Curso Asterisk (VII): Seguridad

Desde el capítulo 5 estamos conectados a proveedores VoIP, lo que significa que un atacante malintencionado podría generarnos pérdidas económicas si no tuviéramos bien configurado nuestro Asterisk.

Configurarlo correctamente no parece complicado: das de alta tus extensiones y tus proveedores, y listo. Todo tiene clave, todo parece estar bien. ¿Seguro? Desgraciadamente, la implementación SIP de Asterisk es insegura en su configuración por defecto y necesitaremos saber lo que estamos haciendo para proteger nuestro sistema de usos no autorizados.

Pero que no cunda el pánico, porque si has seguido el curso al pie de la letra, ya has ido aplicando sin saberlo una gran parte de las medidas que detallaremos en el presente capítulo. Aun así presta atención, ya que es necesario conocer ciertos detalles para no meter la pata cuando crees por ti mismo tu configuración, y para poder llevar a cabo otras cosas que hasta ahora no hemos hecho.

Sigue leyendo

OpenSSL Heartbleed, descripción gráfica

A veces es difícil explicar una vulnerabilidad a alguien que no tiene muchos conocimientos sobre seguridad. Cuando esto ocurre, una imagen suele funcionar mejor que una explicación técnica.

Esta imagen la he encontrado hoy y me ha encantado:

heartbleed_explanationRecordad que las versiones afectadas son:

  • OpenSSL 1.0.1 – 1.0.1f
  • OpenSSL 1.0.2-beta

Y que las siguientes versiones NO están afectadas:

  • OpenSSL 0.9.8 (all branches)
  • OpenSSL 1.0.0 (all branches)
  • OpenSSL 1.0.1g

Para actualizar en Ubuntu/Debian:

Si vuestro servidor utiliza OpenVPN-AS, que sepáis que utiliza sus propias librerías que tendréis que actualizar de forma independiente. Más información aquí:

OpenVPN Docs: Heartbleed vulnerability on Access Server 1.8.4 –> 2.0.5

Otros enlaces de interés:

Página oficial OpenSSL Heartbleed

Heartbleed Test