Vous êtes intéressé par une spécialisation en Télécommunications ?

Bonjour. Je partage une initiative qui me semble très intéressante et de grande qualité.


Vous êtes intéressé par une spécialisation en Télécommunications ?

Posez vos questions en direct aux Directeurs de programme !

RDV sur Campus-Channel !

SAVE THE DATE

TELECOM ParisTech / Mastère Spécialisé Conception et Architecture de Réseaux

22 février 2018 – 12h00

Avec ce Mastère Spécialisé®, Télécom ParisTech vise à former des étudiants capables de concevoir un réseau répondant aux contraintes fonctionnelles ou à un schéma organisationnel précis. Ce MS prépare les étudiants aux métiers d’ingénieur ou architecte réseau, responsable réseaux et télécoms, chargés de la conception, du choix et du dimensionnement des réseaux. Au programme : Réseau commutés et signalisation, Nouvelles technologies IP, Réseaux radiomobiles cellulaires, Sécurité des systèmes d’information, etc. Le MS allie à la fois des outils techniques et technologique, que ce soit pour l’analyse, la conception ou encore la planification. Les étudiants participent également au projets fil rouge, et rédigent une thèse professionnelle.

 

TELECOM ParisTech / Mastère Spécialisé Architecte Digital d’Entreprise

Retrouvez le Replay !

Le Mastère Spécialisé® Architecte Digital d’Entreprise (anciennement Architecte Télécom Orienté Multiservices – ATOMS) vise à fournir un socle de compétences techniques et business intégrant toutes les problématiques TIC, network, IT ou encore services et positionnement du client. Il est proposé en partenariat industriel avec Orange. Son objectif ? Encourager une approche de la pratique de l’architecture qui repose sur le dialogue entre urbanisme et projets opérationnels tout en intégrant les dimensions techno centric et customer centric.

A noter : l’importance de la qualité de service, des infrastructures ou encore de la sécurité dans ce domaine

Campus-Channel, la plateforme 100% vidéo pour vous aider dans votre choix de formation.


 

PyFreeBilling : softswitch voip 2.0 démo

La version définitive 2.0 de PyFreeBilling approche. La version beta publique a été rendue disponible.

Qu’est-ce que PyFreeBilling ?

Le logiciel PyFreeBilling est une solution sous licence Open Source AGPL permettant de gérer une activité d’opérateur télécom VoIP : gestion des clients, gestion des fournisseurs, gestion des grilles tarifaires ventes et achats, routage des appels et gestion des balances et reporting.

Merci à Hichem Ghazouani qui a mis à disposition la version 2.0 en démo.

Vous trouverez le lien ci-dessous :

https://51.255.173.122/ ( customer )
https://51.255.173.122/extranet/ (admin )

username : ghvoip
password: demo123 ( pmerci de ne pas changer le mot de passe !)

À qui est destiné PyFreeBilling ?

PyFreeBilling dans sa version 2 est destiné aux opérateurs VoIP permettant de router les appels entrants et sortants de ses clients vers différents opérateurs-fournisseurs de manière sûre, souple et simple.

 

RTPBleed et Asterisk : les appels d’Asterisk sous écoute

Asterisk souffre d’un problème assez grave permettant à un attaquant d’écouter simplement vos conversations. Une attaque de l’homme du milieu (man-in-the-middle), sans être vraiment au milieu d’ailleurs, permet de redirriger les flux RTP assez facilement.

Asterisk souffre d’un problème assez grave permettant à un attaquant d’écouter simplement vos conversations. Une attaque de l’homme du milieu (man-in-the-middle), sans être vraiment au milieu d’ailleurs, permet de rediriger les flux RTP assez facilement.

L’annonce a été faite il y a quelques jours (31/08/2017). Il s’agit en fait d’un vieux bug datant de 2011 qui a été réintroduit au premier trimestre 2013. Le premier report annonçant la régression date de mai dernier ainsi que le patch (fournit pour test). L’annonce officielle a été faite le 31 août dernier.

Quelles sont les versions vulnérables ?

Toutes les versions d’Asterisk entre la 11.4.0 à la 14.6.1 sont malheureusement touchées.

Dans quel cas le serveur Asterisk est vulnérable ?

Quand le serveur Asterisk fonctionne avec des postes derrière un routeur NAT, il est nécessaire de mettre en oeuvre des actions afin de router correctement les paquets voix. Le protocole SIP s’appuie sur le protocole RTP afin de transporter la voix et le protocole SDP afin que les user-agents (UA) puissent négocier entre eux des éléments comme les codecs, adresses et ports. Ces éléments sont échangés en clair sur le réseau.
Pour permettre ces négociations, le serveur Asterisk est configuré (fichier sip.conf) avec les options nat=yes et strictrtp=yes. De plus, ces options sont configurées ainsi par défaut !

Comment exploiter la faille ?

Un attaquant doit envoyer des paquets RTP au serveur Asterisk sur un port alloué pour recevoir un flux RTP. Si le serveur est vulnérable, alors le serveur Asterisk répond à l’assaillant en relayant les paquets RTP du destinataire véritable. Il est ensuite aisé avec des outils comme Wireshark de décoder le flux audio.

Quelles sont les actions de mitigation envisageable ?

  • La première recommandation est de ne pas transporter les flux SIP et RTP sur internet en clair, mais d’utiliser un tunnel VPN. Si cela n’est pas possible pour diverses raisons bonnes ou mauvaises, voici d’autres solutions :
  • application du patch fournit par Asterisk (https://raw.githubusercontent.com/kapejod/rtpnatscan/master/patches/asterisk/too-short-rtcp-bugfix.diff) qui actuellement limite la fenêtre temps de l’attaque aux toutes premières millisecondes.
  • éviter l’option nat=yes si possible
  • chiffrer les flux RTP avec SRTP (je vous invite aussi à chiffrer les flux SIP et à utiliser le protocole de transport TCP uniquement pour ce dernier afin de fiabiliser les échanges au lieu de l’UDP)
  • ajouter une option de configuration à vos peers SIP afin de prioriser les paquets RTP venant de l’adresse IP apprises au travers de l’échange initial effectué via le protocole SIP.

Par ailleurs, si vos postes IP et vos fournisseurs de trunk SIP utilisent des adresses IP fixes et connues, la mise en oeuvre d’une règle sur votre firewall bloquant l’accès aux ports UDP 10000 à 20000 (ports RTP utilisés par défaut par un serveur Aterisk) uniquement à partir de ces adresses apporte une protection suffisante.

Comment vérifier si mon serveur Asterisk est vulnérable ?

L’outil rtpnatscan permet de tester votre serveur Asterisk.

Références :

freeswicth ansible role 2.0 just released

Je viens de publier la nouvelle version du role ansible permettant une installation / mise à jour automatisée de FreeSwitch avec plusieurs bonus optionnels comme fail2ban, sngrep … Le role est fait pour fonctionner exclusivement avec Debian Jessie. J’intégrerai Stretch le moment venu.

Contrairement à la version précédente, l’installation se fait à partir des paquets fournis par la team FreeSwitch (je suis leurs recommandations).

L’utilisation est présentée dans le README.

Vous le trouverez dans la galaxy ansible : https://galaxy.ansible.com/mwolff44/freeswitch-mw/

N’hésitez pas à me faire des retours.

Note : le repo officiel est hébergé par framagit : https://framagit.org/mwolff44/freeswitch-mw/ même si une copie existe sur github pour ansible-galaxy.

 

Modifications :

  • 12/04/2017 : v2.1 : mise à jour du kernel via les backports (performance) / installation de locales spécifiques / installation de paquets complémentaires – Ces 3 fonctions sont désactivées par défaut.

Yunohost : comment ajouter la liste des paquets de la communauté aux applications ?

/unohost permet d’installer simplement une solution d’auto-hébergement ciblant à la fois les particuliers mais aussi les petites entreprises afin de reprendre le contrôle de ses données : agenda, calendrier, fichiers, webmail …

Une liste d’applications installables facilement via l’interface web d’administration de Yunohost est disponible. Ces applications sont validées par le équipe de Ynuhost. Mais, de nombreuses applications fort intéressantes sont mises à disposition par la communauté. Il faut les installer en intégrant l’url du repos git de celle-ci. Pas très compliqué !  Mais, afin d’éviter d’aller rechercher sur le wiki de Yunohost les applications disponibles, il peut-être intéressant de les retrouver dans cette même page. Pour activer les applications Yunohost gérées par la communauté, il faut taper en ligne de commande :

sudo yunohost app fetchlist -n community -u https://yunohost.org/community.json

Vous avez maintenant accès à la liste des applications de Yunohost et celles fournies par la communauté. Cette astuce permet aussi de bénéficier des mises à jour des applications communautaires.

Notes de mise à jour de l’article :

  • 16/09/2016 : précision sur la mise à dispo des MAJ (merci à LJF pour sa contribution)

Vivaldi : découverte du navigateur performant, sécurisé et sur mesure

Une vidéo présentant le navigateur web multi-plateforme Vivaldi. Un des créateurs de Opera, déçu par l’orientation du projet, a créé ce navigateur en ayant pour objectif de le rendre aussi souple que l’était Opera à ses débuts, sécurisé et performant. Basé sur le moteur de chromium, il accepte les extensions de chrome.
Devant la lourdeur de Firefox, l’affiliation de Chrome avec Google, Vivaldi semble un vraie bonne alternative.

 

J’utilise ce navigateur depuis plusieurs mois en alternant parfois avec Chromium et Firefox, et je dois bien avouer que je l’apprécie de plus en plus. De plus, ses défauts de jeunesse semble maintenant oubliés. Il est tout simplement en train de devenir mon butineur préféré.

Installer FreeSwitch sur Ubuntu à partir des paquets

L’équipe de FreeSwitch vient de publier les paquets pour Ubuntu 14.04 LTS et 16.04 LTS. Une excellente nouvelle pour les utilisateurs d’Ubuntu. L’installation est maintenant simplifiée.

Pour Ubuntu 16.04 LTS, voici les commandes à taper pour installer la dernière version stable de FreeSwitch :

wget -O - https://files.freeswitch.org/repo/ubuntu-1604/freeswitch-unstable/freeswitch_archive_g0.pub | apt-key add -
 
echo "deb http://files.freeswitch.org/repo/ubuntu-1604/freeswitch-unstable/ xenial main" > /etc/apt/sources.list.d/freeswitch.list
 
# you may want to populate /etc/freeswitch at this point.
# if /etc/freeswitch does not exist, the standard vanilla configuration is deployed
apt-get update && apt-get install -y freeswitch-all

Pour Ubuntu 14.04 LTS :

wget -O - https://files.freeswitch.org/repo/ubuntu/freeswitch-unstable/freeswitch_archive_g0.pub | apt-key add -
 
echo "deb http://files.freeswitch.org/repo/ubuntu/freeswitch-unstable/ trusty main" > /etc/apt/sources.list.d/freeswitch.list
 
# you may want to populate /etc/freeswitch at this point.
# if /etc/freeswitch does not exist, the standard vanilla configuration is deployed
apt-get update && apt-get install -y freeswitch-all

Attention : les paquets permettant de gérer les flux vidéos ne sont pas installés. Des étapes complémentaires sont à prévoir.

Toutefois, l’équipe de FreeSwitch ne recommande d’utiliser cette méthode pour un usage en production pour le moment. Sur Ubuntu, seule la méthode en téléchargeant et compilant les sources est recommandée.

La documentation de la team FreeSwitch pour installer FreeSwitch sur Ubuntu.

pfSense 2.3.2 est disponible

La version 2.3.2 de PFSense, distribution open source de sécurité, avec 60 bugs corrigés, vient d’être libérée. Vous pouvez en savoir plus sur la publication de mise à jour de la version 2.3.2 sur le blog de pfSense. Pensez à mettre à jour vos appliances.

Comment sécuriser Firefox avec quelques paramètres dans about:config ?

Il est essentiel de paramétrer finalement son navigateur afin de s’assurer un surf plus sécurisé. Je vais vous présenter les différentes options essentielles à modifier. Je n’aborderai pas l’usage de modules complémentaires (peut-être le sujet d’un prochain article).

Pour entrer dans la configuration avancée de Firefox, il suffit d’entrer dans la barre d’adresse about:config et de taper sur la touche d’entrée. Lisez bien l’alerte, puis validez (si vous êtes OK).

Firefox about:config

Puis vérifiez, les paramètres de security.tls.version afin que les valeurs soient celles-ci (min à 1 et max à 3):

security tls version firefox
security tls version firefox

 

Ensuite, modifiez :

  • geo.enabled à False afin de supprimer la géolocalisation
  • network.http.sendRefererHeader à 1 afin de ne communiquer que la dernière page visitée – Cela semble poser des problèmes (cf commentaires). Explication des valeurs de la variable network.http.sendRefererHeader :
    • 0 – never send the referring URL.
    • 1 – send only when links are clicked.
    • 2 – send for links and images (default).
  • browser.safebrowsing.malware.enabled à False et supprimez les données de browser.safebrowsing.provider.google.lists afin d’éviter que Google vous profile. (Je vous recommande de lire ce lien https://feeding.cloud.geek.nz/posts/how-safe-browsing-works-in-firefox/ expliquant le fonctionnement de cette option. Merci à Barmic pour la contribution)
  • offline-apps.allow_by_default à False et offline-apps.quota.warn à 0 afin que les données offline ne soient utilisées à votre insu

N’oubliez pas de modifier les préférences par défaut afin d’éviter d’être pisté et d’accepter les cookies tiers inutiles.

Vous pouvez tester votre navigateur en utilisant ces sites : https://panopticlick.eff.org et http://ghacks.net/ip/ (teste l’IP, le referer et le navigateur)

Je mettrai à jour cette page afin de tenir compte des évolutions de Firefox. N’hésitez pas à contribuer pour la sécurité de tous.

Historique de modifications de la page :

  • 22/08/2016 : changement de la valeur network.http.sendRefererHeader à 1 au lieu de 0, car cela bloque les réponses aux forums et empêche l’identification sur certains sites !
  • 24/08/2016 : ajoût du lien d’explication du fonctionnement de l’option browser.safebrowsing.malware.enabled – Contribution de Barmic
  • 01/09/2016 : suppression de la modification de network.http.sendRefererHeader (la valeur par défaut est à 2)
  • 02/09/2016 : ajoût du site ghacks pour tester son navigateur

Quelles traces laissent mon navigateur sur internet ?

Nous savons tous que nos visites sur les différents sites web sur les internets laissent de nombreuses traces, mais savons nous réellement lesquelles ?

Voici 2 petits sites afin de vous aider à voir une partie de celles-ci (et oui, nos navigateurs sont très bavards) :

http://www.anonymat.org/vostraces/index.php

et bien sûr la CNIL

Il ne vous reste plus qu’à paramétrer au mieux votre navigateur … et vos ordinateurs, smartphones et tablettes ! bon courage.