Curso Asterisk (VIII): Plantilla mínima de configuración

En un comentario del capítulo anterior he recibido una petición que me ha parecido suficientemente interesante como para dedicarle una pequeña entrada independiente.

En el comentario, el autor pide si sería posible publicar el contenido de los archivos sip.conf y extensions.conf reducidos a su mínima expresión, sin extensiones de ejemplo ni ningún tipo de relleno, salvo los parámetros de seguridad mencionados en el correspondiente capítulo.

A continuación, os pongo el contenido de dichos archivos. Lo que incluyen es lo mínimo imprescindible, justo el esqueleto sobre el que empezar a definir vuestras extensiones y vuestro dialplan.

[general]
context=default
language=es
srvlookup=yes
useragent=Asterisk PBX
allowguest=no
alwaysauthreject=yes
udpbindaddr=0.0.0.0:42187

;NAT
externhost=sip.vuestrodominio.com
externrefresh=600
localnet=192.168.0.0/255.255.255.0
nat=force_rport,comedia
directmedia=no

Sigue leyendo

Curso Asterisk (VII): Seguridad

Desde el capítulo 5 estamos conectados a proveedores VoIP, lo que significa que un atacante malintencionado podría generarnos pérdidas económicas si no tuviéramos bien configurado nuestro Asterisk.

Configurarlo correctamente no parece complicado: das de alta tus extensiones y tus proveedores, y listo. Todo tiene clave, todo parece estar bien. ¿Seguro? Desgraciadamente, la implementación SIP de Asterisk es insegura en su configuración por defecto y necesitaremos saber lo que estamos haciendo para proteger nuestro sistema de usos no autorizados.

Pero que no cunda el pánico, porque si has seguido el curso al pie de la letra, ya has ido aplicando sin saberlo una gran parte de las medidas que detallaremos en el presente capítulo. Aun así presta atención, ya que es necesario conocer ciertos detalles para no meter la pata cuando crees por ti mismo tu configuración, y para poder llevar a cabo otras cosas que hasta ahora no hemos hecho.

Sigue leyendo

Curso Asterisk (VI): Lidiando con el NAT

El enemigo público número uno del protocolo SIP son las tablas NAT. El NAT es la principal causa de problemas a la hora de montar nuestro servidor Asterisk. Desafortunadamente para nosotros, debido a la falta de IPs públicas de IPv4, lo normal en nuestros hogares es que estemos detrás de un NAT. Por lo tanto, si queremos montar nuestro Asterisk dentro de casa, tendremos que pelearnos con él.

Si haciendo pruebas se obtienen alguno de estos resultados, casi seguro que estemos experimentando problemas derivados de estar dentro de una red privada con NAT:

  • Audio sólo en un sentido
  • Ausencia total de audio en ambos sentidos
  • No puedes recibir llamadas
  • Las llamadas se cortan transcurridos 10-30 segundos desde el establecimiento

 Los escenarios posibles son los siguientes:

  • El servidor está detrás de un NAT
  • Sólo un extremo está detrás de un NAT
  • Ambos extremos están detrás de un NAT
  • Ambos extremos y el servidor están detrás de un NAT

Sigue leyendo

Curso Asterisk (V): Interconexión con proveedores VoIP

Ha llegado el momento de que nuestra centralita Asterisk pueda comunicarse con el exterior. Mediante el uso de proveedores de telefonía VoIP podremos realizar llamadas a la Red de Telefonía Conmutada, y también que nos puedan llamar desde ella. Aquí empieza el verdadero potencial de Asterisk.

Podemos separar los proveedores VoIP en dos categorías diferenciadas en función del servicio que proporcionan:

  • Proveedores de minutos: Permiten realizar llamadas hacia la Red de Telefonía Conmutada, cobrándonos por tiempo u ofreciéndonos tarifas planas de llamadas. Las tarifas son variadas, pero podemos encontrar precios de 1 cent/minuto o incluso menos a destinos tanto nacionales como internacionales.
  • Proveedores de DID: Nos proporcionan un número de teléfono de la Red de Telefonía Conmutada donde cualquier persona nos pueda llamar, y nos entregan las llamadas  a nuestro Asterisk. Normalmente se alquilan por meses, y tienen un coste entre 2 y 10€/mes según el proveedor y el tipo de número. Por ejemplo, podemos tener un DID de numeración fija de Madrid del tipo «91 xxx xx xx», o de cualquier otra provincia española. También podemos alquilar números de países extranjeros para que nos llamen desde allí a precio de llamada local.

Y por supuesto, podemos encontrar proveedores que ofrezcan los dos servicios al mismo tiempo.

Sigue leyendo

Curso Asterisk (IV): El Dialplan

En la anterior entrada vimos cómo dar de alta algunas extensiones internas, y trabajamos muy por encima con el Dialplan para poder llamar de una extensión a otra.

El Dialplan es el verdadero corazón de Asterisk y de cualquier sistema VoIP. El Dialplan, o plan de marcado, es una colección ordenada de acciones que se ejecutan cuando alguien marca un número dentro de nuestro Asterisk. El ejemplo más trivial sería que cuando alguien marca la extensión de otra persona, por ejemplo «3001», suene el teléfono de ese usuario. Sin embargo, se pueden hacer cosas mucho más avanzadas, como por ejemplo gestionar las llamadas en función de un horario, crear una centralita automática de recepción de llamadas, grabar conversaciones, poner música en espera, etc.

Antes de entrar en lo que se puede hacer con el Dialplan, vamos a definir algunos conceptos básicos.

Sigue leyendo

Asterisk Honeypot

Aprovechando la facilidad con la que puedo crear máquinas virtuales en Proxmox, estos días he montado un segundo Asterisk para capturar ataques. Esto es lo que se llama Honeypot, un servicio o máquina montada como si fuera real, pero que tiene como objetivo obtener información de vectores de ataque y atacantes potenciales.

Los requisitos planteados son los siguientes:

  • Asterisk con configuración SIP segura (allowguest=no y alwaysauthreject=yes)
  • Puerto SIP por defecto para maximizar el número de escaneos (5060/UDP)
  • Un usuario/extensión con contraseña
  • Por supuesto sin proveedores configurados ni posibilidad de hacer llamadas reales
  • Fail2ban para monitorizar los ataques y crujir atacantes

De momento lleva 24h funcionando, y en este tiempo sólo he recibido 25 ataques de 2 atacantes diferentes:

root@asterisktest:~# fail2ban-client status asterisk
Status for the jail: asterisk
|- filter
|  |- File list:        /var/log/asterisk/security
|  |- Currently failed: 0
|  `- Total failed:     25
`- action
   |- Currently banned: 2
   |  `- IP list:       (borrado por privacidad)
   `- Total banned:     2

 Lo cierto es que esperaba mucho mayor volumen de atacantes, ya que un servidor SIP vulnerable con posibilidad de enrutar llamadas reales es un objetivo muy goloso. Por ejemplo, por SSH, la cantidad de gente realizando escaneos es inmensa.

Estoy incluso planteándome dejar esta máquina activa de forma permanente, ya que al estar en el puerto SIP por defecto distrae la atención frente al verdadero servidor SIP.

Seguiremos informando de los resultados en esta misma entrada.

Curso Asterisk (III): Extensiones Internas

Ya es hora de empezar a hacer algo con nuestro flamante y recién instalado Asterisk. Los objetivos para el capítulo de hoy son:

  • Ver algunos parámetros de configuración de SIP
  • Crear un par de extensiones SIP
  • Crear un dialplan que permita hacer llamadas entre extensiones
  • Hacer una llamada de prueba desde un softphone

A partir de ahora el término dialplan empezará a aparecer mucho. El dialplan es el corazón de Asterisk, y es donde reside buena parte de su potencial. Más adelante lo veremos en profundidad, pero de momento es suficiente con saber que es donde se define la lógica a seguir cuando entra una llamada en el sistema.

Crear extensiones SIP

Vamos a editar el archivo /etc/asterisk/sip.conf para que quede de esta manera:

[general]
udpbindaddr=0.0.0.0:5060
context=default
srvlookup=yes
allowguest=no
alwaysauthreject=yes

[3001]
type=friend
host=dynamic
username=3001
secret=password3001
callerid="Pepe" <3001>
context=extensiones-internas
canreinvite=no

[3002]
type=friend
host=dynamic
username=3002
secret=password3002
callerid="Juan" <3002>
context=extensiones-internas
canreinvite=no

Sigue leyendo

Curso Asterisk (II): Instalación

En el capítulo de hoy vamos a instalar Asterisk en una Debian 7 Wheezy. Para ello tenemos dos formas, en función de si queremos utilizar los repositorios de Debian o preferimos compilar la última versión de Asterisk a partir de su código fuente. Yo os recomiendo esta última.

Instalar Asterisk: The Easy Way

En los repositorios de Debian tenemos la versión Asterisk 1.8 disponible. Instalarla es tan fácil como hacer lo siguiente:

# apt-get install asterisk

La versión 1.8 es suficiente para empezar a cacharrear, pero es bastante antigua. Para un uso real recomiendo instalar la última versión disponible, normalmente con más funcionalidades y menos bugs, a partir del código fuente. También necesitaremos compilar si queremos hacerlo funcionar en plataforma ARM (RaspBerry Pi, PandaBoard, etc). La versión estable más reciente en este momento es Asterisk 11.5.

Sigue leyendo

Curso Asterisk (I): Introducción

Digium Asterisk

Varias personas, tanto en persona como en foros, me han preguntado cómo funciona esto de la telefonía VoIP y cómo se le puede sacar provecho. Esto me ha motivado para tratar de plasmar en el blog algo de información sobre el tema. En los próximos artículos hablaremos de telefonía VoIP, protocolo SIP, y Asterisk. Pero primero… la introducción.

¿Por qué montar una centralita PBX en tu casa?

Existen multitud de proveedores de telefonía VoIP en el mercado con tarifas de lo más variadas. Podríamos pensar en contratar una línea VoIP con un proveedor y no complicarnos más la vida, pero, ¿podríamos sacar mejor provecho de la VoIP?

Sigue leyendo