El aseguramiento del servidor es a menudo una demanda presentada por los equipos de seguridad y los reguladores. Implementar una línea de base segura, que a menudo necesita alinearse con las mejores prácticas, como los puntos de referencia CIS, es difícil y exige mucho trabajo. Uno de los mayores desafíos en este proceso es garantizar que sus acciones de aseguramiento no dañen la producción de la organización. Si eso no fue lo suficientemente difícil, debe hacerse en un entorno de producción dinámico en constante cambio, donde constantemente surgen nuevas amenazas y se siguen publicando nuevas recomendaciones de aseguramiento.
El aseguramiento del servidor es a menudo una demanda presentada por los equipos de seguridad y los reguladores. Implementar una línea de base segura, que a menudo necesita alinearse con las mejores prácticas, como los puntos de referencia CIS, es difícil y exige mucho trabajo. Uno de los mayores desafíos en este proceso es garantizar que sus acciones de aseguramiento no dañen la producción de la organización. Si eso no fue lo suficientemente difícil, debe hacerse en un entorno de producción dinámico en constante cambio, donde constantemente surgen nuevas amenazas y se siguen publicando nuevas recomendaciones de aseguramiento.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
“Seguridad en VoIP”
Pedro Valera
Estudiante de Ing. De las Telecomunicaciones PUCP
Conferencia por el día Mundial de las Telecomunicaciones.
-----------------------------------------------------
Semana Internacional de las Telecomunicaciones en la Pontificia Universidad Católica del Perú.
18 al 23 de mayo 2009
Organizado por: la Sección de Ingeniería de las Telecomunicaciones y la Asociación de Ingenieros y estudiantes de las telecomunicaciones.
-----------------------------------------------------
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]RootedCON
El objetivo de la conferencia es exponer cómo se puede llevar a cabo, de forma lo más sencilla y estructurada posible, la coexistencia de diversos elementos cotidianos en las casas actuales, controlados por un único sistema, con la finalidad de mejorar la seguridad del lugar donde más tranquilos deberíamos estar: nuestra propia vivienda. Se explicará cómo diseñar un mecanismo de seguridad física casero basado en:
Mecanismos de monitorización mediante cámaras web genéricas, con técnicas de reconocimiento facial de los habitantes de la casa, así como detección por bluetooth.
Grabación de videos a sospechosos
Interacción con una alarma controlable vía TCPIP
Reconocimiento facial de personas clasificadas como “buscadas por las autoridades”, en modo lista negra, integrado con el aviso teléfonico a la policía mediante una centralita basada en VoIP, indicando la ubicación de qué persona de dicha lista, se encuentra en el domicilio.
Sistema de notificaciones de las alertas a Twitter, correo y mensajería instantánea.
Asimismo, se hablará de automatización de mecanismos de control de aire acondicionado/calefacción, robots dedicados a la limpieza y estaciones meteorológicas, demostrando que cualquier elemento casero con interfaz de red, puede ser un sistema SCADA. Además de implementar un sistema de autenticación biométrica, aprovechando el reconocimiento facial de quien entra en la casa, se podrá disponer de una lista blanca de usuarios, sobre los que poder personalizar un mensaje de bienvenida para cada usuario, pudiendo avisarle de diversos aspectos.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
1. Seguridad en Asterisk:
Un Acercamiento Detallado
Moises Silva
Gerente de Ingeniería de Software
Sangoma Technologies
2. 2
Doug Tygar
No puedes considerar el problema de defensa sin
primero entender el problema del ataque
3. Agenda
3
• Importancia de la Seguridad Informática
• Entendiendo los Ataques a VoIP
• Vulnerabilidades en Asterisk
• Medidas de seguridad para proteger Asterisk
4. Importancia de la Seguridad
4
• Pérdidas económicas directas (e.g La cuenta del mes)
• Costo de oportunidad (servicios suspendidos)
• Pérdida de confianza de tus clientes en tu reputación
• Poco o ningún apoyo del marco legal cuando hay pérdidas económicas por
fraude telefónico (los detalles, desde luego, varían de país a país)
5. Entendiendo los Ataques
5
Para entender como proteger nuestros sistemas tenemos que entender el
objetivo de los ataques comunes y sus mecanismos:
• Fraude Telefónico
• Negación de Servicio
• Muchos otros: Intercepción de llamadas, secuestro de registro, etc …
6. Fraude Telefónico
6
El objetivo es hacer llamadas usando tu PBX hacia destinos con un costo
alto controlados directa o indirectamente por el perpetrador del ataque.
• África suele ser un destino clave
• Con frecuencia los ataques se registran en fines de semana
9. Negación de Servicio
9
El objetivo es evitar que usuarios legítimos del servicio puedan accederlo. La
motivación puede ser el simple gusto de romper sistemas, o bien, tratar de
probar un punto o extorsionar.
• Paquetes malformados pueden provocar un “crash” del sistema
• Otro método es acabar con los recursos del sistema (memoria, CPU,
descriptores de archivos, etc) enviando muchas peticiones
10. El ABC de un Ataque
10
• Footprinting (Obtener la mayor información posible sobre la red)
• Uso de whois, nslookup, google, dnsdumpster.com
• Enumeración (enumerar hosts y cuentas)
• nmap, svmap, svwar
• Explotación
• svcrack, tftptheft, etc
11. El ABC de un Ataque
11
• El uso de sipvicious ha permitido hacer ataques a sistemas VoIP de manera
relativamente sencilla usando:
• svmap para encontrar sistemas escuchando por tráfico SIP
• svwar para buscar extensiones válidas
• svcrack para encontrar passwords válidos
19. Vulnerabilidades en Asterisk
19
Importante mantenerse al tanto de las vulnerabilidades publicadas y
actualizar frecuentemente:
http://www.asterisk.org/downloads/security-advisories
22. Seguridad Básica General
22
• IP Firewall (ej. Lista blanca de IPs y puertos permitidos)
• Actualizaciones de seguridad frecuentes en todo el software
• Contraseñas fuertes para todos los servicios
23. Seguridad Básica en Asterisk
23
• Solo incluye módulos que necesitas en modules.conf (esto minimiza la
superficie de ataque)
• Usa nombres de usuario diferentes a las extensiones
• Allowguest=no en sip.conf
• Usa SIP TLS/SRTP siempre que sea posible
24. Seguridad Básica en Asterisk
24
• Usa fail2ban para bloquear varios intentos fallidos de autenticación
• Elastix y FreePBX incluyen fail2ban
• Usa alwaysauthreject=yes en sip.conf [general] (versiones recientes
de Asterisk tienen esto por defecto)
25. Seguridad Básica en Asterisk
25
[Aug 22 15:17:15] NOTICE[25690] chan_sip.c: Registration from
'"123"<sip:123@127.0.0.1>' failed for '203.86.167.220:5061' - No matching peer
found
[Aug 22 15:17:15] NOTICE[25690] chan_sip.c: Registration from
'"1234"<sip:1234@127.0.0.1>' failed for '203.86.167.220:5061' - No matching peer
found
[Aug 22 15:17:15] NOTICE[25690] chan_sip.c: Registration from
'"12345"<sip:12345@127.0.0.1>' failed for '203.86.167.220:5061' - No matching peer
found
28. Filtros
28
Qué sucede si ${EXTEN} es “1234&DAHDI/g1/01123230160081” ?
Al expandir ${EXTEN} el comando resultante es:
exten => _X.,1,Dial(SIP/1234&DAHDI/g1/01123230160081)
El resultado es una llamada a Sierra Leone J
exten => _X.,1,Dial(SIP/${EXTEN})
29. Filtros (evitando “dialplan injection”)
29
• Filtra variables como ${EXTEN} en tu plan de marcado
• Piensa de donde vienen tus variables y filtra sus valores
• Use patrones de marcado estrictos
31. ACLs
31
• Asterisk te permite definir listas de control de acceso. Usalas!
• Una vez definida puedes usarla en distintos modulos como sip, iax,
manager (AMI), etc
• Prefiere ACLs nombradas (acl.conf) en lugar de permit/deny
directamente en sip.conf
32. Control de Llamadas
32
• Limita el número de llamadas concurrentes por usuario y globalmente
• Usa ${GROUP_COUNT} para especificar limite por dispositivo y/o grupo
Método Viejo:
• Habilita callcounter=yes en sip.conf
• Usa call-limit en sip.conf por cada dispositivo
• Usa maxcallnumbers y [callnumberlimits] en iax.conf
33. Control de Llamadas
33
exten => _X.,1,Set(GROUP(users)=${CHANNEL(peername)})
same => n,GotoIf($[${GROUP_COUNT(${CHANNEL(peername)})} > 2]?denied:continue)
same => n(denied),NoOp(Demasiadas llamadas)
same => n,Hangup()
same => n(continue),NoOp(Continuacion de la llamada …)
34. Técnicas Avanzadas
34
Uso de Kamailio / OpenSIPs
• El módulo pike permite limitar número de mensajes SIP por IP y
bloquear ‘flooding’
• Puedes definir ciertas IP o dejarlo abierto a cualquier IP que mande un
mensaje
35. Técnicas Avanzadas
35
Uso de Kamailio / OpenSIPs
Kamailio /
OpenSIPs
Limitando numero de mensajes INVITE
INVITEs
36. Técnicas Avanzadas
36
• Psad analiza los logs de iptables para detectar el escaneo de puertos y otros patrones
sospechosos
• Opcionalmente psad puede bloquear la actividad sospechosa
• Usa este método para tomar acciones proactivas antes de que se inicie un ataque
• Usualmente se puede usar en combinación con snort y fwsnort
PSAD (Port Scan Attack Detector)
37. Técnicas Avanzadas
37
• Autenticación por paquete único (Single Packet Authorization)
• Evita completamente el escaneo de servicios públicos
• Esto permite la conexión a clientes móviles sin exponer la existencia de los
servicios al resto del mundo
• Requiere de configuración en el servidor y un cliente que envie el paquete
encriptado de autorización para abrir el puerto
fwknop
39. Ideas Finales
39
• Entiende las configuraciones generadas por herramientas como
FreePBX y Elastix
• Audita tus sistemas frecuentemente
• Considera el uso de equipo externo de seguridad VoIP, como Elastix
SIP Firewall, Sangoma SBC, etc.
40. 40
Bruce Schneier
Mas gente muere cada año a causa de puercos
que debido a tiburones, lo que muestra que tan
buenos somos evaluando riesgos