sip5060.net / en es

Planet SIP

March 08, 2023

Andrea Sannucci La Ong Sea-Watch usa Nexcloud
Si todavía tienen dudas acerca de como se toman en serio la privacidad los desarrolladores de NextCloud, pueden leer el siguiente articulo donde se habla acerca de la experiencia de Sea-Watch con Nextcloud.

Sea-Watch es una organización no gubernamental que trabaja con sus propios barcos en el Mediterráneo rescatando los inmigrantes que intentan llegar a las costas Europeas y/o vigilando que no haya violaciones de los derechos humanos.

Como pueden imaginar, con la cantidad de datos sensibles que manejan, no pueden confiar en los servicios brindados por las Big Tech pues optaron por NextCloud

¿Que opinan?
- Sea-Watch
- Nextcloud
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

March 06, 2023

Andrea Sannucci Kamailio: captura TLS con el modulo SIPTRACE y SNGREP
Retomando el articulo que he escrito hace un mes, les voy a mostrar la configuración que acabo de probar y me funcionó. Estoy utilizando un servidor VULTR con IP publica y IP privada. Empezando con Kamailio:

nano /etc/kamailio/kamailio.cfg

al inicio del archivo he definido una sentencia de forma que todo lo relacionado con el modulo SIPTRACE se activará solamente si esta sentencia existe:

#!define WITH_SIPTRACE

luego en el bloque módulos he configurado:

#!ifdef WITH_SIPTRACE

loadmodule "siptrace.so"

#!endif

para cargar el modulo y:

#!ifdef WITH_SIPTRACE

# ----- siptrace module -----

modparam("siptrace", "trace_mode", 4)

modparam("siptrace", "trace_to_database", 0)

modparam("siptrace", "trace_on", 1)

modparam("siptrace", "duplicate_uri", "sip:10.39.96.15:9060")

modparam("siptrace", "hep_mode_on", 1)

modparam("siptrace", "hep_version", 3)

modparam("siptrace", "hep_capture_id", 1234)

#!endif

para configurar los parámetros del modulo. 10.39.96.15 es la IP Privada de mi servidor. En el bloque de enrutamiento he añadido dos bloques; uno después de esta linea:

request_route {

que es:

#!ifdef WITH_SIPTRACE

sip_trace_mode("t");

#!endif

y uno al final del archivo:

#!ifdef WITH_SIPTRACE

onsend_route {

if (is_method("ACK")) {

sip_trace();

}

}

#!endif

he guardado los cambios y reiniciado kamailio:

systemctl restart kamailio

luego he ejecutado SNGREP con los siguientes parámetros:

sngrep -l 4000 -R -d enp6s0 -L udp:10.39.96.15:9060

El resultado de un REGISTER y un INVITE respectivamente:

Me comentan como les fue
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo
Andrea Sannucci La Nsima caída de TWITTER
El pasado miércoles, primero de marzo 2023, Twitter ha padecido una nueva caída de los servicios a nivel mundial; esto ha pasado a las 10:20 hora de Inglaterra y, a pesar que los servicios se han restablecidos por completo después de una hora, solamente al finalizar la tarde todos los usuarios han podido volver a acceder regularmente.

Seguramente, los despidos en los departamentos críticos hechos por Elon Musk tienen que ver con esta situación; situación laboral menos apetecible, caída de la red interna de comunicación basada en Slack, falta de seguridad acerca del futuro para los empleados, ingenieros trasladados de Tesla a Twitter para tapar los huecos.

En el transcurso de este año hubo 5 caídas del sistema mientras en todo el 2022 hubo 10. En dos meses se alcanzaron las caídas de seis meses del año anterior.

¿Qué nos dice todo esto?

Que si nuestra empresa “depende” de servicios de terceros, debemos empezar a pensar en soluciones alternativas que nos permitan seguir trabajando pase lo que pase. Desde mi punto de vista esto quiere decir:

Utilizar Mastodon en lugar de Twitter o por lo menos tenerlo a la mano en el caso se necesite pasar de uno a otro

crear su propio servidor de correo electrónico

almacenar sus datos en sus propios servidores con Nextcloud

utilizar su proprio sistema de mensajería instantánea por lo menos dentro de su empresa: Ejabberd o, mejor aún, Element

En lo general evitar de depender de servicios de terceros; Esto también por temas de seguridad y privacidad.
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

March 01, 2023

Andrea Sannucci Libro: The Joy of Cryptography
Este libro, distribuido gratuitamente, es completamente dedicado a la criptografía. La palabra Joy no es traducible al español ya que su significado es más que alegría… En italiano tenemos una traducción para esa palabra y es gioia… El alemán también tiene su correspondiente palabra que es freude, de ahí el Ode an die Freude de Beethoven (Himno a la ¿Alegría?)

Como se pueda amar la criptografía hasta probar “gioia” en estudiarla, aplicarla, para mi es algo totalmente desconocido e inimaginable.

Ya que estoy me gustaría compartir una novela sobre el tema que he leído el año pasado y que me ha encantado: El Don del autor chino Mai Jia; si la leen me cuentan

Volviendo al libro se compone de 16 capítulos de 0 a 15. El capitulo 0 es una introducción a la criptografía, los capítulos de 1 a 12 están dedicados a la criptografía simétrica mientras los últimos tres a la criptografía asimétrica. A seguir el Indice:

0 Review of Concepts & Notation 1

0.1 Logs & Exponents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

0.2 Modular Arithmetic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

0.3 Strings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

0.4 Functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

0.5 Probability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

0.6 Notation in Pseudocode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

0.7 Asymptotics (Big-O) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1 One-Time Pad & Kerckhoffs’ Principle 10

1.1 What Is [Not] Cryptography? . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.2 Specifcs of One-Time Pad . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2 The Basics of Provable Security 21

2.1 How to Write a Security Defnition . . . . . . . . . . . . . . . . . . . . . . 21

2.2 Formalisms for Security Defnitions . . . . . . . . . . . . . . . . . . . . . . 25

2.3 How to Demonstrate Insecurity with Attacks . . . . . . . . . . . . . . . . . 30

2.4 How to Prove Security with The Hybrid Technique . . . . . . . . . . . . . 33

2.5 How to Compare/Contrast Security Defnitions . . . . . . . . . . . . . . . 38

3 Secret Sharing 47

3.1 Defnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

3.2 A Simple 2-out-of-2 Scheme . . . . . . . . . . . . . . . . . . . . . . . . . . 51

3.3 Polynomial Interpolation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

3.4 Shamir Secret Sharing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

3.5 Visual Secret Sharing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

4 Basing Cryptography on Intractable Computations 67

4.1 What Qualifes as a “Computationally Infeasible” Attack? . . . . . . . . . . 67

4.2 What Qualifes as a “Negligible” Success Probability? . . . . . . . . . . . . 70

4.3 Indistinguishability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

4.4 Birthday Probabilities & Sampling With/out Replacement . . . . . . . . . . 76

5 Pseudorandom Generators 85

5.1 Defnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

5.2 Pseudorandom Generators in Practice . . . . . . . . . . . . . . . . . . . . . 87

5.3 Application: Shorter Keys in One-Time-Secret Encryption . . . . . . . . . 90

5.4 Extending the Stretch of a PRG . . . . . . . . . . . . . . . . . . . . . . . . . 92

5.5 Applications: Stream Cipher & Symmetric Ratchet . . . . . . . . . . . . . . 98

6 Pseudorandom Functions & Block Ciphers 106

6.1 Defnition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

6.2 PRFs vs PRGs; Variable-Hybrid Proofs . . . . . . . . . . . . . . . . . . . . . 110

6.3 Block Ciphers (Pseudorandom Permutations) . . . . . . . . . . . . . . . . . 120

6.4 Relating PRFs and Block Ciphers . . . . . . . . . . . . . . . . . . . . . . . . 121

6.5 PRFs and Block Ciphers in Practice . . . . . . . . . . . . . . . . . . . . . . 124

6.6 Strong Pseudorandom Permutations . . . . . . . . . . . . . . . . . . . . . . 125

7 Security Against Chosen Plaintext Attacks 130

7.1 Limits of Deterministic Encryption . . . . . . . . . . . . . . . . . . . . . . 130

7.2 Pseudorandom Ciphertexts . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

7.3 CPA-Secure Encryption Based On PRFs . . . . . . . . . . . . . . . . . . . . 135

8 Block Cipher Modes of Operation 144

8.1 A Tour of Common Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

8.2 CPA Security and Variable-Length Plaintexts . . . . . . . . . . . . . . . . . 147

8.3 Security of OFB Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149

8.4 Padding & Ciphertext Stealing . . . . . . . . . . . . . . . . . . . . . . . . . 152

9 Chosen Ciphertext Attacks 162

9.1 Padding Oracle Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

9.2 What Went Wrong? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

9.3 Defning CCA Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

9.4 A Simple CCA-Secure Scheme . . . . . . . . . . . . . . . . . . . . . . . . . 171

10 Message Authentication Codes 182

10.1 Defnition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

10.2 A PRF is a MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

10.3 MACs for Long Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191

10.4 Encrypt-Then-MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

11 Hash Functions 201

11.1 Security Properties for Hash Functions . . . . . . . . . . . . . . . . . . . . 201

11.2 Merkle-Damgård Construction . . . . . . . . . . . . . . . . . . . . . . . . . 205

11.3 Hash Functions vs. MACs: Length-Extension Attacks . . . . . . . . . . . . 208

12 Authenticated Encryption & AEAD 214

12.1 Defnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

12.2 Achieving AE/AEAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217

12.3 Carter-Wegman MACs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

12.4 Galois Counter Mode for AEAD . . . . . . . . . . . . . . . . . . . . . . . . 225

13 RSA & Digital Signatures 227

13.1 “Dividing” Mod n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

13.2 The RSA Function . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232

13.3 Digital Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

13.4 Chinese Remainder Theorem . . . . . . . . . . . . . . . . . . . . . . . . . . 240

13.5 The Hardness of Factoring N . . . . . . . . . . . . . . . . . . . . . . . . . . 244

14 Diffe-Hellman Key Agreement 254

14.1 Cyclic Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

14.2 Diffe-Hellman Key Agreement . . . . . . . . . . . . . . . . . . . . . . . . . 255

14.3 Decisional Diffe-Hellman Problem . . . . . . . . . . . . . . . . . . . . . . 256

15 Public-Key Encryption 260

15.1 Security Defnitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260

15.2 One-Time Security Implies Many-Time Security . . . . . . . . . . . . . . . 261

15.3 ElGamal Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264

15.4 Hybrid Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

Index of Security Defnitions 271

Encuentran una copia del libro en anexo a esta entrada.

Me cuentan

Adjunto Tamaño

the_joy_of_cryptography.pdf 4.11 MB
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

Adjunto	Tamaño
the_joy_of_cryptography.pdf	4.11 MB

February 16, 2023

Andrea Sannucci Kamailio y el modulo DB_CLUSTER
Tengo que ser sincero; desconocía por completo la existencia de este modulo y la verdad enterarme de su existencia ha sido un descubrimiento muy interesante. Este modulo permite crear una serie de conexiones a base de datos y luego aprovecharlas en los distintos módulos que utilizan o pueden utilizar una base de datos para su configuración/funcionamiento.

Vamos por pasos. Para que el modulo funcione correctamente, depende de un conector database, es decir de una modulo que permite el utilizo de una base de datos; normalmente, en Kamailio, el modulo utilizado es DB_MYSQL, aunque no es el único disponible.

Luego se puede pasar a la configuración del modulo donde se crean, una por linea, las conexiones a las base de datos. Un ejemplo de la configuración del modulo, podría ser:

loadmodule "db_mysql"

loadmodule "db_cluster"

modparam("db_cluster", "connection", "c1=>mysql://kamailio:kamailiorw@192.168.1.2/kamailio")

modparam("db_cluster", "connection", "c2=>mysql://kamailio:kamailiorw@192.168.1.3/kamailio")

modparam("db_cluster", "cluster", "cl1=>c1=9r9p;c2=8r8p")

modparam("db_cluster", "inactive_interval", 180)

la explicación linea por linea:

se carga un modulo base de datos de que depende el modulo DB_CLUSTER

se carga el modulo DB_CLUSTER

se crean la conexiones (una por linea) siguiendo la sintaxis:

motor de base de datos

usuario

contraseña

IP/dominio donde se encuentra la base de datos

nombre de la base de datos

se crea el cluster indicando el nombre (cl1) seguido por las conexiones que va a utilizar el cluster (c1 y c2). A cada conexión hay que añadir 4 valores; los primeros dos relacionados con las operaciones de lectura y los segundos dos con las operaciones de escritura. El primer numero indica el nivel de prioridad que va de 0 a 9; 0 significa que la conexión no se utilizará, 9 es la prioridad más alta. La letra que sigue indica como se utilizará el cluster para las operaciones de lectura:

s significa operación serial se utiliza la primera conexión y si falla la siguiente

r round robin; se utilizan las conexiones disponibles de manera aleatoria

p se utiliza solamente para operaciones de escritura y significa que se realizará la operación paralelamente en todas las base de datos

En nuestro ejemplo la conexión c1 se utilizará round robin con una prioridad 9 para lectura y opción paralela con prioridad 9 para escritura

La conexión c2 se utilizará round robin con una prioridad 8 para lectura y opción paralela con prioridad 8 para escritura

Luego, para los módulos que se pueden apoyar en una base de datos para su funcionamiento/configuración se indica el nombre del cluster como conexión a la base de datos; dos ejemplos:

modparam("acc", "db_url", "cluster://cl1")

modparam("usrloc", "db_url", "cluster://cl1")

donde cl1 es el nombre de la conexión configurada en el parámetro cluster del modulo DB_CLUSTER

Como la escritura se ha configurado de manera paralela, los datos presente en las distintas tablas de las dos base de datos deberían ser idénticos. No he hecho todavía la prueba pero les estaré comentando.
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

February 03, 2023

Andrea Sannucci Capturar señalización SIP Cifrada con SNGREP
SNGREP es seguramente uno de mis programas preferidos para la captura de la señalización SIP y para tener traza del flujo media. El programa es desarrollado por la empresa Basca/Española Irontec.

El problema es que no es posible de manera predefinida capturar la señalización SIP cifrada (tls, wss) que es propiamente lo que se necesita más en estos últimos tiempos ya que todo es WebRTC y SIP TLS.

Entre las distintas opciones de SNGREP hay una que permite capturar paquetes encapsulados con protocolo HEP, el protocolo utilizado para enviar normalmente el trafico a un servidor Homer SIP Capture Server. Kamailio y OpenSIPs tienen módulos dedicados para este tipo de tarea y nada más realizar la configuración en ellos y luego iniciar SNGREP con:

sngrep -L udp:1.2.3.4:5065

L es la opción que permite a SNGREP ponerse a la escucha para paquetes de tipo HEP

udp protocolo de trasporte de los paquetes recibidos

1.2.3.4 IP donde sngrep se pondrá a la escucha

5065 puerto donde sngrep se pondrá a la escucha

En este articulo encuentran toda la configuración para Kamailio. Me comentan si les funcionó
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

January 31, 2023

Andrea Sannucci Curso A2Billing integrado con OpenSIPs
Uno podría pensar que A2Billing, un sistema de facturación de llamadas basado en Asterisk, es algo obsoleto, que no se puede utilizar y no funciona correctamente. La verdad es que yo también pensaba lo mismo pero luego de una pequeña investigación me di cuenta que:

a pesar de pequeñas limitaciones, sigue funcionando correctamente también con la versión de PHP 7.2 utilizada por Almalinux 8 y Rocky Linux 8; yo lo uso con PHP 7.3 sin problemas.

Almalinux o Rocky Linux 8 tienen soporte hasta el primero de marzo de 2029

Asterisk 18, la versión utilizada junto al canal chan_sip funciona sin problemas y el canal chan_sip se puede utilizar hasta la versión 20 de Asterisk que tiene soporte hasta el diecinueve de octubre del 2027

OpenSIPs 3.1 funciona perfectamente con Almalinux 8 y se integra sin problemas con A2Billing y se puede actualizar a las versiones más recientes con poco esfuerzo; de hecho al finalizar el curso se indicará como actualizar la versión 3.1 a la versión 3.2

Actualmente no hay un sistemas de facturación Open Source que estén a la altura o que se puedan articular como A2Billing con OpenSIPs. Los programas que he tomado en cuenta:

ASTPP, programa de facturación de llamadas basado en FreeSWITCH tiene muchas limitaciones, se basa en distribuciones Linux casi obsoletas y está lleno de errores; además de eso los desarrolladores van quitando siempre más opciones y menú para volverlos de pago

IvozProvider es seguramente una aplicación solida, considerando la empresa que hay detrás, pero si se quiere empezar a escalar horizontalmente distribuyendo los servicios en distintos servidores, no hay casi documentación al respecto

SPCE Community Edition siempre me ha parecido difícil de instalar, configurar y gestionar. Aunque hay bastante documentación no me parece amigable. Como es el caso de IvozProvider no se explica como poder escalar horizontalmente.

a MagnusBilling tengo que darle otra oportunidad pero volvemos al tema de escalar horizontalmente y utiliza distribuciones Linux que están cerca de su End Of Life (debian 11 2026 y CentOS 7 (2024)

Por eso he decidido dictar este curso a distancia dedicado a la integración de OpenSIPs con A2Billing. Al terminar el curso aprenderán:

Preparación del Servidor Linux con Almalinux 8 64bit

Instalación Asterisk 18.16.0 o superior

Instalación A2Billing 2.3.0

Configuración base A2Billing

Configuración avanzada A2Billing

Instalación OpenSIPs 3.1

OpenSIPs – balanceo de carga

OpenSIPs como Registrar

Llamadas entre usuarios desde OpenSIPs

Presencia y mensajes instantáneos entre usuarios desde OpenSIPs

Autenticación INVITE con usuario y contraseña y/o sobre IP en OpenSIPs

Gestión de DIDs integrada entre A2Billing y OpenSIPs

Sistema de tarjetas telefónicas

Monitoreo y seguridad del servidor

¿Cómo funciona?

El curso se divide en módulos. Cada semana se presentará un modulo que contiene una parte teórica, una practica y una videoconferencia. El modulo se compone de partes textuales y foros. Cada estudiante podrá acceder al campus las 24 horas y ir desarrollando las tareas programadas. Las videoconferencias tendrán lugar cada lunes a las 2pm hora de Colombia. Para aquellos que no podrán participar, el día siguiente estará disponible la grabación en la pagina principal del curso. Las videoconferencias tendrán como temas:

1. Presentación del protocolo SIP

2. Pagina de administración de A2Billing

3. La configuración de OpenSIPs

6. La calidad de las llamadas SIP

¿Donde se dicta el curso?

El curso es a distancia y se dicta en el Campus de VozToVoice.

Carga horaria aproximada: 10 horas/semana

¿Cuanto cuesta?

El valor del curso es de 160 dólares o 145 Euros o 725mil pesos Colombianos

Descuentos:

• 15% pronto pago/inscripción temprana; pagos realizados antes del 13 de Febrero 2023

• 20% para grupos de 3 o más personas de la misma empresa

• 25% para inscritos que ya han participado en un curso organizado por VozToVoice

Formas de pago:

Paypal

Tarjeta de Crédito/Débito

Transferencia bancaria Colombia

Bonifico Zona Euro

El precio incluye:

• Un VPS (servidor virtual privado) por cada inscrito

• Una cuenta SIP para realizar llamadas

• Una copia del libro, de VozToVoice, dedicado a la integración de A2Billing con OpenSIPs (aunque no totalmente actualizado)

Al terminar el curso se entregará un certificado de asistencia de 40 horas, respaldado por la empresa Mesa Proyectos SAS.

Para inscripciones
Adjunto Tamaño

programa_curso_a2bsip.pdf 73.71 KB
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

Adjunto	Tamaño
programa_curso_a2bsip.pdf	73.71 KB

December 16, 2022

Andrea Sannucci Gmail, HotMail y afines: ¡Cuantos correos se me pierden?
¡Muchos!

Justamente hoy temprano estaba mirando mi cliente de correo (Thunderbird) y en especifico algunos correos que rebotaron; la dirección de ambos? Gmail. Prácticamente Gmail los rechaza solamente porque tienen un anexo. Ese anexo es un archivo en formato CSV con el CDR de las llamadas del día anterior; esas dos personas se quedarán sin su CDR porque Gmail ha decidido que mis anexos son peligrosos, SPAM, código sospechoso…

Otra cosa que me tocaba hacer todo el tiempo cuando tenía una cuenta Gmail: revisar la carpeta de SPAM para ver si Gmail ¿Por error? se había “comido” algún correo legitimo. ¡Una desgracia!

En más de una ocasión no he hablado bien de esas BigTech y este es otro motivo para que dejen de utilizar sus servicios y empiecen a mirar hacia servicios alternativos. Como ya se comentan en muchos ambientes, lo gratuito sale caro económicamente y en términos de privacidad.

Otra cosa que me ha pasado últimamente es que Hotmail/Microsoft ha decidido de un día para otro que uno de mis servidores de correos era fuente de SPAM y me lo ha bloqueado. Afortunadamente los chic@s del soporte de Linode se han encargado de resolver el problema y en unos días lo han resuelto. Claramente Microsoft no ha dado ningún tipo de explicación del porque mi servidor había sido bloqueado.

Algunos servicios alternativos y que respetan su privacidad:

Proton Mail – versión gratuita y de pago

MailBox – desde 1 Euro/mes

Tu propio servidor de correo – desde 5 dólares/mes (o menos).

Estoy escribiendo un manual para que puedan montar su propio servidor de privacidad que va a permitirles:

Utilizar una Red VPN

Tener su propio servidor de correo electrónico

Tener datos en la nube y mucho más con Nextcloud

Tener su propio servidor de chat, videollamadas y videoconferencias con Matrix

Seguramente lo tendré listo al iniciar el próximo año. Es un proyecto completamente libre y todo aquellos que quieran pueden participar para mejorarlo.
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

December 10, 2022

Andrea Sannucci Pagina en Blanco actualizando NextCloud a la versión 25.0.2
Hoy me encontré con un problema bastante serio y es que cuando me fui a actualizar NextCloud desde la versión 24.0.8.2 a la versión 25.0.2, después que el sistema realizara la copia de backup y otras operaciones, me apareció una pagina completamente blanca y no podía seguir con la actualización y el sistema no estaba funcionando. Revisando los LOG me di cuenta que el problema era este:

[php7:error] [pid 29825] [client 181.235.107.65:61552] PHP Fatal error: Declaration of OCA\\Talk\\Share\\RoomShareProvider::getSharesInFolder($userId, OCP\\Files\\Folder $node, $reshares): array must be compatible with OCP\\Share\\IShareProvider::getSharesInFolder($userId, OCP\\Files\\Folder $node, $reshares, $shallow = true) in /var/www/nextcloud/apps/spreed/lib/Share/RoomShareProvider.php on line 520

la aplicación spreed es también conocida como Talk y es la que permite chat y videoconferencias para pequeños grupos de usuarios (máximo 4). La verdad yo casi no la uso pero no sabía como se deshabilitaba para poder seguir con la actualización. Buscando en la red me encontré con una pagina donde se explicaba como realizar operaciones sobre las aplicaciones directamente desde la linea de comando de Nextcloud pues lo que hice primero fue ver la lista de aplicaciones:

sudo -u apache php /var/www/nextcloud/occ app:list

occ es el programa que nos permite realizar este tipo de operaciones. Tienen que cambiar /var/www/nextcloud con la carpeta donde se encuentra instalado su nextcloud. Luego para deshabilitar la aplicación:

sudo -u apache php /var/www/nextcloud/occ app:disable spreed

recargando la pagina ya pude seguir con la actualización. Al finalizar me pidió que actualizara los indices de las tablas de la base de datos:

sudo -u apache php /var/www/nextcloud/occ db:add-missing-indices

Tengan en cuenta que para mejorar las prestaciones de esta versión deberían actualizar php a la versión 8.

Eso es todo
- Nextcloud
- Talk
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

December 05, 2022

Andrea Sannucci VideoCurso FusionPBX – Interfaz grafica para FreeSWITCH y mucho más
FusionPBX es una interfaz grafica (GUI) para Freeswitch pero es también mucho más. A través de FusionPBX es posible añadir funcionalidades y configuraciones de una forma más cómoda y más fácil de gestionar. Viene con toda una serie de configuraciones predefinidas que permiten crear de manera rápida y sencilla conferencias audio/video, colas de espera con relativos agentes, llamadas automáticas programables, desvío, servicio sígueme.

La gran fortaleza de esta solución es que se instala en menos de 15 minutos utilizando uno script creado por los desarrolladores. La distribución Linux aconsejada es Debian 11 y es la que utilizaremos en este VideoCurso.

¿Qué necesitan para participar?

Una conexión de banda ancha

conocimientos básicos de FreeSWITCH (no indispensable)

3 horas disponibles el 17 de diciembre de 9 am a 12 pm hora de Colombia :)

El softphone Grandstream Wave para celular si quieren realizar pruebas a lo largo de la videoconferencia

¿Qué aprenderán?

Preparación del servidor

Instalación de FusionPBX

Arquitectura de FusionPBX, dominios, menú, usuarios y grupos

Crear extensiones

Aprovisionamiento de las extensiones y Softphone GS Wave

Configuración de los Gateway para las llamadas salientes

Configuración de las reglas para las llamadas salientes

Configuración de un Ring Group

Configuración de las llamadas entrantes y desvío a el Ring Group creado

Configuración de las conferencias audio y videoconferencias

Configuración de los agentes y las colas de espera

Configuración del desvío de llamadas y aplicación Sígueme

Creación de un IVR – Contestadora automática

Configuración del cifrado de la señalización SIP y del flujo media

Actualizar y monitorear el sistema

El costo del curso es de 35 dólares y si están interesados deben rellenar el siguiente formulario de inscripción.

En anexo a esta entrada encuentran el temario y más informaciones.

Los espero.
Adjunto Tamaño

programa_curso_fusionpbx.pdf 79.24 KB

Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

Adjunto	Tamaño
programa_curso_fusionpbx.pdf	79.24 KB

November 30, 2022

Andrea Sannucci Nextcloud Recognize Aplicación
En Nextcloud, instalando la aplicación Photos permite guardar todas las fotos en la plataforma y, configurado oportunamente, subir de manera automática las fotos desde los dispositivos mobiles y/o tabletas; algo parecido a lo que hacemos con iCloud y Google Drive.

Una vez que tengamos nuestras fotos guardadas en Nextcloud, podemos instalar otra aplicación, Recognize, que se ocupara de organizarla utilizando la inteligencia artificial, en específicos componente desarrollados por Google pero disponibles bajo licencia Apache. Esta aplicación permite organizar las fotos en categorias ya que es capaz de:

identificar caras y fotos de grupo por las caras

identificar animales, paisajes, comida, vehículos, edificios y otros objetos

identificar señales y monumentos importantes

identificar géneros musicales

El proyecto se encuentra en esta pagina.

Pueden descargar y activar la aplicación directamente desde la pagina de administración de Nextcloud:

y luego acceder a la pagina de configuración de la app

Es todo
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

November 25, 2022

Andrea Sannucci Matrix, Synapse server: Comunicaciones unificadas en tu propio servidor
La verdad conocía el proyecto Matrix desde hace rato y siempre me había parecido algo muy pero muy interesante y potente. En los últimos tiempos el proyecto ha mejorado mucho, los clientes están disponibles para cualquier plataforma y la instalación del servidor se ha vuelto bastante sencilla. Es por eso que he decidido incluirlo en mi “proyecto” de servidor de privacidad.

He realizado la instalación y configuración en un servidor de 5 dólares con la distribución Linux Fedora 37 para aprovechar la presencia del servidor en los repositorios en lugar de proceder a la instalación desde las fuentes. Una vez iniciado y actualizado el servidor, se instala el paquete:

dnf install matrix-synapse -y

luego para crear los distintos archivos de configuración se ejecuta:

/usr/bin/synapse_homeserver --generate-config -H privacidad.xyz -c /etc/synapse/homeserver.yaml --report-stats=yes

privacidad.xyz es el nombre de dominio asociado al servidor

/etc/synapse/homeserver.yaml es el nombre y carpeta donde se creará el archivo de configuración

--report-stats=yes si se quieren enviar o no las estadísticas de uso a los desarrolladores

el paso a seguir es modificar el archivo de configuración porque algunas configuraciones predefinidas no se adaptan perfectamente al servidor en uso:

nano /etc/synapse/homeserver.yaml

se borra el contenido del archivo y se copia:

server_name: "privacidad.xyz"

pid_file: /run/synapse/homeserver.pid

listeners:

- port: 8448

tls: true

type: http

x_forwarded: true

resources:

- names: [client, federation]

compress: false

tls_certificate_path: "/etc/synapse/fullchain.pem"

tls_private_key_path: "/etc/synapse/privkey.pem"

federation_client_minimum_tls_version: 1.2

turn_uris: [turn:turn.privacidad.xyz]

turn_shared_secret: "92a77cbcc2d55841f8b3850ff56bc3f1"

turn_user_lifetime: 1h

turn_allow_guests: false

database:

name: sqlite3

args:

database: /etc/synapse/homeserver.db

log_config: "/etc/synapse/privacidad.xyz.log.config"

media_store_path: /home/media_store

registration_shared_secret: "^mDfjZKHp-xM_T8_oVe2@3.vLcxu4=7S6fFPZ18m3eRN:9^@0q"

report_stats: true

macaroon_secret_key: "c7=+Tqo_#4#uPkor^K6oyc0cfVTiLE,kzz_RzTp=+d:5r4a84V"

form_secret: "w,~y^;Zv.AZ~I^VZN.&YBAE@wqJVka*4jTV=SamG9IMZS50QK="

signing_key_path: "/etc/synapse/privacidad.xyz.signing.key"

trusted_key_servers:

- server_name: "matrix.org"

Los datos más importantes:

server_name: "privacidad.xyz" nombre del dominio asociado al servidor

pid_file: /run/synapse/homeserver.pid nombre y carpeta donde se creará el proceso una vez iniciado el programa

bloque listeners: todo lo relacionado al puerto de escucha, conexión segura y tipo de conexión que aceptará el servidor

tls_certificate_path: y tls_private_key_path: nombre y carpeta donde se encontrarán los certificados que utilizar el servidor para la conexiones TLS

siguen unas lineas relacionadas con la configuración de la conexión al servidor STUN/TURN que puede estar instalado en el mismo servidor o en otro

tipo de base de datos utilizada y donde se encuentra; en este caso SQLite3

log_config: archivo donde se encuentra la configuración de todo lo relacionado con los LOG de Synapse

media_store_path: carpeta para guardar elementos media recibidos

unas lineas relacionadas con las claves utilizadas por el servidor en la comunicación con los clientes

En esta pagina aparece la lista completa de los parámetros que se pueden utilizar en el archivo de configuración. Como las carpetas /run/synapse y /home/media_store no existen, se crean y se cambian los permisos ya que el servidor arranca con usuario y grupo synapse:

mkdir /run/synapse

chown -Rf synapse:synapse /run/synapse

mkdir /media_store

chown synapse:synapse /media_store/

Luego se abre el archivo de configuración del LOG:

nano /etc/synapse/privacidad.xyz.log.config

y se modifica el parámetro filename para que quede:

filename: /var/log/homeserver.log

Se guardan los cambios, se crea el archivo y se cambian los permisos:

touch /var/log/homeserver.log

chown synapse:synapse /var/log/homeserver.log

Falta la creación de los certificados:

dnf install certbot -y

Luego:

certbot certonly --standalone -m yo@micorreo.org -d privacidad.xyz

se copian en la carpeta indicada en el archivo de configuración de Synapse y se cambian los permisos:

cp /etc/letsencrypt/live/tls.kamailio.club/fullchain.pem /etc/synapse

cp /etc/letsencrypt/live/tls.kamailio.club/privkey.pem /etc/synapse

chown synapse:synapse /etc/synapse/fullchain.pem

chown synapse:synapse /etc/synapse/privkey.pem

Ya podemos iniciar el servidor:

systemctl start synapse

y configurar para que arranque con el sistema:

systemctl enable synapse

Si no aparecen errores ya se pueden crear los primeros dos usuarios, uno como administrador y uno normal:

register_new_matrix_user -u admin -p password -t bot -a -c /etc/synapse/homeserver.yaml

Sending registration request...

Success!

register_new_matrix_user -u fulano -p password -t bot --no-admin -c /etc/synapse/homeserver.yaml

Sending registration request...

Success!

Ahora podemos descargar el cliente disponible para todas las plataformas y registrar el primer usuario:

en la pagina que sigue indicar usuario y contraseña y listo. He probado chat, llamadas audio, videollamadas y Videoconferencias (se apoya en Jitsi) y la verdad me pareció muy bueno.
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

November 21, 2022

Andrea Sannucci BigBlueButton – Acceder a una conferencia llamando un numero de teléfono
Si utilizamos BigBlueButton integrado con Moodle, para dictar conferencias, se puede presentar el problema, raro, que algún participante no pueda utilizar el audio del computador/tableta o no le funcione. Para que se pueda acceder a la parte audio de la conferencia podemos utilizar un numero geográfico y enrutar las llamadas entrantes a la conferencia. En BBB integrado con Moodle al programar una videoconferencia se le asigna un numero único. Ese numero, de 5 dígitos es él que tendrá que marcar quien quiera acceder vía DID cuando el sistema se lo pida. Lo único que todavía no he resuelto es como conocer el numero asignado a la conferencia sin tener que acceder una primera vez a ella. Los pasos a seguir:

1. Como el perfil SIP configurado en BBB trabaja sobre el puerto 5060 y de manera predefinida ese puerto, por temas de seguridad está cerrado, lo tenemos que abrir para la IP o las IPs desde donde van a llegar las llamadas entrantes del proveedor:

ufw status numbered

si las primeras lineas son estas:

y la IP del proveedor es 1.2.3.4, la añadimos de la siguiente forma:

ufw insert 3 allow 5060/udp from 1.2.3.4

2. Programamos una videoconferencia en Moodle utilizando la integración con BigBueButton

3. Accedemos a la videoconferencia una primera vez y luego accedemos a la consola de FreeSWITCH. Para hacerlo tenemos que buscar la contraseña en este archivo:

nano /opt/freeswitch/etc/freeswitch/autoload_configs/event_socket.conf.xml

y anotamos el valor en negrita:

<param name="password" value="97fdc5d3583edcf1"/>

luego:

/opt/freeswitch/bin/fs_cli -p 97fdc5d3583edcf1

una vez en la consola escribimos:

freeswitch@bbb1> conference + tecla tabulador

aparecerá el numero de la conferencia:

freeswitch@bbb1> conference 77627

77627 es el numero de la conferencia asignado.

3. Ahora podemos pasar a la configuración del dialplan de FreeSWITCH. Creamos el siguiente archivo:

nano /opt/freeswitch/etc/freeswitch/dialplan/public/00_did.xml

copiamos las lineas que siguen:

<extension name="proveedor_DID">

<condition field="destination_number" expression="^13057288421">

<action application="start_dtmf" />

<action application="answer"/>

<action application="sleep" data="1000"/>

<action application="play_and_get_digits" data="5 7 3 30000 # conference/conf-pin.wav ivr/ivr-that_was_an_invalid_entry.wav pin \d+"/>

<action application="transfer" data="conferencia XML public"/>

</condition>

</extension>

<extension name="check_if_conference_active">

<condition field="${conference ${pin} list}" expression="/sofia/g" />

<condition field="destination_number" expression="^conferencia$">

<action application="set" data="bbb_authorized=true"/>

<action application="transfer" data="${pin} XML default"/>

</condition>

</extension>

<extension name="conf_bad_pin">

<condition field="${pin}" expression="^\d{5}$">

<action application="answer"/>

<action application="sleep" data="1000"/>

<action application="play_and_get_digits" data="5 7 3 30000 # conference/conf-bad-pin.wav ivr/ivr-that_was_an_invalid_entry.wav pin \d+"/>

<action application="transfer" data=" conferencia XML public"/>

</condition>

</extension>

13057288421 es el numero geográfico utilizado (en este caso de Miami) desde el cual se recibirán las llamadas. Una vez que la llamada entre será contestada y al llamante se le pedirá digitar el numero de la conferencia, que como dijimos es 77627; después de los 5 dígitos el usuario tendrá que marca la tecla almohadilla (o tecla numero). Si el numero digitado es correcto, se enviará la llamada al la extensión marcada, XML, contexto default, donde se procesará en este bloque:

<extension name="bbb_conferences">

<condition field="${bbb_authorized}" expression="true" break="on-false" />

<condition field="destination_number" expression="^(\d{5,11})$">

<action application="set" data="jitterbuffer_msec=60:120" />

<action application="set" data="rtp_jitter_buffer_plc=true" />

<action application="set" data="rtp_jitter_buffer_during_bridge=true" />

<action application="set" data="suppress_cng=true" />

<action application="answer" />

<action application="conference" data="$1@cdquality" />

</condition>

</extension>

En Moodle:
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

November 16, 2022

Andrea Sannucci GOOGLE es una desgracia: ¿Alguien todavía lo duda?
Acabo de leer este articulo y la verdad me quedé sin palabras. Dos padres envían una foto de su respectivo hijo a su respectivo medico que las solicitó para revisar un problema de piel, las fotos se suben de manera automática a Google Cloud y el algoritmo de Google las cataloga como fotos relacionadas con la explotación sexual de menores / Pedofilia y bloquea la cuenta de los dos usuarios. Hasta aquí no sería nada del otro mundo; el problema es que a pesar de todos los pasos realizados, los padres no han podido volver a tener acceso a su cuenta y han perdido, quizás de manera definitiva:

su cuenta GMAIL

su lista de CONTACTOS

las fotos presentes en GOOGLE FOTOS

su MUSICA

códigos de seguridad para otros sitios Web

posibilidad de generar el segundo factor de autenticación para otros sitios

eventuales números de teléfonos contratados con GOOGLE

En pocas palabras, gran parte de su vita digital. La fuente original del articulo es el New York Times.

No es por hacerme publicidad pero estoy trabajando a un sistema integrado de privacidad para que puedan abandonar definitivamente a las Big Tech y tener su propia privacidad. En un único servidor estoy configurando:

OpenVPN para tener su propia VPN y no pagar por el servicio o utilizar un servicio gratuito que quien sabe como trata sus datos

Un servidor de correo electrónico para enviar y recibir correos y no depender de ningún proveedor externo

Un almacén de datos en la nube, tipo Google Cloud donde poder guardar sus datos, fotos, etc. A través de otras aplicaciones que se pueden instalar, su consola Web de correo, su calendario y su sistema de videoconferencia (hasta 4 usuarios). Hablo de NextCloud

Un servidor de mensajería instantánea para tener su propio servidor de chat, envío de documentos y llamadas

Si se les ocurre algo más que añadirían, me comentan
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

November 12, 2022

Andrea Sannucci Cierre de la cuenta de Linkedin
Otra cuenta que he cerrado con un placer que ni les puedo contar, es la de Linkedin, otro basurero que la verdad no me aguantaba más. Me había subscrito a un grupo de Wholesale Voip donde esperaba encontrar buenas noticias acerca de tarifas, rutas y posibilidad de negocio y me he encontrado con un 98% de pura basura publicitaria. Buscar alguna noticia interesante entre tanta mierda la verdad no era agradable ni fácil.

Como esa cuenta no aportaba nada a mis negocios sino dolor de cabeza y pura noticias basura, he decidido cerrarla. Si quieren estar al tanto de lo que pasa en este sitio, pueden subscribirse a los FEED presentes en la pagina principal. Yo los uso para muchos sitios que me interesan y la verdad es la mejor forma de enterarse de las novedades. En Firefox hay un complemento que se llama RSS Feed Reader

Nos vemos ahí
- Linkedin
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

November 10, 2022

Andrea Sannucci Cierre de la cuenta de Twitter
Así como lo leen, voy a cerrar la cuenta de twitter por dos motivos:

Elon Musk podrá ser genio o no pero lo que si es cierto es que ha demostrado en más de una ocasión que no le gustan mucho la leyes laborales o que la gente tenga otra vida además del trabajo. Si el tiene ese problema, no significa que todos sus empleados tienen que tenerlo.

El 80% de lo que leo en Twitter es basura tipo fulano sigue zutano o fulano reenvío el twitter de no se quien. Ese 80% no aporta absolutamente nada a mis conocimientos/intereses.

Muy probablemente voy a instalar mi propio twitter o voy a unirme a un grupo de los que ya existen.

@voztovoice ya se fue
- Twitter
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo
Andrea Sannucci Configurar Nexcloud Talk con un servidor TURN
En este sitio hemos hablado de NextCloud en distintas ocasiones, desde su instalación, pasando por la migración desde servicios ofrecidos por Google, Microsoft, etc…, hasta llegar a hablar de la aplicación TALK (Hablar en español) que es una aplicación que permite realizar videoconferencias entre usuarios registrados en el mismo NextCloud aunque solamente para pequeños grupos (máximo 4). Quizás en otra entrada hablaré de la posibilidad de instalar un servidor de señalización para aumentar ese exiguo numero de participantes. Por ahora hablaré de como configurar el servidor TURN que hemos instalado y configurado en esta entrada. ¿Cuando necesitamos un servidor TURN? Cuando hay usuarios que se conectan desde sitios donde se aplican políticas estrictas de acceso a servicios externos, por ejemplo, permitiendo solamente el trafico hacia servidores web seguros (puerto 443/TCP). Mano a la obra; accedemos a nuestro servidor NextCloud como administrador y luego escogemos:

En la pagina que aparece, lado izquierdo, seleccionamos:

bajamos hasta encontrar el bloque con nombre Servidores STUN + donde:

y en TURN Servers +:

Los datos:

turns:only – Se utilizará el servidor TURN solamente sobre una conexión segura

turn.voztovoice.org:443 – sudominio y puerto donde escucha el servidor TURN

1cdda865dcad48953a5e2ca03da5a8b8 – la clave compartida como configurado en el servidor TURN

TCP Only – que se podrá utilizar solamente el protocolo de transporte TCP

Si la configuración es correcta y el servidor TURN contesta a la prueba de conexión, al final de la linea, aparecerá:

Si quieren una entrada dedicada a la instalación de la ultima versión de NextCloud, me comentan
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

November 08, 2022

Andrea Sannucci Instalar y Configurar un servidor TURN para BigBlueButton
Como les había anticipado en mi entrada anterior, en este articulo vamos a ver como instalar y configurar un servidor TURN para que los usuarios que se encuentren detrás de una NAT estricto, puedan acceder a las videoconferencias creadas con BBB y no tengan problemas de audio/video. El programa va instalado en un nuevo servidor y en mi caso he optado por Debian 11. Al servidor TURN se asignará un subdominio que en mi caso es turn.voztovoice.org que apuntará a las IPPublicas IPv4 y IPv6 del nuevo servidor. Iniciamos con actualizar el sistema:

apt update

apt upgrade

Continuamos con la instalación del programa, del cortafuegos ufw y del programa para crear los certificados con Let’s Encrypt:

apt install coturn ufw certbot

Creamos el certificado para el subdominio turn.voztovoice.org que luego se utilizará para la configuración de servidor TURN; para que se pueda crear sin problemas miramos si el puerto 80 está abierto en el cortafuegos:

ufw status numbered

en mi caso:

To Action From

-- ------ ----

[ 1] 22 ALLOW IN Anywhere

[ 2] 22 (v6) ALLOW IN Anywhere (v6)

pues lo añadimos:

ufw allow 80/tcp

luego creamos el certificado (PERSONALIZAR NOMBRE SUBDOMINIO Y CORREO ELECTRÓNICO):

certbot certonly --standalone -d turn.voztovoice.org -m campus@voztovoice.org

El resultado:

Let’s Encrypt, con que se ha creado el certificado, permite ejecutar uno script cada vez que se renueve un certificado. Utilizaremos esta característica para que se copien los archivos del certificado en una determinada carpeta y se cambien los permisos para que el usuario turnserver, el usuario con que arranca el servidor TURN, pueda acceder a ellos:

mkdir -p /etc/letsencrypt/renewal-hooks/deploy

nano /etc/letsencrypt/renewal-hooks/deploy/coturn

se copian las siguientes lineas y se PERSONALIZA EL DUBDOMINIO que aparece:

#!/bin/bash -e

for certfile in fullchain.pem privkey.pem ; do

cp -L /etc/letsencrypt/live/turn.voztovoice.org/"${certfile}" /etc/turnserver/"${certfile}".new

chown turnserver:turnserver /etc/turnserver/"${certfile}".new

mv /etc/turnserver/"${certfile}".new /etc/turnserver/"${certfile}"

done

systemctl kill -sUSR2 coturn.service

Se guardan los cambios y se cambiamos los permisos del archivo:

chmod 0755 /etc/letsencrypt/renewal-hooks/deploy/coturn

ya podemos pasar a la personalización del archivo de configuración del servidor TURN; lo abrimos:

nano /etc/turnserver.conf

y empezamos cambiando estas dos lineas:

#listening-port=3478

#tls-listening-port=5349

para que queden:

listening-port=3478

tls-listening-port=443

seguimos cambiando estas dos lineas:

#listening-ip=172.17.19.101

#relay-ip=172.17.19.105

para que queden (MODIFICAR IPPublicav4 y IPPublicav6 CON LA IP PUBLICA V4 Y IPPUBLICA V6 DEL SERVIDOR RESPECTIVAMENTE):

listening-ip=IPPublicav4

listening-ip=IPPublicav6

relay-ip=IPPublicav4

relay-ip=IPPublicav6

modificamos las dos lineas donde se configuran los puertos que utilizará el servidor TURN para redirigir el el flujo media:

#min-port=49152

#max-port=65535

para que queden:

min-port=32769

max-port=65535

se modifica la linea que sigue para activar un debug moderado:

#verbose

para que quede:

verbose

Las opciones que siguen permiten configurar el servidor TURN para que se pueda acceder solamente con una clave; esto para evitar que venga utilizado por otros usuarios y con otros possibles fines:

#fingerprint

#use-auth-secret

#static-auth-secret=north

#realm=mycompany.org

para que queden (PERSONALIZAR static-auth-secret Y realm):

fingerprint

use-auth-secret

static-auth-secret=1cdda865dcad48953a5e2ca03da5a8b8

realm=voztovoice.org

se modifican los parámetros que siguen para la configuración de la parte relacionadas con los certificados:

#cert=/usr/local/etc/turn_server_cert.pem

#pkey=/usr/local/etc/turn_server_pkey.pem

#cipher-list="DEFAULT"

#dh-file=<DH-PEM-file-name>

para que queden (PERSONALIZAR LAS PRIMERAS DOS LINEAS):

cert=/etc/turnserver/fullchain.pem

pkey=/etc/turnserver/privkey.pem

cipher-list="ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384"

dh-file=/etc/turnserver/dhp.pem

se configura para que los LOG del programa se guarden en un archivo dedicado, modificando estas dos lineas:

#log-file=/var/tmp/turn.log

syslog

para que queden:

log-file=/var/log/turnserver/turnserver.log

#syslog

Se desactiva la consola del servidor TURN, los protocolos tlsv1 y tlsv1.1 y el acceso desde IP utilizadas por el protocolo Multicast; esto modificando las siguientes lineas:

#no-cli

#no-multicast-peers

#no-tlsv1

#no-tlsv1

para que queden:

no-cli

no-multicast-peers

no-tlsv1

no-tlsv1

Se guardan los cambios y se crea el archivo dhp.pem:

mkdir -p /etc/turnserver

openssl dhparam -dsaparam -out /etc/turnserver/dhp.pem 2048

Se cambian los permisos del certificado que se acaba de crear:

chown turnserver:turnserver /etc/turnserver/dhp.pem

Para que el servidor TURN pueda escuchar sobre el puerto 443 TCP, puerto reservado a que no tienen acceso los programas que no se ejecutan con usuario root:

setcap cap_net_bind_service=+ep /usr/bin/turnserver

Se configura el archivo para la rotación de los archivos de LOG:

nano /etc/logrotate.d/coturn

Se copian las lineas que siguen:

/var/log/turnserver/*.log

{

rotate 7

daily

missingok

notifempty

compress

postrotate

/bin/systemctl kill -s HUP coturn.service

endscript

}

Se guardan los cambios y se crea la carpeta para los LOG como indicado en el archivo que se acaba de crear:

mkdir -p /var/log/turnserver

chown turnserver:turnserver /var/log/turnserver

Ejecutamos el archivo para mover los certificados ya que se ejecutará solamente cuando se renueven los certificados y nosotros los necesitamos ahora par poder iniciar el programa Coturn:

/etc/letsencrypt/renewal-hooks/deploy/coturn

Averiguamos que todos los certificados estén bien:

Abrimos los puertos configurados en el servidor TURN; para ver la configuración del Cortafuegos:

ufw status numbered

añadimos primero el puerto 443 udp/tcp utilizado por el protocolo TURN:

ufw allow 443/udp

ufw allow 443/tcp

y los puertos 3478:3479 utilizados por el protocolo STUN:

ufw allow 3478:3479/udp

ufw allow 3478:3479/tcp

luego los puertos utilizados para el flujo media:

ufw allow 32769:65535/udp

Iniciamos el servidor TURN:

systemctl start coturn

averiguamos que esté corriendo:

systemctl status coturn

* coturn.service - coTURN STUN/TURN Server

Loaded: loaded (/lib/systemd/system/coturn.service; enabled; vendor preset: enabled)

Drop-In: /etc/systemd/system/coturn.service.d

ââoverride.conf

Active: active (running) since Sat 2022-11-05 11:18:53 -05; 1h 1min ago

Docs: man:coturn(1)

man:turnadmin(1)

man:turnserver(1)

Main PID: 25786 (turnserver)

Tasks: 9 (limit: 19660)

Memory: 7.6M

CGroup: /system.slice/coturn.service

ââ25786 /usr/bin/turnserver --daemon -c /etc/turnserver.conf --pidfile /run/turnserver/turnserver.pid

Si quieren revisen el LOG. Ahora podemos pasar a la configuración de BBB para que aproveche el servidor TURN que se acaba de configurar. En el servidor donde se encuentra instalado:

cd /usr/share/bbb-web/WEB-INF/classes/spring/

creamos una copia del archivo original:

mv turn-stun-servers.xml turn-stun-servers.xml-orig

creamos uno nuevo:

nano turn-stun-servers.xml

copiamos las lineas que siguen (MODIFICAR turn.voztovoice.org CON SU SUBDOMINIO):

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://www.springframework.org/schema/beans

http://www.springframework.org/schema/beans/spring-beans-2.5.xsd">

<bean id="stun0" class="org.bigbluebutton.web.services.turn.StunServer">

<constructor-arg index="0" value="stun:turn.voztovoice.org"/>

</bean>

<bean id="turn0" class="org.bigbluebutton.web.services.turn.TurnServer">

<constructor-arg index="0" value="1cdda865dcad48953a5e2ca03da5a8b8"/>

<constructor-arg index="1" value="turns:turn.voztovoice.org:443?transport=tcp"/>

<constructor-arg index="2" value="86400"/>

</bean>

<bean id="turn1" class="org.bigbluebutton.web.services.turn.TurnServer">

<constructor-arg index="0" value="1cdda865dcad48953a5e2ca03da5a8b8"/>

<constructor-arg index="1" value="turn:turn.voztovoice.org:443?transport=tcp"/>

<constructor-arg index="2" value="86400"/>

</bean>

<bean id="stunTurnService"

class="org.bigbluebutton.web.services.turn.StunTurnService">

<property name="stunServers">

<set>

<ref bean="stun0"/>

</set>

</property>

<property name="turnServers">

<set>

<ref bean="turn0"/>

<ref bean="turn1"/>

</set>

</property>

</bean>

</beans>

Guardamos los cambios y reiniciamos BBB:

bbb-conf --restart

para probar el servidor TURN, creamos uno script BASH con el siguiente contenido (PERSONALIZAR turn.voztovoice.org con su subdominio, secret con la clave configurada en el parametro static-auth-secret del archivo de configuración de Coturn):

nano prueba.sh

copiamos:

#!/bin/bash

HOST=turn.voztovoice.org

SECRET=1cdda865dcad48953a5e2ca03da5a8b8

time=$(date +%s)

expiry=8400

username=$(( $time + $expiry ))

echo

echo " https://webrtc.github.io/samples/src/content/peerconnection/trickle-ice/"

echo

echo URI : turn:$HOST:443

echo username : $username

echo password : $(echo -n $username | openssl dgst -binary -sha1 -hmac $SECRET | openssl base64)

echo

Guardamos los cambios y volvemos el archivo ejecutable:

chmod + prueba.sh

lo ejecutamos:

./prueba.sh

el resultado:

https://webrtc.github.io/samples/src/content/peerconnection/trickle-ice/

URI : turn:turn.voztovoice.org:443

username : 1667776448

password : wMV+2iWjEWqIsf67QvWut8qOzpo=

Accedemos a la URL indicada:

https://webrtc.github.io/samples/src/content/peerconnection/trickle-ice/

y rellenamos los campos como sigue:

Luego:

si aparece algo parecido:

Significa que el servidor STUN/TURN está funcionando correctamente.

Hemos terminado.
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

November 05, 2022

Andrea Sannucci BigBlueButton 2.5 y Moodle 4.X: Videoconferencias y eLearning
BigBlueButton es la plataforma de videoconferencias que utilizo en mis cursos en linea integrada con Moodle 4.0, el sistema de educación a distancia que también uso para mis cursos. La ultima versión de BBB que tenía instalada era la 2.2 y en estos días decidí actualizarla porque la 2.5 trae muchas novedades muy interesantes:

basada en contenedores (docker)

posibilidad de bloquear el cuadro de la cámara de los participantes para que la posición quede siempre la misma

posibilidad de tomar pantallazos de la pizarra donde se está trabajando

ampliada la tipología de encuestas que se pueden crear a lo largo de una videoconferencia

posibilidad de crear grupos de trabajos durante una videoconferencia, cada uno con su sala de videoconferencia definiendo los usuarios que serán parte de cada grupo y el tiempo de duración del trabajo. Cuando el tiempo termine, los usuarios volverán a la sala principal

la presencia de un panel de análisis de aprendizaje donde es posible ver toda una serie de estadísticas relacionadas con los participantes en la videoconferencia y visualizadas como una linea del tiempo. La estadísticas se pueden descargar en formato CSV

integración con GreenLight, una consola web muy interesante, que permite crear usuarios, cuartos de videoconferencia e invitar usuarios a los cuartos creados

Anexo a esta entrada el video, en inglés, donde se muestran todas las novedades presentes en la versión 2.5 de BBB. Ahora pasamos a su instalación; ¿Qué necesito?

Un servidor con por lo menos 4vCPU y 4GB RAM; personalmente utilizo VPSDime desde hace 2 años y medio y la verdad me ha ido muy bien. El servidor que utilizo viene con 4vCPU y 6 GB de RAM; tiene un costo de 7 dólares/mes que se cobran mensualmente (no por hora). Una vez adquirido, si cambian las necesidades, es posible actualizar cada elemento del servidor (CPU, RAM, Disco) o pasar al servidor que sigue que tiene un costo de 14 dólares/mes

Un dominio o sub dominio que hay que asociar al servidor por temas de certificados y seguridad. En esta guía utilizaremos bbb.dominio.org

La distribución Linux Ubuntu 20.04 64bits

posiblemente IPv4 y IPv6 (VPSDime ofrece solamente IPv4)

Si procedemos de una versión anterior, el primer paso es guardar los datos de las videoconferencias presentes en el viejo servidor para luego copiarlos en el nuevo servidor. Accedemos al viejo servidor y creamos los siguientes archivos:

cd /var/bigbluebutton/

tar -zcvpf /root/recording.tar.gz recording/raw

tar -zcvpf /root/published.tar.gz published/

tar -zcvpf /root/unpublished.tar.gz unpublished/

luego copiamos los tres archivos en el servidor nuevo:

scp published.tar.gz root@bbb.dominio.org:/tmp

scp unpublished.tar.gz root@bbb.dominio.org:/tmp

scp recording.tar.gz root@bbb.dominio.org:/tmp

Accedemos al servidor nuevo y empezamos con actualizar el sistema:

apt update

apt upgrade

la hora:

timedatectl set-timezone America/Bogota

averiguamos que el idioma predefinido sea en_US.UTF-8:

cat /etc/default/locale

LANG="en_US.UTF-8"

si así no fuera:

apt-get install -y language-pack-en

update-locale LANG=en_US.UTF-8

systemctl set-environment LANG=en_US.UTF-8

luego:

systemctl show-environment

debe aparecer:

LANG=en_US.UTF-8

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

Averiguamos que la versión de Ubuntu sea la correcta:

cat /etc/lsb-release

resultado:

DISTRIB_ID=Ubuntu

DISTRIB_RELEASE=20.04

DISTRIB_CODENAME=focal

DISTRIB_DESCRIPTION="Ubuntu 20.04.5 LTS"

que el sistema sea 64 bits:

uname -m

x86_64

y que la versión del Kernel 5.X:

uname -r

5.4.0-131-generic

Luego se realiza la instalación utilizando el siguiente script:

wget -qO- https://ubuntu.bigbluebutton.org/bbb-install-2.5.sh | bash -s -- -v focal-250 -s bbb2.dominio.org -e campus@voztovoice.org -a -w

-v focal-250: la versión de BBB que se instalará

-s bbb.dominio.org: el dominio/subdominio asociado a la instalación

-e campus@voztovoice.org: el correo electrónico utilizado para la creación de los certificados con letsencrypt

-a: si queremos instalar las API de prueba para poder probar las salas de videoconferencias antes de integrar BBB con moodle. Si en lugar de las API queremos instalar GreenLight cambiamos la letra -a con la letra -g

-w: para configurar de manera automática el cortafuegos utilizando el programa ufw (Uncomplicated FireWall)

Empezará la instalación de todo el sistema que durará aproximadamente unos 10 minutos. Si a lo largo del proceso no aparecen errores, significa que todo procede correctamente. Al terminar, podremos averiguarlo con el siguiente comando:

bbb-conf --check

eventuales problemas aparecerán debajo de esta linea:

# Potential problems described below

En mi caso aparecía un error relacionado con el temporizador de la CPU que he solucionado de la siguiente manera:

nano /usr/lib/systemd/system/bbb-html5-backend@.service

comentar la siguiente linea para que quede:

#CPUSchedulingPolicy=fifo

nano /usr/lib/systemd/system/bbb-html5-frontend@.service

comentar la siguiente linea para que quede:

#CPUSchedulingPolicy=fifo

recargar la configuración de los script de arranque:

systemctl daemon-reload

y luego reiniciar el sistema para averiguar que todo se inicie correctamente:

reboot

Volver a acceder vía SSH y ejecutar nuevamente:

bbb-conf --check

si todo sale bien, ejecutar:

bbb-conf --status

todos los procesos tienen que estar activos. Ahora si accedemos a la pagina:

https://bbb.dominio.org

dependiendo si hemos instalado las API o GreenLight, nos aparecerá la respectiva pagina. En el caso de las API:

ponemos un nombre para la sala y le damos a Join. Empezará todo el proceso de acceso a la sala de videoconferencia. Una vez realizadas todas las pruebas del caso, removemos las API:

apt-get purge bbb-demo

Si hemos instalado GreenLight, para quitarlo:

cd ~/greenlight

docker-compose down

docker rmi bigbluebutton/greenlight:v2

cd ../

rm -rf greenlight/

ahora copiamos el backup de las videoconferencias en las carpetas del nuevo servidor:

cd /tmp

tar -xf recording.tar.gz

tar -xf published.tar.gz

tar -xf unpublished.tar.gz

cp -rf recording/* /var/bigbluebutton/recording/raw

cp -rf published/* /var/bigbluebutton/published

cp -rf unpublished/* /var/bigbluebutton/unpublished

Terminamos cambiando los permisos de todos los archivos copiados:

chown -Rf bigbluebutton:bigbluebutton /var/bigbluebutton/unpublished /var/bigbluebutton/published /var/bigbluebutton/recording/raw

Terminada esta fase podemos pasar a la configuración de Moodle. Los datos que necesitamos los arroja este comando:

bbb-conf --secret

aparecerá algo parecido:

URL: https://bbb.dominio.org/bigbluebutton/

Secret: GhzsXU5Fob9i6oaLCj83eQEcBYTyVOTAymoYfU7EEI

Accedemos al servidor Moodle y luego Administración del sitio → Extensiones → Vista General de extensiones, en la lista aparecerá:

Seleccionamos Configuración;

en URL del servidor BigBlueButton copiamos el contenido de la linea URL arrojada por el comando bbb-conf --secret y en Clave secreta de BigBlueButton el valor de la linea Secret arrojada por el mismo comando. Guardamos los cambios y ¡Listo!

Si están interesados en un articulo dedicado a la instalación de Moodle (da instalar en otro servidor), me comentan. En el próximo articulo veremos como instalar un servidor TURN para que los usuarios que se encuentran detrás de un Cortafuego estricto puedan acceder a BBB y tener audio correctamente.
Vota el Articulo:

Promedio: 5 (1 voto)

Evalúa la calidad del articulo

video:

November 03, 2022

Andrea Sannucci Configurar Postfix con SpamAssassin y Spamass-Milter para bloquear SPAM
Estaba totalmente seguro de haber configurado Postfix integrado con spamassassin que la verdad ni me había dato cuenta que ni lo tenía instalado. SpamAssassin es el programa que analiza los correos recibidos y en base a unos algoritmos y un valor que se configura en el archivo de configuración del programa, decide si el correo es SPAM o no.

A seguir les indico los pasos que he seguido para la integración en Rocky Linux 8; primero hay que instalar SpamAssassin y Spamass-Milter:

dnf install spamassassin spamass-milter -y

se configuran para que arranquen con el sistema:

systemctl enable spamassassin spamass-milter

Luego se configuran algunas opciones de spamass-milter que serán aquellas que leerá el script de arranque:

nano /etc/sysconfig/spamass-milter

al final del archivo se añade:

EXTRA_FLAGS="-m -r 8"

SOCKET_OPTIONS="-g postfix"

En la primera linea con la opción -m se indica que no se modificarán las cabeceras Subject:, Content-Type y el cuerpo del mensaje, con la opción -r 8 se indica la puntuación arriba de la cual se considerará como SPAM el correo recibido; En la segunda linea se indica que el zócalo del programa será accessible al grupo postfix y esto permitirá la comunicación entre Postifix y Spamass-Milter.

Se guardan los cambios y se pasa al archivo de configuración de arranque de Spamass-Milter donde hay que añadir el mismo grupo presente en la opción SOCKET_OPTIONS:

nano /usr/lib/systemd/system/spamass-milter.service

después de esta linea:

User = sa-milt

se añade:

Group = postfix

Se guardan los cambios y se actualizan los archivos de arranque para cargar los cambios realizados:

systemctl daemon-reload

Ultimo paso es actualizar la configuración de Postfix:

nano /etc/postfix/main.cf

al final del archivo, añadimos:

milter_default_action = accept

milter_protocol = 6

smtpd_milters = unix:/run/spamass-milter/spamass-milter.sock

non_smtpd_milters = $smtpd_milters

si estamos utilizando OpenDKIM seguramente ya teníamos algo parecido pero esas lineas que teníamos debemos comentarlas y en su lugar:

milter_default_action = accept

milter_protocol = 6

smtpd_milters = inet:127.0.0.1:8891,unix:/run/spamass-milter/spamass-milter.sock

non_smtpd_milters = $smtpd_milters

Guardamos los cambios y iniciamos SpamAssassin, Spamm-Milter y reiniciamos Postfix:

systemctl start spamassassin

systemctl start spamass-milter

systemctl restart postfix

Si todo sale bien el sistema debería funcionar correctamente. Podemos realizar una prueba enviando un correo electrónico a uno de los usuarios configurados en el servidor donde acabamos de realizar las configuraciones; en el cuerpo del mensaje añadimos:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

que es una linea que hará que el correo será detectado como SPAM, no me pregunten porque :)

En los LOG de Postfix:

spamd: identified spam (999.8/5.0) for sa-milt:899 in 0.5 seconds, 3792 bytes.

milter-reject: END-OF-MESSAGE from midominio.org[1.2.3.4]: 5.7.1 Blocked by SpamAssassin;

Parece que funciona.

Me comentan
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

November 02, 2022

Andrea Sannucci LogWatch: como eliminar reportes de determinados programas – Rocky Linux 8
LogWatch siempre me ha parecido una herramienta muy cómoda y efectiva para enterarme de lo que está pasando en mis servidores. El programa funciona de la siguiente manera:

cada día se ejecuta un trabajo programado (CronJob) para generar el reporte /etc/cron.daily/0logwatch

el tipo de reporte, como se guardará y otras opciones dependerá de la configuración del archivo /usr/share/logwatch/default.conf/logwatch.conf. En mi caso los reportes se envían a mi correo electrónico en formato texto

La configuración del los programasa cuyos LOG se analizarán para el reporte depende de la configuración de dos archivos para cada programa; uno presente en la carpeta /usr/share/logwatch/default.conf/logfiles y otro presente en la carpeta /usr/share/logwatch/default.conf/services

Tomamos como ejemplo Fail2ban:

el archivo logfiles contiene:

*ApplyEuroDate

LogFile = fail2ban.log

Archive = fail2ban.log.1

Archive = fail2ban.log.*.gz

Archive = fail2ban.log-*

fail2ban.log será el archivo de LOG de Fail2ban que LogWatch buscará para realizar su análisis y generar el reporte; el archivo de services:

el titulo como aparecerá en el reporte:

Title = fail2ban-messages

los archivos logfiles, presentes en la carpeta /usr/share/logwatch/default.conf/logfiles, que se utilizarán:

LogFile = fail2ban

LogFile = messages

una expresión regular, en este caso, para seleccionar solamente lo que realmente interesa:

*OnlyContains = fail2ban([^-]|).*\[[0-9]+\]

Claramente el contenido del archivo de services cambia mucho dependiendo del programa que se va a analizar pero lo importante es saber donde buscar la información.

Ahora, como Fail2ban me generaba mucha información que la verdad no me interesaba porque tengo otra forma de enterarme de lo que pasa con bloqueo y desbloqueo de IPs, he decidido quitarlo de los reportes de LogWatch.

Estoy seguro que hay una forma más elegante de hacerlo pero en mi caso:

cd /usr/share/logwatch/default.conf/

mv logfiles/fail2ban.conf //usr/share/logwatch/fail2ban.conf-logfiles

mv services/fail2ban.conf //usr/share/logwatch/fail2ban.conf-services

Si queremos probar el programa sin esperar que se ejecute el CronJob:

/etc/cron.daily/0logwatch

El resultado:

Una linea indica cuando termina el Reporte de un determinado programa y cuando inicia el Reporte de otro. Para terminar:

Para instalarlo:

dnf install logwatch -y

Me comentan
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

October 26, 2022

Andrea Sannucci Kamailio y el nuevo modulo TLSA en Rocky Linux 8
En la ultima versión de Kamailio, la 5.6, entre otros módulos, está presente el módulo TLSA. Este modulo puede sostituir el modulo TLS que se utiliza para la configuración de Kamailio con el soporte del cifrado de la señalización SIP. Si se utiliza el modulo TLSA no se puede utilizar el modulo TLS y viceversa.

Pero, ¿Qué ventajas tiene este nuevo modulo sobre el viejo TLS?

las librerías libssl y libcrypto quedan embebidas en el modulo pues no comparten con cualquier otro programa el contexto SSL / TLS;

la posibilidad de utilizar una versión especifica de libssl en lugar de la versión que viene con los repositorios estándar de la distribución Linux utilizada. Esto permite poder utilizar versiones más estables y exentes de errores

Para compilar el modulo en Rocky Linux 8 hay que acudir a una pequeña artimaña; una vez instaladas las librerías desde los repositorios, antes de compilar Kamailio se crean enlaces simbólicos de las librerías instaladas a los nombres que buscará Kamailio a lo largo de la compilación:

ln -s /usr/lib64/libssl.so /usr/lib64/libssl.a

ln -s /usr/lib64/libcrypto.so /usr/lib64/libcrypto.a

ln -s /usr/lib64/libz.so /usr/lib64/libz.a

Luego se continua con la compilación de Kamailio. La configuración del modulo es exactamente igual al modulo TLS, cambia solamente el nombre, ejemplo:

# ----- tlsa -----

loadmodule "tlsa.so"

modparam("tlsa", "tls_method", "TLSv1.2+")

modparam("tlsa", "verify_certificate", 0)

modparam("tlsa", "require_certificate", 0)

modparam("tlsa", "private_key", "/etc/letsencrypt/live/PUBDOMAIN/privkey.pem")

modparam("tlsa", "certificate", "/etc/letsencrypt/live/PUBDOMAIN/fullchain.pem")

Lo he probado y funciona perfectamente.

Me comentan
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

October 24, 2022

Andrea Sannucci Videocurso: Kamailio como Puente TLS/SRTP – UDP/RTP con Asterisk PBX
En muchos escenarios nos encontramos con PBX, tipo Asterisk, instaladas dentro de la red local y con todas las extensiones que se conectan desde la misma red local. Con el aumento del trabajo desde remoto o teletrabajo, vamos a necesitar que haya también conexiones de extensiones remotas.

En esto caso una simple y el mismo tiempo segura solución es poner un Kamailio por delante de la PBX que funcione como Gateway TSL-SRTP/UDP-RTP; esto es configurando Kamailio para que reciba todo el trafico sobre una IP publica (Internet) y que luego dialogue con la PBX sobre una IP Privada. De esta forma toda la señalización que pasa por Internet es completamente cifrada (Señalización y Flujo media) mientras la comunicación entre Kamailio y la PBX se establece sobre las IP de la red local donde no se necesita, normalmente, algún cifrado.

Algunos podrán preguntarse: se podría hacer esto directamente con Asterisk PBX, cambiando la configuración del bloque de tipo transporte del archivo pjsip.conf; eso es cierto pero Kamailio tiene un valor añadido sobre Asterisk PBX: la posibilidad de aumentar la seguridad del servidor gracias a los distintos módulos disponibles (PIKE, SECFILTER, RATELIMIT), la posibilidad de configurar el atravesiamiento de NAT de una forma más granular y la posibilidad de analizar todas las solicitudes entrantes para corroborar que la sintaxis esté correcta y aceptable. Todas las solicitudes que no pasan estos controles, serán descartada.

En este VideoCurso veremos dos escenarios distintos:

Kamailio y Asterisk PBX instalados en el mismo servidor

Kamailio instalado en un servidor y Asterisk PBX instalado en un segundo servidor

La comunicación entre Kamailio y los usuarios será sobre TLS/SRTP es decir con cifrado de la señalización SIP y del flujo media y sobre la IP Publica del servidor. Las pruebas se han realizado con los siguientes Softphone/Teléfonos de mesa:

Microsip

Linphone

Blink

GrandStream WP820

La comunicación entre Kamailio y Asterisk PBX se realizará sin cifrado y utilizando la IP local de los dos servidores, esto quiere decir que Asterisk no será visible en la red publica.

En Asterisk se utilizará el canal pjsip y desde Asterisk se podrán sacar las llamadas a través de la configuración de una troncal que se autenticará con usuario y contraseña.

Para la configuración de Proveedores de números geográficos, deberíamos solicitar la autenticación con usuario y contraseña u optar para proveedores que permiten el trafico TLS/SRTP.

Ahora algunos datos relativos al curso:

Fecha: Sábado, 26 Noviembre 2022

Costo: 35 dólares

Duración: 3 horas de 9 am a 12 pm

El precio incluye:

el acceso de por vida a la grabación del VideoCurso

el acceso a las guías que les permitirá replicar la configuración presentada a lo largo del curso

un foro para preguntas

Si están interesados en participar, pueden utilizar el siguiente formulario de inscripción para reservar su cupo.

Los espero.
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

October 20, 2022

Andrea Sannucci Borrar registros colgados en el canal PJSIP de Asterisk PBX
Borrar registros colgados en el canal PJSIP de Asterisk PBX

En el canal PJSIP de Asterisk, bloque de tipo AOR es posible definir un parámetro, max_contacts donde se configura el numero máximo de dispositivos que podrán registrarse utilizando las mismas credenciales; esto quiere decir que si al usuario 1000 asociamos un bloque aor con el parámetro max_contacts=5, Asterisk aceptará el registros de hasta 5 dispositivos distintos.

Lo que a veces puede pasar es que por problemas de red o porque los usuarios no se de registran correctamente, se pueden quedar registros colgados aunque no activos. Esto implica que a pesar que ese registro no está activo, contribuye a la cuenta del numero máximo de dispositivos, además, si se ha configurado el dialplan para marcar a todos los dispositivos registrados de un determinado usuario, pueden presentarse problemas de señalización.

La primera opción, como en Asterisk PBX hay un temporizados que cada determinado tiempo actualiza esos registros, es esperar que se ejecute y que se actualicen los AOR de los usuarios.

La segunda opción que desconocía por completo es borrarlos desde la consola de Asterisk ya que por cada registros hay una entrada en la base de datos interna de Asterisk PBX.

Los paso a seguir son:

de registrar todos los teléfonos (si posible)

entrar a la consola de Asterisk:

asterisk -rvvvvvvvvvvvvvvvvvvvv

eliminar todos los registros con el comando

CLI> database deltree registrar/contact

la opción deltree del comando database permite borrar enteros grupos de datos presentes en la base de datos internas de Asterisk PBX.

A mi me pareció útil, ¿Qué opinan?
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

October 18, 2022

Andrea Sannucci Ataques de canal lateral en la comparación de llaves criptográficas
Hay un ataque de canal lateral que afecta la comparación de llaves criptográficas; este ataque puede llevar a la captura de estas llaves y por consecuencia a su utilizo por parte de los atacantes. Antes de empezar la explicación, ¿Qué es un ataque de canal lateral? Es un tipo de ataque que no se basa en algoritmos o ingeniería social sino en el propio funcionamiento de los sistemas como la sincronización de la información, el consumo de energía, las fugas electromagnéticas, los sonidos y, el que nos interesa, el ataque basado en la medición del tiempo que se tarda la maquina para ejecutar una determinada operación normalmente relacionada con algoritmos de criptografía. Tomamos este ejemplo:

// Genera un error si inputKey no es correcta

// inputKey y correctKey son ambas cadenas

function checkApiKey(inputKey, correctKey) {

if (inputKey !== correctKey) {

throw new Error("wrong key");

}

}

El operador !== es vulnerable a una ataque de canal lateral basado en la medición del tiempo; esto porque las dos claves se comparan byte por byte hasta que no se encuentre un byte que no empareje y se termine el procesamiento. Esto significa que si los primeros bytes son exactos la comparación continuará hasta encontrar un byte diferente y esto alargará temporalmente la ejecución del proceso de comparación. Midiendo ese tiempo será posible, byte a byte lograr conocer la clave, es decir tener éxito con el ataque de canal lateral. Un ejemplo: el atacante envía su primera clave y el primer byte no empareja; el proceso termina en seguida en un tiempo, por ejemplo, de 2 segundos. El atacante envía una segunda clave y el primer byte empareja pero el segundo no pues el proceso termina en un tiempo de 2,1 segundos. Comparando los distintos tiempos el atacante podrá, realizando muchas pruebas, conocer el valor de la clave.

Una solución definitiva a este problema es que la CPU de los procesadores tomen SIEMPRE el mismo tiempo para comparar las claves y de esta forma no dar pistas a los atacantes. Esto se ha llamado constant-time y por mucho tiempo los productores de procesadores han hecho caso omiso a esta importantísima temática afirmando que no se trataba de un problema de seguridad o una falla en su CPUs.

En una entrada en la lista de distribución Linux kernel del 25 de Agosto se comenta que Intel y ARM, cada uno a su manera, han dado una media solución al tema:

INTEL creando una bandera llamada MSR que se puede activar a nivel de Kernel del sistema y que implementaría el procesamiento de esta operaciones siempre utilizando un tiempo constante

ARM utiliza otro tipo de solución basada en un registro llamado DIT (Data Independent Time) que se puede también configurar a nivel de Kernel

Ahora el tema de discusión en distintos foros es si esta configuración tiene que ser la predefinida o dejar que cada usuario decida si activarla o no; esto porque parece que puede afectar un poco las prestaciones de la CPU.

Si hay más novedades, les comentaré
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

October 14, 2022

Andrea Sannucci Curso FreeSWITCH 1.10 - Segunda Edición
Después de tres años, vamos a estrenar la segunda edición del curso dedicado a FreeSWITCH, versión 1.10. Este vas a ser el ultimo curso que se dictará este año. En Marzo 2023 una nueva edición del curso de Kamailio Balanceo / Alta Disponibilidad. Un cambio importante es el pasaje de CentOS 7 a Rocky Linux 8.

Queremos recordar que es el único curso completamente en español disponible en internet dedicado a este SoftSWITCH. En nuestras búsquedas no hemos encontrado otros cursos similares.

FreeSWITCH es uno SWITCH B2BUA parecido a Asterisk pero con características muy peculiares que hacen que sea el preferido por muchos desarrolladores VoIP; es mucho más performante que Asterisk PBX. Si, por ejemplo, en un servidor con instalado Asterisk PBX podemos cursar 100 llamadas simultaneas, con FreeSWITCH seguramente más de 200; además de eso, FreeSWITCH logra procesar más llamadas por segundo que Asterisk, otro factor que SIEMPRE hay que tener en consideración.

Algunas características especificas de FRESWITCH son:

Archivos de configuración en formato XML

Servidor y Gateway WebRTC con señalización VERTO (Basada en JSON) Y SIP. La señalización VERTO es totalmente desarrollada por el equipo de FreeSWITCH

Configuración predefinida con muchísimas opciones ya activas y fácil de gestionar

Posibilidad de realizar Videoconferencias audio/video con un gran abanico de opciones

Utilizo de Phrase Macros que permiten una gestión mucho más dinámica de las locuciones audio y de los IVR

Modulo LCR (least cost routing) que permite seleccionar la mejor ruta disponible por cada numero marcado

Cifrado del flujo media con el protocolo ZRTP

En este curso realizaremos una configuración que abordará los siguientes escenarios:

Llamadas entre extensiones

Gestión de NAT

Llamadas entrantes y salientes

Llamadas cifradas

IVR

Buzón de voz

Conferencias Audio/Video

Configuración Multi dominio

WebRTC

Respaldo de llamadas

DEBUG y seguridad

Algunos datos del curso:

Duración: 4 semanas (de 7 Noviembre - 4 Diciembre 2019)

Videoconferencias: 4

Temas de las Videoconferencias:

Presentación del curso y Protocolo SIP

Perfiles SIP, Dialplan, Contextos, Configuración de Extensiones y llamadas entre ellas, Negociación de Codec audio en las llamadas, Dialplan y Expresiones regulares, Gestión de NAT, Llamadas entrantes y salientes (Gateway y Números Geográficos), Llamadas seguras (TLS, SRTP, ZRTP)

Modulo LCR, IVR, Conferencia audio/video, WebRTC

DEBUG, Seguridad y Monitoreo

Costo: 150 dólares o 700 mil pesos colombianos (COP)

Descuentos:

15% pronto pago/inscripción temprana; pagos realizados antes del 30 de Octubre 2022

20% para grupos de 3 o más personas de la misma empresa

25% para inscritos que ya han participado en un curso organizado por VozToVoice

IMPORTANTE: los descuentos no son acumulables

Para participar, rellenen el formulario de inscripción.

En anexo, más informaciones y temario del curso.
Adjunto Tamaño

programa_curso_freeswitch.pdf 78.59 KB
Vota el Articulo:

Sin votos (todavía)

Evalúa la calidad del articulo

Adjunto	Tamaño
programa_curso_freeswitch.pdf	78.59 KB

September 26, 2022

Andrea Sannucci Clonar un VPS de Linode para mejorar las prestaciones
Si tienen un VPS con Linode desde hace tiempo, es posible que se encuentren en esta situación:

cat /proc/cpuinfo

Un procesador relativamente viejo (2017). Como Linode ha actualizado muchos de sus servidores, es muy probable que si se clona un servidor, en el nuevo se aproveche un procesador más rápido y con mejores prestaciones. En este breve articulo voy a explicar como hacerlo. Primero apagamos el servidor que queremos clonar utilizando el menú presente al final de la linea que identifica el servidor:

luego seleccionamos el mismo menú y escogemos Clone:

en la pagina que aparece seleccionamos el servidor que queremos clonar, la Región donde lo queremos crear y las características del nuevo servidor (pueden ser iguales al clonado):

tendremos el nuevo servidor disponible:

si en el servidor clonado teníamos activada también una IP local, la añadimos al nuevo servidor seleccionándolo:

escogiendo la pestaña Network y luego:

Planet SIP

March 08, 2023

Vota el Articulo:

March 06, 2023

Vota el Articulo:

Vota el Articulo:

March 01, 2023

Vota el Articulo:

February 16, 2023

Vota el Articulo:

February 03, 2023

Vota el Articulo:

January 31, 2023

Vota el Articulo:

December 16, 2022

Vota el Articulo:

December 10, 2022

Vota el Articulo:

December 05, 2022

Vota el Articulo:

November 30, 2022

Vota el Articulo:

November 25, 2022

Vota el Articulo:

November 21, 2022

Vota el Articulo:

November 16, 2022

Vota el Articulo:

November 12, 2022

Vota el Articulo:

November 10, 2022

Vota el Articulo:

Vota el Articulo:

November 08, 2022

Vota el Articulo:

November 05, 2022

Vota el Articulo:

video:

November 03, 2022

Vota el Articulo:

November 02, 2022

Vota el Articulo:

October 26, 2022

Vota el Articulo:

October 24, 2022

Vota el Articulo:

October 20, 2022

Vota el Articulo:

October 18, 2022

Vota el Articulo:

October 14, 2022

Vota el Articulo:

September 26, 2022