Estimados, ésta es mi primera aparición en el blog, como una pequeña introducción les comento que mi nombre es Juan Pablo Bustos, escribo desde la provincia de Mendoza – Argentina, soy analista de sistemas y también cuento con la certificación ECT.
El objetivo de ésta implementación es la utilización del dialer de Elastix para llamar a una lista de clientes, reproducir un mensaje, y a su vez, no perder la funcionalidad de call center con agentes “reales”, además tener la posibilidad de utilizar un script mediante AGI para guardar las respuestas (en caso de una encuesta o pregunta) en una base de datos una vez que llamada fue completada.
Para comenzar, es necesario que creemos:

1. Algunos “agentes virtuales”, que en principio son creados desde la interfaz de call center.
2. Un custom context para “loguearlos” mediante el comando AgentCallbackLogin (que lamentablemente no estará disponible desde Asterix 1.5, pero ya existen formas de implementarlo de otra manera).
3. Otro custom context para “desloguearlos” (básicamente con el proposito de debugging, pero en ciertas ocasiones resulta útil).
4. Un custom context para redireccionar las a llamadas hacia un último custom context que se encargará de manipular inalmente las llamadas. Read the rest of this entry »

En el primer post sobre políticas de seguridad mencionamos un programa llamado Fail2Ban, ahora en este post hablaremos de como instalarlo y configurarlo para proteger nuestros equipos contra robots y ataques de diccionario hacia nuestra consola.

Fail2Ban es un analizador de logs , que busca intentos fallidos de registro y bloquea las IP’s de donde provienen estos intentos.

Instalación y Configuración

Paso #1:Debemos de Instalar python en nuestro servidor , para ello ejecutamos
[root@elastix]# yum install python*

Paso #2:Descargamos Fail2ban en la carpeta /usr/src desde su pagina en sourceforge

[root@elastix]# cd /usr/src
[root@elastix src]# wget http://downloads.sourceforge.net/project/fail2ban/fail2ban-stable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2?use_mirror=hivelocity

Paso #3 Descomprimimos e instalamos Fail2Ban
[root@elastix src]# tar xvfj fail2ban-0.8.4.tar.bz2
[root@elastix src]# cd fail2ban-0.8.4
[root@elastix fail2ban-0.8.4]# python setup.py install

Con esto tendremos instalado Fail2Ban en /usr/share/fail2ban. Los scripts los encontramos en /usr/bin.

Ahora debemos de configurar Fail2Ban para que analice los logs que deseamos y bloque IP,s y nos sean enviadas notificaciones vía e-mail.para ello modificaremos el archivo jail.conf que encontramos en /etc/fail2ban

[root@elastix src]# cd /etc/fail2ban
[root@elastix fail2ban]# vi jail.conf

Lo primero a modificar es el valor bantime, este valor determina el tiempo en segundos que quedará bloqueada la ip que esta atacándonos , por defecto el valor viene en 600.

Después buscamos el valor maxretry que serán el número de veces que una IP puede tener una autenticación fallida antes de ser bloqueada.

Para que busque intentos fallidos de logueo por ssh buscamos la siguiente parte:
[ssh-iptables]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=you@mail.com, sender=fail2ban@mail.com]
logpath = /var/log/sshd.log
maxretry = 5

Y la dejamos así:

[ssh-iptables]
enabled = true
filter = sshd
action = iptables-allports[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=tu@correo.com, sender=fail2ban@correo.com]
logpath = /var/log/secure
maxretry = 3

Modificando estos valores podemos buscar los errores que queramos en el log que queramos , se podría bloquear por ejemplo , intentos fallidos de registro SIP modificando otras líneas.

Para iniciar el cliente de Fail2ban utilizamos el comando fail2ban-client start

Con colaboración de Frank Cristino.

Cuando tenemos un gran número de conmutadores implementados y queremos ingresar por ssh, aún y cuando tengamos una metodología para asignar las contraseñas de root, es dificil recordar todas ellas o simplemente nos da flojera estar ingresando las contraseñas y mas aún cuando estamos trabajando en más de un equipo a la vez, para ello existe una forma muy sencilla de ingresar a nuestros equipos sin la necesidad de estar ingresando una y otra vez la contraseña, usando keys.

Primero que nada abrimos una consola dentro de nuestra máquina y ejecutamos el siguiente comando:
ssh-keygen -t rsa

Nos hara algunas preguntas en las cuales solo daremos “Enter” sin escribir nada mas.

Con esto generaremos 2 archivos de forma automática id_rsa y id_rsa.pub (normalmente los encontramos dentro de la carpeta del usuario que estamos utilizando dentro de la carpeta /.ssh ej. /home/usuario/.ssh/ )

Abrimos el archivo id_rsa.pub y copiamos el contenido. (ej. vi /home/usuario/.ssh/id_rsa.pub)

Posteriormente ingresamos a nuestro servidor elastix por consola como lo hacemos normalmente y editamos el archivo:
/root/.ssh/authorized_keys y pegamos el contenido que copiamos del archivo id_rsa.pub de nuestra máquina.

Todo listo, ahora bastara con ingresar en nuestra consola “ssh root@direlastix.org” como normalmente ingresamos a nuestro equipo elastix, pero ahora veran que no les solicita contraseña y que ingresaran automáticamente.

Por defecto en freepbx la forma de manejar es AMPEXTENSIONS=extensions, con esta forma que es la que todos conocemos las extensiones son creadas y ahí mismo es asignado un usuario que en este caso es nuestro numero de extensión, ( no se compliquen mucho esta es la forma que todos conocemos asi que no pongan cara de que no saben de que les soy hablando), pero que sucede, también hay otra forma de hacerlo y es cambiando el parámetro AMPEXTENSIONS=deviceanduser, con esta forma se nos agregara una pestaña nueva en freepbx que dirá Device.

Estos parámetros están el archivo amportal.conf, ubicado en /etc.

Read the rest of this entry »

Otro artículo mas que me pidio Fernando Publicar y que es de su creación.

MFC/R2 es un protocolo de señalización dentro de banda por cada canal (CAS channel associated signalling) sobre tramas digitales E1 usado principalmente en Latinoamérica (quizás el más usado todavía hoy). El cual es soportado perfectamente en Elastix® debido a la inclusión de la librería OpenR2 la cual implementa señalización MFC/R2 sobre líneas E1 usando la interfaz de telefonía DAHDI. El autor de dicha librería y los parches de Asterisk® correspondientes es Moisés Silva quien actualmente trabaja para la firma canadiense Sangoma® y a quien personalmente agradezco por todo su trabajo y ayuda.

¿Qué es MFC/R2?

MFC/R2 es una señalización telefónica usada ampliamente en Argentina, Colombia, Venezuela, México, Brasil y otros países de Latinoamérica y Asia con su origen en los inicios de la telefonía digital allá por fines de la década del 70. Read the rest of this entry »

A petición de mi amigo Fernando Villares, publico algunos artículos generados por el.

Guía de referencia para instalaciones de Elastix® IP PBX Versión 1.5.2-2 y +

Nota Inicial: Ante todo aclaro que este instructivo no amerita ser la guía última de referencia sobre instalación de equipos e infraestructura de VoIP, solo es un conjunto de buenas prácticas recogidas por años de experiencia en el mundo de las redes convergentes de Voz, video y datos con alta calidad de servicio y fiabilidad, y no representa más que mi humilde experiencia en dichas áreas y es perfectible de ser mejorada por cada persona que lo considere. Read the rest of this entry »

En la entrada anterior hablamos de la importancia de aplicar políticas de seguridad en nuestros equipos para evitar ataques , en esta ocasión hablaremos de la importancia de mantener siempre monitoreados nuestros servidores Elastix y de algunas herramientas que podemos utilizar para este fin.

Imaginemos el siguiente panorama, hemos instalado ya nuestro equipo Elastix con 10,20 ó 1000 extensiones, nuestros usuarios están ya habituados al uso de los equipos y tenemos todas nuestras políticas de seguridad implementadas, restricciones en los archivos de configuración , iptables y un Firewall en Linux o un appliance de miles de dólares. En fin, nuestro equipo funciona perfecto, como este equipo tenemos quizás otros 5 clientes iguales, y hasta el momento no se presenta ninguna falla. Read the rest of this entry »

En este espacio usted encontrará información sobre eventos relacionados con Elastix, documentación técnica y todo lo relacionado con Elastix. Las personas que escriben en este blog son reconocidos personajes de nuestra comunidad, pero todos están invitados a participar.

Si tienes algún truco o destreza especial que desea compartir con la comunidad, le invitamos a escribir en nuestro blog. Para esto enviar un correo a rbonifaz[en]elastix.org para analizar su publicación. Palosanto Solutions definirá que artículos serán publicados. Todos los artículo deberán estar bajo la licencia GNU/FDL

Para empezar tenemos el primero artículo escrito sobre consideracion con la seguridad en Elastix. Este artículo es escrito por Augusto Sepulveda de México.

Esperamos en los próximos días tener más artículos sobre varios tópicos relacionados con Elastix.

Muchos usuarios de Elastix no toman en cuenta que después de haber instalado y configurado su central, y dejar esta en funcionamiento aún queda mucho trabajo por hacer, sobre todo en el lado en cuanto a seguridad se refiere.

Existe mucha gente y empresas alrededor del mundo que día a día buscan romper servidores VOIP, esto con el simple objetivo de enrutar tráfico a través de estos servidores hacia destinos de costos muy altos, de esta forma estas personas pueden comercializar minutos que normalmente tienen un costo alto a una fracción del costo.

En tan solo 1 hora se puede llegar a enviar hasta casi 2000 minutos a través de un enlace E1 con 30 canales activos, lo que en números redondos puede llegar a costar mas de 200 USD tomando en cuenta que se enrute tráfico a un destino de bajo precio, pero a otros podría llegar a costar hasta 2500 USD.

Estas matemáticas simples nos alertan de la importancia de implementar políticas  de seguridad, a continuación hablaremos de algunas de ellas que deben de ser básicas en nuestras instalaciones y otras que de ser posible no se deben de dejar a un lado. Read the rest of this entry »