2. JUAN OLIVA @jroliva
A que me dedico ?
Proyectos de Voz sobre IP con ELASTIX
Servicios de Ethical Hacking
Certificaciones
ECE, ESM, dCAA, C|EH , CPTE, BNS, OSEH, LPIC-1, Novell CLA
Instructor / Training
ELASTIX 101, ECE, ESM, LPIC-1
Cursos de Ethical Hacking
Ethical hacking para VoIP , Callcenter
Y cuando tengo tiempo mantengo un blog :
http://jroliva.wordpress.com
4. Elastix es una solución de comunicaciones
unificadas que incluye:
•IPPBX – Central telefonica IP PBX
•Servicio de correo electrónico
•Fax
•Mensajería instantánea
•Mensajería unificada
Qué es Elastix ?
5. ●
Elastix es software libre, desarrollado en Ecuador, licenciado
bajo GPL versión 2
●
Esto quiere decir que se puede copiar, distribuir y modificar el
software libremente.
●
No existen versiones cerradas ni doble licenciamiento.
●
Elastix puede ser descargado sin costo alguno.
●
Se distribuye a nivel mundial como una distribución en una
imagen ISO y soporta arquitecturas 32 bits, 64 bits , ARM
●
Es basado en Web y permite su acceso a la interfaz de
administración desde cualquier punto y Cualquier sistema
Qué es Elastix ?
6. Visión a nivel de arquitectura de software
•Sistema Operativo - Linux Centos 5.9
•PBX IP - Asterisk 1.8
•Servidor web - Apache
•Servidor de base de datos - Mysql
•Servicio SMTP – Postfix
•PHP V5.X y componentes
Qué es Elastix ?
7. Visión a nivel de arquitectura de software
•Sistema de gestión de PBX ASTERISK - Freepbx
•Servicio de mensajería instantánea - Openfire
•Sistema de CRM - Vtiger
Qué es Elastix ?
18. Externos / Desde Internet
Vectores de ataque en Elastix
Linux
- Password Cracking al servicio SSH
- Revelación de configuración via SNMP
Asterisk
- Ennumeración de entidades SIP
- SIP Brute broce attack a entidades SIP
- Conexiones AMI
19. Externos / Desde Internet
Vectores de ataque en Elastix
Aplicaciones Web
- SQL inyección
- Cross Site Scripting o XSS
- Exploits
23. Implementando seguridad en Elastix
Así como hay ataques tambien existen muchos
mecanismos de seguridad ......
24. Modulo de Firewall
Sirve para el manejo de puertos y servicios, la interface genera un
conjunto de reglas basadas en iptables
Seguridad en Elastix
25. Uso de fail2ban para SSH y Asterisk
Es posible asegurar completamente el servicio SSH y el servicio SIP de
ASTERISK , detectando y bloqueando proactivamente ataques con
Fail2ban
Seguridad en Elastix
26. Tuneles SSH
Se suele utilizar para trasportar un protocolo determinado a través de
una red que, en condiciones normales, no lo aceptaría, por ejemplo
ingresar a la interfase web de Elastix, con solo tener habierto el puerto
del servicio SSH y loguearse correctamente a este servicio.
Seguridad en Elastix
27. Aseguramiento de comunicaciones con TLS
TLS (Transport Layer Security). Seguridad de la capa de
transporte, es un protocolo criptográfico que permiten realizar
comunicaciones seguras a través de la red de Internet.
Seguridad en Elastix
28. Aseguramiento de comunicaciones con SRTP
El Secure Real-time Transport Protocol (o SRTP) proporciona
cifrado, a nivel de RTP, evitando el ensamblaje del audio de las
comunicaciones (por ejemplo con Wireshark)
Seguridad en Elastix
29. Red Privadas Virtuales - VPN
Permite implementar una capa adicional de seguridad, a las
conexiones remotas sobre todo de extensiones o troncales VoIP ,
en modo Roadwarrior o Net – to Net
Seguridad en Elastix
30. Sistemas IDS e IPS
Snort, es un programa muy flexible y a la vez complejo, provee
un, alto nivel de personalización,Análisis de paquetes,Diferentes
modos de ejecución,Base de reglas de alto alcance,Diferente
tipos de almacenamiento
Seguridad en Elastix