Buscando Vulnerabilidades en Plantas Asterisk
Ene06

Buscando Vulnerabilidades en Plantas Asterisk

Cada vez son mas frecuentes encontrar en las organizaciones instalaciones de Asterisk, ya sea por ahorrar dinero frente a las soluciones PBX comerciales, o por su flexibilidad, asterisk en poco tiempo se ha encargado de acaparar una gran rebanada del pastel de VoIP; En el siguiente articulo pretende enseñar como buscar vulnerabilidades en PBX ASTERISK, lo lo simple que resulta hacerlo con configuraciones defectuosas y que herramientas podemos usar. La principal función de una planta telefonica es ayudar con la convergencia con las redes de nueva generación (NGN), permitiendo tomar una señal análoga, como lo es la Voz, digitalizarla y transportarla sobre el protocolo IP, teniendo así servicios de Voz sobre IP mas conocido como VoIP. Muchas personas, empresas particulares y privadas en el mundo buscan estas soluciones debido a que ASTERISK es una distribución libre, de manera que es gratis y es fácil de implementar, con unas buenas políticas de seguridad, es una solución altamente fiable…… pero he aquí el problema, cualquiera dice que sabe instalar y configurar, cuando en realidad solo saben seguir manuales mal hechos en la red… ya ustedes me entienden. Lo primero que haremos sera tener una maquina configurada con el servicio de ASTERISK instalado, puede ser FreePBX, Trixbox, o Elastix, o lo que recomiendo, instalar Centos S.O y después compilar la aplicación de ASTERISK, Para nuestro tutorial tendremos una maquina virtualizada. Con Elastix (asimilándose mucho a la realidad). Este seria el caso inicial con el cual nos encontraremos con una PBX sin tener ningún dato de ella. Usaremos el software de SIPVICIOUS el cual podemos descargar de el blog oficial  o del google code: http://blog.sipvicious.org/ o http://code.google.com/p/sipvicious/ sipvicious es un código escrito en Python, por tanto necesitamos tener instalado este lenguaje en nuestro sistema. Las herramientas del framework sipvicious que usaremos inicialmente son: svcrack.py, svmap.py, svwar.py Iniciaremos con el svmap.py del SIPVICIOUS para poder saber cual es la IP en la cual esta corriendo la planta: [BASH]./svmap.py 192,168,5,1-192,168,5,255[/BASH] Usando Nmap miramos que otro servicio esta ejecutándose en la maquina: Como se observa tenemos el puerto 80 abierto revisaremos mediante un browser o navegador que nos ofrece: como ahora sabemos cual es su IP, también nos gustaría saber el fingerprint de la planta para tener mas detalle o mas información de nuestro objetivo: [BASH]./svmap.py –finferprint 192,168,5,143[/BASH] Como ahora estamos totalmente seguros de que tenemos una planta con FreePBX Asterisk, vamos a listar las extensiones previamente configuradas en la planta y posteriormente a tratar de usarlas [BASH]./svwar.py -D -m INVITE -vvvvv 192.168.5.143[/BASH] NOTA: Esto no quiere decir que necesariamente sean las unicas extensiones que existan, recomiendo primero chequear nuestras plantas, o descargar un Elastix y correr nuestro laboratorio en tu propia...

Leer Más
Curso de Asterisk
Dic30

Curso de Asterisk

En poco tiempo Asterisk se ha convertido en el software por excelencia para montar centrales telefónicas a bajo costo, su licenciamiento (GPL), el ser open source pero tener el respaldo de una empresa (DIGIUM), su soporte para múltiples arquitecturas x86, x86_64, PPC, en sistemas GNU/Linux, BSD o MacOSX han ayudado bastante a su rápida adopción y amplia implementación, ofreciendo las mismas prestaciones que las centrales telefónicas tradicionales y en algunos casos muchas mas funcionalidades. Un amigo me pregunto cual era la mejor forma de poner “extensiones” a los teléfonos de su empresa e inmediatamente se me vino a la cabeza Asterisk y como mi amigo Jorge quería implementar el sistema el mismo, le recomendé el curso de asterisk creado por Daniel Rodríguez @DVirus, si no conoces esta iniciativa de documentar asterisk en español, la inició Daniel en enero de este año con muy buena acogida y hasta la fecha ha publicado un buen numero de capítulos muy detallados, con contenidos multimedia y bien explicados para que montes tu propia central telefónica. Sin mas, les dejo los capítulos publicados hasta ahora por Daniel Rodríguez en su blog hotfixed.net: Introducción Capítulo 01 – Instalación Debian Capítulo 02 – Ingreso SSH e Introducción a Asterisk Capítulo 03 – Compilando Asterisk Capítulo 04 – Arquitectura de Asterisk Capítulo 05 – Configuración de Extensiones SIP Capítulo 06 – Introducción al DialPlan Capítulo 07 – Interactuando con el Dialplan Capítulo 08 – Configurando Buzones de voz Capítulo 09 – Construyendo un IVR Capítulo 10 – Introducción a las interfaces web de Asterisk parte...

Leer Más

Instalando Asterisk en Mac OS X

Asterisk es una aplicación OpenSource que nos permite tener una PBX en nuestro equipo utilizando una estructura cliente/servidor permitiendo que terminales se conecten a el y puedan transmitir voz/video en tiempo real utilizando protocolos como SIP, H.323 y codecs como GSM, ILBC/Speech. La gran mayoría de instalaciones de Asterisk se realiza sobre entornos GNU/Linux, ya que los desarrolladores de drivers o módulos para hacer compatible hardware con Asterisk se han centrado en los sistemas GNU/Linux (por eso las tarjetas de comunicaciones sólo sean compatibles con sistemas GNU Linux); Pero eso no quiere decir que no podamos instalar este excelente software para crear nuestro PBX en casa usando cualquier *NIX y utiliza gateways como VegaStream, Epygi, Soundwin, GrandStream, o cualquier otro que soporte el protocolo SIP. Darwin, el núcleo sobre el que corre Mac OS X es un derivado de FreeBSD (de hecho hay una distribución llamada GNU/Darwin que usa el core de Mac OS X con programas GNU), por tanto es posible instalar nuestra central telefónica en el solo siguiendo estos simples pasos: Que necesitamos para instalar Asterisk en Mac OS X? La ultima versión estable del Asterisk (a la fecha es la versión 1.8.2.3) Tener instalado Xcode ya que incluye dependencias y librerías necesarias para compilar el Asterisk en Mac (también esta incluido en los discos que vienen con tu Mac,  busca dentro del Install Disc 1 la carpeta Instaladores Opcionales/Xcode Tools/ y ejecuta el instalador XcodeTools.mpkg) Una vez descargado el Asterisk e instalado el Xcode, pasamos a abrir una consola, descomprimir el archivo empaquetado del Asterisk (tar xfz asterisk-*.tar.gz), crear una carpeta en nuestro home (mkdir $HOME/asterisk) y configurar ejecutar el ./configure con el parámetro -prefix=$HOME/asterisk para que todo lo que se haga quede en esa carpeta. Si todo sale bien y contamos con todas las dependencias del Asterisk, nos aparecerá su logo en ASCII anunciando que se configuró adecuadamente para ser compilado en nuestra maquina, ahora solo ejecutamos el comando make para compilar el Asterisk Si todo ha salido bien hasta el momento, puedes proceder a ejecutar make install para instalar el asterisk en nuestro mac. Ya tenemos nuestro asterisk instalado, pero como queremos aprender a utilizarlo, vamos a compilar también algunos ejemplos para los archivos de configuración, ejecutando el comando make samples Ahora entramos a la carpeta donde quedó instalado nuestro asterisk cd $HOME/asterisk, luego entramos a la carpeta sbin, ejecutamos el asterisk de la siguiente forma ./asterisk -gvvvvvvvvvcddd y obtendremos una consola asterisk lista para recibir nuestras ordenes. En estos momentos ya contamos con nuestro Asterisk instalado en nuestro equipo, lo único que nos falta es configurar los usuarios y cuentas SIP en el archivo $HOME/asterisk/etc/sip.conf , para poder...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices