SlideShare una empresa de Scribd logo

Seguridad en Servidores CentOS con Elastix + Buenas Prácticas

R
rodrimartin
Tecnología
1 de 18
Descargar para leer sin conexión
Seguridad en Servidores CentOS con Elastix ® + Buenas Prácticas V. 0.8.7 Rodrigo A. Martin Este artículo se distribuye bajo la licencia Attribution 3.0 de Creative Commons, más información: http://creativecommons.org/licenses/by/3.0/ El presente documento tiene solo fines informativos y su contenido está sujeto a cambios sin notificación alguna.
Tabla de contenido Introducción .................................................................................................................................. 3 Firewall-Iptables ............................................................................................................................ 3 Asegurando SSH en su sistema ..................................................................................................... 5 Fail2ban ......................................................................................................................................... 7 Port-knocking o Golpeo de Puertos: “Llamar antes de entrar” ................................................... 11 Buenas Prácticas en nuestro Servidor ......................................................................................... 16 Siete pasos para mejorar la seguridad SIP en Asterisk ............................................................... 16 Backdoor detectado en FreePBX (hasta la versión 2.0.1 de Elastix - Agosto 2010) ................... 18 Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
Introducción Antes de comenzar el desarrollo del presente, debo aclarar que no se trata de un manual que cubre todos los aspectos de seguridad a tener en cuenta al poner un servidor elastix en producción, sino, ciertas recomendaciones y configuraciones básicas del S.O junto con otros aplicativos, extraídas de libros, manuales y experiencias personales que nos ayudaran a mantenerlo seguro y más si este, no está dentro de una VPN o atrás de un Firewall físico (que sería lo ideal). Mi recomendación inicial es cambiar todos los passwords que trae elastix por defecto, esto lo podemos encontrar en el libro “Elastix a Ritmo de Merengue” capítulo 12, (desde la versión 2.0 en Elastix se solicita que se carguen los passwords al final de la instalación) otra observación importante es que realicen todo este tipo de pruebas y configuraciones sobre servidores en laboratorio (un excelente aliado para esto es la Virtualización) y así comprender realmente lo que se esta haciendo permitiéndonos equivocarnos o inclusive mejorar las mismas, dicho esto, comencemos: Firewall-Iptables Iptables es el firewall que trae instalado nuestro CentOS , este es muy popular y uno de los más utilizados en distribuciones Linux por su robustez y estabilidad. Lo ideal es que el firewall sea un componente independiente separado de los demás servidores, pero si no tenemos dicho dispositivo, podemos aplicar estas reglas directamente sobre nuestro servidor y así establecer políticas con los puertos de red del mismo. Lo que haremos por medio de esta herramienta será habilitar o “abrir” solo los puertos que estamos utilizando y cerrar todos los demás brindando así mayor protección al servidor. Es importante el orden de ingreso de las reglas, ya que iptables va “macheando” por estas desde la primera que se ingresa, hasta llegar a la última, si no encuentra ninguna coincidencia, la última regla que escribiremos será cerrar todos los demás puertos, así que si no coincide con los especificados al principio, no podrá gestionar alguna conexión por dicho puerto. En el ejemplo tomamos que la tarjeta de red por defecto es “eth0” Permitir acceso total desde la LAN (suponiendo que estamos en la red 192.168.0.0, deberá modificar este parametro dependiendo de su red) # iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT Aceptando el tráfico SIP: # iptables -A INPUT -p udp -m udp -i eth0 --dport 5060 -j ACCEPT Aceptando el tráfico IAX2: # iptables -A INPUT -p udp -m udp -i eth0 --dport 4569 -j ACCEPT Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
Aceptando el tráfico RTP (Suponiendo que no se ha alterado el archivo rtp.conf): # iptables -A INPUT -p udp -m udp -i eth0 --dport 10000:20000 –j ACCEPT Aceptando tráfico MGCP (solo aplicar si es que se va a usar. En la mayoría de los casos no es necesario): # iptables -A INPUT -p udp -m udp -i eth0 --dport 2727 -j ACCEPT Aceptando el tráfico de mensajería instantánea (si es que se va a acceder desde fuera): # iptables -A INPUT -p tcp -i eth0 --dport 9090 -j ACCEPT Aceptando el tráfico del servidor de correo y POP/IMAP: # iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 110 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 143 -j ACCEPT Aceptando tráfico Web (HTTP y HTTPS) para poder visitar la interface administrativa de Elastix; si vamos a utilizar “Portknocking” (desarrollado más adelante) no abrir los puertos 80 ni 443: # iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT # iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT Aceptando tráfico SSH para poder remotamente a la consola del S.O (si utilizamos un puerto no estándar abrir ese y no el 22) misma aclaración anterior, si vamos a utilizar “Portknocking” (desarrollado más adelante) con este puerto, no abrir el mismo: # iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT Finalmente denegando el acceso a todo lo demás en la interfaz eth0: # iptables -A INPUT -p all -i eth0 -j DROP Para verificar si las reglas se aplicaron correctamente usamos el comando: # iptables -L Si algo no salió de acuerdo a lo esperado, podemos hacer un “flush” (borrar) de todas las reglas con el comando: # iptables –F Para guardar nuestras reglas y que estas sean aplicadas cada vez que reiniciemos nuestro server usamos el comando: # /sbin/service iptables save Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
Asegurando SSH en su sistema OpenSSH (o Shell Seguro) se ha convertido en el estándar para el acceso remoto, reemplazando al protocolo telnet. SSH ha hecho que los protocolos como telnet sean redundantes, en su mayoría, por el hecho de que la conexión es encriptada y las contraseñas no son enviadas en texto plano para que todos la puedan ver. De todas maneras, una instalación por defecto de ssh no es perfecta, y cuando corremos un servidor ssh, hay algunos pasos simples que pueden endurecer dramáticamente una instalación. 1. Usar contraseñas Fuertes Si usted está corriendo ssh y se encuentra expuesto al mundo exterior, una de las primeras cosas que podrá notar serán los intentos de los hackers tratando de acceder para adivinar su nombre de usuario/contraseña. Típicamente un hacker escaneará el puerto 22 (el puerto por defecto por el cual ssh escucha) para encontrar máquinas que estén corriendo ssh, y entonces intentarán un ataque de fuerza-bruta contra ésta. Con contraseñas fuertes en su lugar, felizmente cualquier ataque será registrado y notificado antes de que pueda tener éxito. Si usted no está utilizando contraseñas fuertes, trate de escoger combinaciones que contengan: 8 Caracteres como mínimo Mezcle letras mayúsculas y minúsculas Mezcle letras y números Use caracteres no alfabéticos (ej: caracteres especiales como ! " £ $ ) (% ^ etc.) Los beneficios de una contraseña fuerte no son específicos de SSH, pero tienen fuerte impacto en todos los aspectos de la seguridad del sistema. 2. Deshabilitar el acceso como root La configuración del servidor SSH se encuentra almacenada en el fichero /etc/ssh/sshd_config. Para deshabilitar el acceso de root, asegúrese de tener la siguiente entrada: #Prevent root logins: PermitRootLogin no y reiniciar el servicio sshd: service sshd restart Si usted necesita acceder como root, acceda como un usuario normal y use el comando su -. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
3. Deshabilitar el protocolo 1 SSH posee dos protocolos que se pueden usar, protocolo 1 y protocolo 2. El viejo protocolo 1 es menos seguro y debe estar deshabilitado, a menos que usted lo requiera para algo específico. Busque la siguiente línea en el fichero /etc/ssh/sshd_config, descoméntela y modifíquela como sigue: # Protocol 2,1 Protocol 2 Reinicie el servicio sshd. 4. Usar un Puerto No-Estándar Por defecto, ssh escucha las conexiones entrantes en el puerto 22. Para que un hacker determine si ssh se está ejecutando en su máquina, lo más probable es que escanee el puerto 22. Un método efectivo es ejecutar ssh en un puerto noestándar. Cualquier puerto sin usar funcionará, pero es preferible usar uno por encima del 1024. Muchas personas escogen el 2222 como un puerto alternativo (porque es fácil de recordar), de la misma forma que el 8080 es conocido, a menudo, como un puerto HTTP alternativo. Por esta razón, probablemente esta no es la mejor opción. De la misma forma que cualquier hacker escaneará el puerto 22, seguramente también escaneará el puerto 2222 solo como buena medida. Es mejor escoger cualquier puerto alto al azar que no sea usado por ningún servicio conocido. Para hacer los cambios, añada una línea como esta a su fichero /etc/ssh/sshd_config: # Ejecutar ssh en un puerto No-Estándar: Port 22 #Cambiar Aquí!!! Por ej: Port 7634 y reinicie el servicio sshd. Recuerde hacer cualquier cambio necesario a los puertos de reenvío en su enrutador y a cualquier regla aplicable al firewall. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
Fail2ban Fail2Ban es un analizador de logs que busca intentos fallidos de registro y bloquea las IP’s de donde provienen estos intentos. Se distribuye bajo la licencia GNU y típicamente funciona en todos los sistemas que tengan interfaz con un sistema de control de paquetes o un firewall local. Fail2Ban tiene una gran configuración pudiendo, además, crear reglas para programas propios o de terceros. Instalación y Configuración Debemos de Instalar python en nuestro servidor, para ello ejecutamos [root@elastix]# yum install python* Descargamos Fail2ban en la carpeta /usr/src desde su página en sourceforge [root@elastix]# cd /usr/src [root@elastix src]# wget http://sourceforge.net/projects/fail2ban/files/fail2banstable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2/download Descomprimimos e instalamos Fail2Ban [root@elastix src]# tar xvf fail2ban-0.8.4.tar.bz2 [root@elastix src]# cd fail2ban-0.8.4 [root@elastix fail2ban-0.8.4]# python setup.py install Con esto tendremos instalado Fail2Ban en /usr/share/fail2ban. Los scripts los encontramos en /usr/bin. Ahora debemos de configurar Fail2Ban para que analice los logs que deseamos y bloque IP,s y nos sean enviadas notificaciones vía e-mail.para ello modificaremos el archivo jail.conf que encontramos en /etc/fail2ban [root@elastix src]# cd /etc/fail2ban [root@elastix fail2ban]# vim jail.conf Lo primero a modificar es el valor bantime, este valor determina el tiempo en segundos que quedará bloqueada la ip que esta atacándonos, por defecto el valor viene en 600. Después buscamos el valor maxretry que serán el número de veces que una IP puede tener una autenticación fallida antes de ser bloqueada. Para que busque intentos fallidos de logueo por ssh identificamos la siguiente sección: [ssh-iptables] enabled = false filter = sshd action = iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH, dest=you@mail.com, sender=fail2ban@mail.com] logpath = /var/log/sshd.log maxretry = 5 Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
y la modificamos de la siguiente manera [ssh-iptables] # Configuración de fail2ban para el puerto ssh enabled filter action = true = sshd = iptables[name=SSH, port=22, protocol=tcp] sendmail-whois[name=SSH, dest=miMail@mail.com, sender=fail2ban@mail.com] logpath = /var/log/secure #indicamos que log controlar maxretry = 3 #le damos solo tres intentos bantime = 36000 #tiempo de baneo expresado en segundos Configurando Fail2ban para Asterisk Ahora podemos configurarlo para que lea los registros de Asterisk cd /etc/fail2ban/filter.d Creamos el archivo asterisk.conf vim asterisk.conf Copiamos estas líneas… # Fail2Ban configuration file # # # $Revision: 250 $ # [INCLUDES] # Read common prefixes. If any customizations available -- read them from # common.local #before = common.conf [Definition] #_daemon = asterisk # Option: failregex # Notes.: regex to match the password failures messages in the logfile. The # host must be matched by a group named "host". The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>S+) # Values: TEXT # failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' Wrong password NOTICE.* .*: Registration from '.*' failed for '<HOST>' No matching peer found NOTICE.* .*: Registration from '.*' failed for '<HOST>' Username/auth name mismatch Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
NOTICE.* <HOST> failed to authenticate as '.*'$ NOTICE.* .*: No registration for peer '.*' (from <HOST>) NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*) NOTICE.* .*: Registration from '.*' failed for '<HOST>' Device does not match ACL NOTICE.* .*: No registration for peer '.*' (from <HOST>) NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*) NOTICE.* .*: Failed to authenticate user .*@<HOST>.* NOTICE.* .*: Registration from '.*' failed for '<HOST>' Peer is not supposed to register NOTICE.* .*: Registration from '.*' failed for '<HOST>' ACL error (permit/deny) VERBOSE.*SIP/<HOST>-.*Received incoming SIP connection from unknown peer # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex = Con esto le decimos a fail2ban que tiene que controlar eventuales accesos indeseados en el archivo de registro de Asterisk. Ahora tenemos que modificar el archivo de configuración de fail2ban # cd /etc/fail2ban # vim jail.conf y añadimos al final del archivo de texto estas líneas [asterisk-iptables] enabled filter action = true = asterisk = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=root@localhost, sender=fail2ban@pbx.dyndns.org] logpath = /var/log/asterisk/full maxretry = 4 bantime = 18000 Para que funcione tenemos que chequear la configuración del los archivos de registro de Asterisk: # vim /etc/asterisk/logger.conf y averiguar que la línea messages tenga el parámetro que aparece en negrita messages => notice,debug Terminamos con la configuración del script de arranque: # cd /usr/src/fail2ban-0.8.4/files/ Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
y copiamos el script en el init.d para que corra como servicio # cp redhat-initd /etc/init.d/fail2ban # chmod 755 /etc/init.d/fail2ban Usamos chkconfig para que levante fail2ban cada vez que iniciemos nuestro servidor. # chkconfig fail2ban on Iniciamos el servicio # service fail2ban start Starting fail2ban: [ OK ] Para probar si nuestro fail2ban tiene bien configurados las expresiones regulares para los correspondientes macheos podemos ejecutar el siguiente comando, donde indicamos el archivo de log a examinar y el archivo de filtro de fail2ban, para asterisk por ejemplo: # fail2ban-regex /var/log/asterisk/full /etc/fail2ban/filter.d/asterisk.conf Si aparece algún error tendremos que revisar la configuración. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
Port-knocking o Golpeo de Puertos: “Llamar antes de entrar” Port-Knocking es una simple pero efectiva herramienta que puede aportar mucho a la hora de segurizar nuestro servidor. Para entender su funcionamiento podemos realizar una analogía trayendo a colación una situación muy típica en los años en que regia la ley seca y no se podía consumir alcohol en ningún lado; frente a esto, existían bares clandestinos que a simple vista desde afuera estaban totalmente cerrados y aparentaban estar abandonados para no levantar sospechas, en estas casonas se podía conseguir el preciado alcohol; los habitúes de estos lugares coordinaban “una contraseña” que solo ellos conocían y se traducía en la forma en la que debían golpear la puerta; por ejemplo el típico “Paparapapa papá!!” (nose si sonó como me lo imagino, pero en fin… supongo que se entiende) en ese momento los que estaban adentro se percataban que la persona conocía la combinación y abrían la puerta con gusto diciendo ¡Bienvenido a casa!, si el golpe sonaba de otra manera no accedían a abrir a puerta y de esta forma mantenían su negocio. De la misma manera (valga la analogía), Port-knocking realiza una determinada acción en nuestro servidor cuando recibe una petición a una combinación específica de puertos definida previamente; por ejemplo, podríamos cerrar el puerto 443 desde Iptables e indicar a Port-Knocking que, cuando realicemos una petición al los puertos 7453, 1874, 5759 respectivamente, nos abra el puerto indicado y de esta forma acceder a nuestra interfaz de login de Elastix solamente desde la IP que estamos realizando la petición; para cerrar el puerto, de la misma forma ingresamos una combinación secuencial por ej: 5759, 1874, 7453 y el mismo se cerrara. Manos a la obra… Instalación: Descargamos el paquete RPM (para plataformas de 32 bits): # wget http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/knock-0.51.el5.rf.i386.rpm Instalamos el paquete # rpm -i knock-0.5-1.el5.rf.i386.rpm Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
Identificamos el archivo “/etc/knockd.conf”, borramos su contenido y agregamos las siguientes líneas para cerrar/abrir el puerto ssh y https quedando de la siguiente manera: [options] logfile = /var/log/knockd.log [openSSH] sequence seq_timeout tcpflags command ACCEPT = = = = 7000,8000,9000 5 syn iptables -A INPUT -s %IP% -p tcp --dport 22 -j [closeSSH] sequence seq_timeout tcpflags command ACCEPT = = = = 9000,8000,7000 5 syn iptables -D INPUT -s %IP% -p tcp --dport 22 -j [openHttps] sequence seq_timeout tcpflags command ACCEPT = = = = 7001,8001,9001 5 syn iptables -I INPUT -s %IP% -p TCP --dport 443 -j [closeHtttps] sequence seq_timeout tcpflags command ACCEPT = = = = 9001,8001,7001 5 syn iptables -D INPUT -s %IP% -p TCP --dport 443 -j Ahora ingresamos a /etc/rc.d/init.d y creamos el archivo “knock” y en el mismo copiamos las siguientes líneas para manejar el demonio como un servicio. #!/bin/bash # # chkconfig: 345 92 08 # description: Demonio de Knockd # http://www.zeroflux.org/projects/knock Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
# process name: knockd # # # Author: Rodrigo Martin # # Source function library. . /etc/init.d/functions # Check that the config file exists #[ -f /etc/knockd.conf] || exit 0 KNOCKD="/usr/sbin/knockd -d" RETVAL=0 getpid() { pid=` ps -eo pid,comm | grep knockd | awk '{ print $1 }'` #echo $pid } start() { echo -n $"Starting knockd: " getpid if [ -z "$pid" ]; then $KNOCKD start > /dev/null RETVAL=$? fi if [ $RETVAL -eq 0 ]; then touch /var/lock/subsys/knockd echo_success else echo_failure fi echo return $RETVAL } stop() { echo -n $"Stopping knockd: " getpid RETVAL=$? if [ -n "$pid" ]; then #$KNOCKD stop > /dev/null sleep 1 getpid if [ "$pid" ]; then kill "$pid" rm -f /var/lock/subsys/knockd echo_success Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
else echo_failure fi else echo_failure fi echo return $RETVAL } # See how we were called. case "$1" in start) start ;; stop) stop ;; status) getpid if [ -n "$pid" ]; then echo "knockd (pid $pid) is running..." #$KNOCKD status else RETVAL=1 echo "knockd is stopped" fi ;; restart) stop sleep 2 start ;; *) echo $"Usage: $0 {start|stop|status|restart}" exit 1 ;; esac exit $RETVAL Damos permiso de ejecución al mismo: # chmod 755 /etc/rc.d/init.d/knock Establecemos que se cargue siempre cuando inicie nuestro servidor # chkconfig knock on Iniciamos el servicio # service knock start Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
Para probar el port-knocking debemos tener cerrados los puertos involucrados por defecto desde Iptables. Desde Linux en un equipo remoto hacemos el “golpeo de puertos” para abrir por ejemplo el puerto https de la siguiente manera: # telnet ip.del.server.elastix 7001 ; telnet ip.del.server.elastix 8001 ; telnet ip.del.server.elastix 9001 Luego presionamos Ctrl+C 4 veces y nuestro servidor abrirá el puerto indicado para nuestra ip; podemos cerrarlo ingresando la otra combinación. Si necesitamos “golpear” desde Windows podemos llevarlo a cabo con la aplicación “knock-win32-port” (para 32 bits). Ampliar en: http://www.zeroflux.org/projects/knock Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
Buenas Prácticas en nuestro Servidor • Conocer perfectamente el sistema por dentro. • Llevar un control exhaustivo del sistema. • Estar al día con las actualizaciones, vulnerabilidades y soluciones. • Llevar un mantenimiento continuo. • Observar los logs del sistema. • Evitar utilizar puertos estándares. • Utilizar un firewall. • Utilizar herramientas como fail2ban para evitar escaneos y ataques DoS. • Denegar peticiones al 5060/4569 UDP desde el exterior siempre que no tengamos usuarios SIP/IAX externos. • DROPear cualquier paquete procedente de cualquier IP que no sea de nuestra red de confianza. Siete pasos para mejorar la seguridad SIP en Asterisk En los últimos meses han aparecido una serie de nuevas herramientas que hace posible a cualquier novato atacar y cometer fraudes en equipos SIP, incluyendo los sistemas basados en Asterisk. Existen herramientas fácilmente disponibles que hacen un barrido de redes en busca de hosts que ofrezcan servicios SIP, luego, una vez encontrado, realiza un barrido en busca de extensiones y contraseñas. Exiten ciertas reglas, de aplicación inmediata, que eliminan muchos de los problemas de seguridad, protegiendo al servidor Asterisk de los barridos masivos y los ataques posteriores. Estos métodos y herramientas de protección ya existen, simplemente hay que aplicarlos. 1) No aceptar pedidos de autenticación SIP desde cualquier dirección IP. Utilizar las líneas “permit=” y “deny=” de sip.conf para sólo permitir un subconjunto razonable de direcciones IP alcanzar cada usuario/extensión listado en el archivo sip.conf. Aún aceptando llamadas entrantes desde “anywhere” (via [default]) no se debe permitir a esos usuarios alcanzar elementos autenticados. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
2) Estblecer el valor de la entrada “alwaysauthreject=yes” en el archivo sip.conf. Esta opción está disponible desde la versión 1.2 de Asterisk, pero su por defecto su valor es "no", lo que puede ser potencialmente inseguro. Estableciendo este valor en "yes" se rechazarán los pedidos de autenticación fallidos utilizando nombres de extensiones válidas con la misma información de un rechazo de usuario inexistente. De esta forma no facilitamos la tarea al atacante para detectar nombres de extensiones existentes utilizando técnicas de "fuerza bruta". 3) Utilizar claves SEGURAS para las entidades SIP. Este es probablemente la más importante medida de seguridad. Si alguna vez viste programas que generan y prueban claves por fuerza bruta sabrás que se necesita algo más que palabras y números para una clave segura. Usar símbolos, números, una mezcla de letras minúsculas y mayúsculas y al menos 12 caracteres de largo. 4) Bloquear los puertos del Asterisk Manager Interface. Usar “permit=” y “deny=” en manager.conf para limitar las conexiones entrantes sólo a hosts conocidos. Una vez más utilizar claves seguras aquí también, 12 caracteres al menos en una combinación de números, letras y símbolos. 5) Permitir sólo una o dos llamadas por vez por entidades SIP cuando sea posible. Limitar el uso no autorizado de las líneas voip es una sabia decisión, esto también es util para el caso que usuarios legítimos hagan pública su clave y pierdan control de su uso. 6) Los nombres de usuarios SIP deben ser diferentes que sus extensiones. A pesar de ser conveniente tener una extensión “1234″ que mapee a una entrada SIP “1234″ la cual es también el usuario SIP “1234″, esto también facilita a los atacantes para descubrir nombres de autenticación SIP. En su ligar usar las direciones MAC del dispositivo, o alguna combinación de frases comunes + extensión MD5 hash (por ejemplo: desde el shell prompt, hacer “md5 -s ThePassword5000″) 7) Asegurarse que el contexto [default] sea seguro. No permitir que llamadores no autenticados alcancen contextos que les permitan llamar. Permitir sólo una cantidad limitada de llamadas activas pasen por el contexto default (utilizar la función “GROUP” como contador). Prohibir totalmente las llamadas no autenticadas (si es que así lo queremos) estableciendo “allowguest=no” en la parte [general] de sip.conf. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
Backdoor detectado en FreePBX (hasta la versión 2.0.1 de Elastix - Agosto 2010) Reseña En el mes de agosto de 2010, Andrés Babativa, miembro de lista general de Elastix descubrió que uno de los usuarios definidos para acceder a la base de datos, podía acceder como usuario Admin por el front-end de freepbx; mas alla de que nos hayamos esmerado muchísimo en usuarios y contraseñas fuertes, si utilizo este “gold super user” entro sin ningún problema con permisos de admin y puedo hacer lo que quiero en cualquier asterisk que tenga un freepbx!. Para verificar esto podemos acceder a la interfaz de freepbx, cuando nos solicite user y passowrd ingresamos: asteriskuser/eLaStIx.asteriskuser.2oo7 Frente a esto ese mismo día, horas más tarde el equipo de desarrolladores de Palosanto Solutions ya tenía listo el paquete RPM de freepbx corregido en los repositorios de Elastix. Para aplicarlo debemos actualizar freepbx; para esto ejecutamos en la consola como usuario root: yum upgrade freePBX* Una vez actualizado, podemos corroborar que el problema está solucionado ingresando el usuario y password anteriormente mencionados y notaremos que ya no podremos acceder. Fuentes: Comunicaciones Unificadas con Elastix, vol. 1 y 2 – Edgar Landivar Elastix a Ritmo de Merengue – Alfio Muñoz wiki.centos.org/es/HowTos/Network/SecuringSSH blogs.digium.com/2009/03/28/sip-security/ www.fail2ban.org www.sinologic.net blogs.elastix.org/es/2010/01/14/instalacion-de-fail2ban/ www.voztovoice.org/?q=node/135 http://www.zeroflux.org/projects/knock http://elmampano.wordpress.com/2011/05/24/port-knocking/ Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com

Recomendados

Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsRodolfo Pilas
 
Escaneo de Puertos
Escaneo de PuertosEscaneo de Puertos
Escaneo de Puertosarnoldvq16
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redeselvisprieto2
 
Practicas hackx crack_05
Practicas hackx crack_05Practicas hackx crack_05
Practicas hackx crack_05Aldo Jamir Leone Icaza
 
Iptables linux
Iptables linuxIptables linux
Iptables linuxocnelep
 
Config ciscos-v3
Config ciscos-v3Config ciscos-v3
Config ciscos-v3jtecnico
 
Escaneo de puertos clase 2 complemento d 28 02-13
Escaneo de puertos clase 2 complemento d 28 02-13Escaneo de puertos clase 2 complemento d 28 02-13
Escaneo de puertos clase 2 complemento d 28 02-13Tensor
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLESalexmerono
 

Recomendados

Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsRodolfo Pilas
 
Escaneo de Puertos
Escaneo de PuertosEscaneo de Puertos
Escaneo de Puertosarnoldvq16
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redeselvisprieto2
 
Practicas hackx crack_05
Practicas hackx crack_05Practicas hackx crack_05
Practicas hackx crack_05Aldo Jamir Leone Icaza
 
Iptables linux
Iptables linuxIptables linux
Iptables linuxocnelep
 
Config ciscos-v3
Config ciscos-v3Config ciscos-v3
Config ciscos-v3jtecnico
 
Escaneo de puertos clase 2 complemento d 28 02-13
Escaneo de puertos clase 2 complemento d 28 02-13Escaneo de puertos clase 2 complemento d 28 02-13
Escaneo de puertos clase 2 complemento d 28 02-13Tensor
 
Resumen IPTABLES
Resumen IPTABLESResumen IPTABLES
Resumen IPTABLESalexmerono
 
Ataque ARP y DNS
Ataque ARP y DNSAtaque ARP y DNS
Ataque ARP y DNSLuis Fernando Aguas Bucheli
 
Backtrack 3 manual
Backtrack 3 manualBacktrack 3 manual
Backtrack 3 manualMogos Gabriela
 
Listas de acceso
Listas de accesoListas de acceso
Listas de accesoLeonoa Brises Sixtos
 
Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios SiubhyAUrribarri
 
Tunel ssh para conectar a traves del router
Tunel ssh para conectar a traves del routerTunel ssh para conectar a traves del router
Tunel ssh para conectar a traves del routerOriol Izquierdo Vibalda
 
Manual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en WindowsManual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en WindowsTotus Muertos
 
Comandos dispositivos
Comandos dispositivosComandos dispositivos
Comandos dispositivosJoan Diiz
 
Ethical hacking 01
Ethical hacking 01Ethical hacking 01
Ethical hacking 01Tensor
 
Firewall y nat
Firewall y natFirewall y nat
Firewall y natkristianfilipp
 
Ethical hacking 04a
Ethical hacking 04aEthical hacking 04a
Ethical hacking 04aTensor
 
Advanced and comprehensive use of nmap
Advanced and comprehensive use of nmapAdvanced and comprehensive use of nmap
Advanced and comprehensive use of nmapztealt
 
MAITAINING ACCESS
MAITAINING ACCESSMAITAINING ACCESS
MAITAINING ACCESSTensor
 
Ethical hacking 02
Ethical hacking 02Ethical hacking 02
Ethical hacking 02Tensor
 
Maitaining access
Maitaining accessMaitaining access
Maitaining accessTensor
 
Manual Iptables
Manual IptablesManual Iptables
Manual IptablesCesar Pineda
 
Manualnmapesp
ManualnmapespManualnmapesp
ManualnmapespFes San jose
 
Tutorial de configuracion de routers
Tutorial de configuracion de routersTutorial de configuracion de routers
Tutorial de configuracion de routersAlexander Paiz
 
Seguridaden servidores0 8-7
Seguridaden servidores0 8-7Seguridaden servidores0 8-7
Seguridaden servidores0 8-7Edwin Lopez
 
Seguridades de redes
Seguridades de redesSeguridades de redes
Seguridades de redeseleannymolero1
 
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidasJAV_999
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redeschristianchanagrote
 
Apuntes iptables gerardo
Apuntes iptables gerardoApuntes iptables gerardo
Apuntes iptables gerardoJuan Blas Martin
 

Más contenido relacionado

La actualidad más candente

Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios SiubhyAUrribarri
 
Tunel ssh para conectar a traves del router
Tunel ssh para conectar a traves del routerTunel ssh para conectar a traves del router
Tunel ssh para conectar a traves del routerOriol Izquierdo Vibalda
 
Manual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en WindowsManual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en WindowsTotus Muertos
 
Comandos dispositivos
Comandos dispositivosComandos dispositivos
Comandos dispositivosJoan Diiz
 
Ethical hacking 01
Ethical hacking 01Ethical hacking 01
Ethical hacking 01Tensor
 
Ethical hacking 04a
Ethical hacking 04aEthical hacking 04a
Ethical hacking 04aTensor
 
Advanced and comprehensive use of nmap
Advanced and comprehensive use of nmapAdvanced and comprehensive use of nmap
Advanced and comprehensive use of nmapztealt
 
MAITAINING ACCESS
MAITAINING ACCESSMAITAINING ACCESS
MAITAINING ACCESSTensor
 
Ethical hacking 02
Ethical hacking 02Ethical hacking 02
Ethical hacking 02Tensor
 
Maitaining access
Maitaining accessMaitaining access
Maitaining accessTensor
 
Tutorial de configuracion de routers
Tutorial de configuracion de routersTutorial de configuracion de routers
Tutorial de configuracion de routersAlexander Paiz
 

La actualidad más candente (17)

Ataque ARP y DNS
Ataque ARP y DNSAtaque ARP y DNS
Ataque ARP y DNS
 
Backtrack 3 manual
Backtrack 3 manualBacktrack 3 manual
Backtrack 3 manual
 
Listas de acceso
Listas de accesoListas de acceso
Listas de acceso
 
Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios
 
Tunel ssh para conectar a traves del router
Tunel ssh para conectar a traves del routerTunel ssh para conectar a traves del router
Tunel ssh para conectar a traves del router
 
Manual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en WindowsManual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en Windows
 
Comandos dispositivos
Comandos dispositivosComandos dispositivos
Comandos dispositivos
 
Ethical hacking 01
Ethical hacking 01Ethical hacking 01
Ethical hacking 01
 
Firewall y nat
Firewall y natFirewall y nat
Firewall y nat
 
Ethical hacking 04a
Ethical hacking 04aEthical hacking 04a
Ethical hacking 04a
 
Advanced and comprehensive use of nmap
Advanced and comprehensive use of nmapAdvanced and comprehensive use of nmap
Advanced and comprehensive use of nmap
 
MAITAINING ACCESS
MAITAINING ACCESSMAITAINING ACCESS
MAITAINING ACCESS
 
Ethical hacking 02
Ethical hacking 02Ethical hacking 02
Ethical hacking 02
 
Maitaining access
Maitaining accessMaitaining access
Maitaining access
 
Manual Iptables
Manual IptablesManual Iptables
Manual Iptables
 
Manualnmapesp
ManualnmapespManualnmapesp
Manualnmapesp
 
Tutorial de configuracion de routers
Tutorial de configuracion de routersTutorial de configuracion de routers
Tutorial de configuracion de routers
 

Similar a Seguridad en Servidores CentOS con Elastix + Buenas Prácticas

Seguridaden servidores0 8-7
Seguridaden servidores0 8-7Seguridaden servidores0 8-7
Seguridaden servidores0 8-7Edwin Lopez
 
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidasJAV_999
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redeschristianchanagrote
 
IPTABLES y SQUID‏
IPTABLES y SQUID‏IPTABLES y SQUID‏
IPTABLES y SQUID‏ingpuma
 
Unidad III Seguridad de las Redes
Unidad III Seguridad de las RedesUnidad III Seguridad de las Redes
Unidad III Seguridad de las RedesJesusTheDark
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesOswaldoPolanco3
 
Comandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacionComandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacionAnder Alvarado
 
Servidir Proxy
Servidir ProxyServidir Proxy
Servidir Proxykaliz
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Brat Stell
 
Actividad 3 de redes del computador
Actividad 3 de redes del computadorActividad 3 de redes del computador
Actividad 3 de redes del computadorEdgarHernandez433
 
Unidad III: Seguridad de las redes
Unidad III: Seguridad de las redesUnidad III: Seguridad de las redes
Unidad III: Seguridad de las redesJavierRamirez419
 

Similar a Seguridad en Servidores CentOS con Elastix + Buenas Prácticas (20)

Seguridaden servidores0 8-7
Seguridaden servidores0 8-7Seguridaden servidores0 8-7
Seguridaden servidores0 8-7
 
Seguridades de redes
Seguridades de redesSeguridades de redes
Seguridades de redes
 
Listas de acceso estándar y extendidas
Listas de acceso estándar y extendidasListas de acceso estándar y extendidas
Listas de acceso estándar y extendidas
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redes
 
Apuntes iptables gerardo
Apuntes iptables gerardoApuntes iptables gerardo
Apuntes iptables gerardo
 
IPTABLES y SQUID‏
IPTABLES y SQUID‏IPTABLES y SQUID‏
IPTABLES y SQUID‏
 
Unidad III Seguridad de las Redes
Unidad III Seguridad de las RedesUnidad III Seguridad de las Redes
Unidad III Seguridad de las Redes
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las Redes
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES
 
Comandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacionComandos utilizados en redes anderson alvarado 6to computacion
Comandos utilizados en redes anderson alvarado 6to computacion
 
Servidir Proxy
Servidir ProxyServidir Proxy
Servidir Proxy
 
Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3Manual de hacking basico por taskkill#3
Manual de hacking basico por taskkill#3
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 
Ejercicios de redes e internet 1
Ejercicios de redes e internet 1Ejercicios de redes e internet 1
Ejercicios de redes e internet 1
 
Actividad 3 de redes del computador
Actividad 3 de redes del computadorActividad 3 de redes del computador
Actividad 3 de redes del computador
 
Entorno PHP
Entorno PHPEntorno PHP
Entorno PHP
 
Unidad III: Seguridad de las redes
Unidad III: Seguridad de las redesUnidad III: Seguridad de las redes
Unidad III: Seguridad de las redes
 
Starta KaliLinux
Starta KaliLinuxStarta KaliLinux
Starta KaliLinux
 
Alumno
AlumnoAlumno
Alumno
 

Último

Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 

Último (20)

Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 

Seguridad en Servidores CentOS con Elastix + Buenas Prácticas

  • 1. Seguridad en Servidores CentOS con Elastix ® + Buenas Prácticas V. 0.8.7 Rodrigo A. Martin Este artículo se distribuye bajo la licencia Attribution 3.0 de Creative Commons, más información: http://creativecommons.org/licenses/by/3.0/ El presente documento tiene solo fines informativos y su contenido está sujeto a cambios sin notificación alguna.
  • 2. Tabla de contenido Introducción .................................................................................................................................. 3 Firewall-Iptables ............................................................................................................................ 3 Asegurando SSH en su sistema ..................................................................................................... 5 Fail2ban ......................................................................................................................................... 7 Port-knocking o Golpeo de Puertos: “Llamar antes de entrar” ................................................... 11 Buenas Prácticas en nuestro Servidor ......................................................................................... 16 Siete pasos para mejorar la seguridad SIP en Asterisk ............................................................... 16 Backdoor detectado en FreePBX (hasta la versión 2.0.1 de Elastix - Agosto 2010) ................... 18 Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 3. Introducción Antes de comenzar el desarrollo del presente, debo aclarar que no se trata de un manual que cubre todos los aspectos de seguridad a tener en cuenta al poner un servidor elastix en producción, sino, ciertas recomendaciones y configuraciones básicas del S.O junto con otros aplicativos, extraídas de libros, manuales y experiencias personales que nos ayudaran a mantenerlo seguro y más si este, no está dentro de una VPN o atrás de un Firewall físico (que sería lo ideal). Mi recomendación inicial es cambiar todos los passwords que trae elastix por defecto, esto lo podemos encontrar en el libro “Elastix a Ritmo de Merengue” capítulo 12, (desde la versión 2.0 en Elastix se solicita que se carguen los passwords al final de la instalación) otra observación importante es que realicen todo este tipo de pruebas y configuraciones sobre servidores en laboratorio (un excelente aliado para esto es la Virtualización) y así comprender realmente lo que se esta haciendo permitiéndonos equivocarnos o inclusive mejorar las mismas, dicho esto, comencemos: Firewall-Iptables Iptables es el firewall que trae instalado nuestro CentOS , este es muy popular y uno de los más utilizados en distribuciones Linux por su robustez y estabilidad. Lo ideal es que el firewall sea un componente independiente separado de los demás servidores, pero si no tenemos dicho dispositivo, podemos aplicar estas reglas directamente sobre nuestro servidor y así establecer políticas con los puertos de red del mismo. Lo que haremos por medio de esta herramienta será habilitar o “abrir” solo los puertos que estamos utilizando y cerrar todos los demás brindando así mayor protección al servidor. Es importante el orden de ingreso de las reglas, ya que iptables va “macheando” por estas desde la primera que se ingresa, hasta llegar a la última, si no encuentra ninguna coincidencia, la última regla que escribiremos será cerrar todos los demás puertos, así que si no coincide con los especificados al principio, no podrá gestionar alguna conexión por dicho puerto. En el ejemplo tomamos que la tarjeta de red por defecto es “eth0” Permitir acceso total desde la LAN (suponiendo que estamos en la red 192.168.0.0, deberá modificar este parametro dependiendo de su red) # iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT Aceptando el tráfico SIP: # iptables -A INPUT -p udp -m udp -i eth0 --dport 5060 -j ACCEPT Aceptando el tráfico IAX2: # iptables -A INPUT -p udp -m udp -i eth0 --dport 4569 -j ACCEPT Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 4. Aceptando el tráfico RTP (Suponiendo que no se ha alterado el archivo rtp.conf): # iptables -A INPUT -p udp -m udp -i eth0 --dport 10000:20000 –j ACCEPT Aceptando tráfico MGCP (solo aplicar si es que se va a usar. En la mayoría de los casos no es necesario): # iptables -A INPUT -p udp -m udp -i eth0 --dport 2727 -j ACCEPT Aceptando el tráfico de mensajería instantánea (si es que se va a acceder desde fuera): # iptables -A INPUT -p tcp -i eth0 --dport 9090 -j ACCEPT Aceptando el tráfico del servidor de correo y POP/IMAP: # iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 110 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 143 -j ACCEPT Aceptando tráfico Web (HTTP y HTTPS) para poder visitar la interface administrativa de Elastix; si vamos a utilizar “Portknocking” (desarrollado más adelante) no abrir los puertos 80 ni 443: # iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT # iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT Aceptando tráfico SSH para poder remotamente a la consola del S.O (si utilizamos un puerto no estándar abrir ese y no el 22) misma aclaración anterior, si vamos a utilizar “Portknocking” (desarrollado más adelante) con este puerto, no abrir el mismo: # iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT Finalmente denegando el acceso a todo lo demás en la interfaz eth0: # iptables -A INPUT -p all -i eth0 -j DROP Para verificar si las reglas se aplicaron correctamente usamos el comando: # iptables -L Si algo no salió de acuerdo a lo esperado, podemos hacer un “flush” (borrar) de todas las reglas con el comando: # iptables –F Para guardar nuestras reglas y que estas sean aplicadas cada vez que reiniciemos nuestro server usamos el comando: # /sbin/service iptables save Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 5. Asegurando SSH en su sistema OpenSSH (o Shell Seguro) se ha convertido en el estándar para el acceso remoto, reemplazando al protocolo telnet. SSH ha hecho que los protocolos como telnet sean redundantes, en su mayoría, por el hecho de que la conexión es encriptada y las contraseñas no son enviadas en texto plano para que todos la puedan ver. De todas maneras, una instalación por defecto de ssh no es perfecta, y cuando corremos un servidor ssh, hay algunos pasos simples que pueden endurecer dramáticamente una instalación. 1. Usar contraseñas Fuertes Si usted está corriendo ssh y se encuentra expuesto al mundo exterior, una de las primeras cosas que podrá notar serán los intentos de los hackers tratando de acceder para adivinar su nombre de usuario/contraseña. Típicamente un hacker escaneará el puerto 22 (el puerto por defecto por el cual ssh escucha) para encontrar máquinas que estén corriendo ssh, y entonces intentarán un ataque de fuerza-bruta contra ésta. Con contraseñas fuertes en su lugar, felizmente cualquier ataque será registrado y notificado antes de que pueda tener éxito. Si usted no está utilizando contraseñas fuertes, trate de escoger combinaciones que contengan: 8 Caracteres como mínimo Mezcle letras mayúsculas y minúsculas Mezcle letras y números Use caracteres no alfabéticos (ej: caracteres especiales como ! " £ $ ) (% ^ etc.) Los beneficios de una contraseña fuerte no son específicos de SSH, pero tienen fuerte impacto en todos los aspectos de la seguridad del sistema. 2. Deshabilitar el acceso como root La configuración del servidor SSH se encuentra almacenada en el fichero /etc/ssh/sshd_config. Para deshabilitar el acceso de root, asegúrese de tener la siguiente entrada: #Prevent root logins: PermitRootLogin no y reiniciar el servicio sshd: service sshd restart Si usted necesita acceder como root, acceda como un usuario normal y use el comando su -. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 6. 3. Deshabilitar el protocolo 1 SSH posee dos protocolos que se pueden usar, protocolo 1 y protocolo 2. El viejo protocolo 1 es menos seguro y debe estar deshabilitado, a menos que usted lo requiera para algo específico. Busque la siguiente línea en el fichero /etc/ssh/sshd_config, descoméntela y modifíquela como sigue: # Protocol 2,1 Protocol 2 Reinicie el servicio sshd. 4. Usar un Puerto No-Estándar Por defecto, ssh escucha las conexiones entrantes en el puerto 22. Para que un hacker determine si ssh se está ejecutando en su máquina, lo más probable es que escanee el puerto 22. Un método efectivo es ejecutar ssh en un puerto noestándar. Cualquier puerto sin usar funcionará, pero es preferible usar uno por encima del 1024. Muchas personas escogen el 2222 como un puerto alternativo (porque es fácil de recordar), de la misma forma que el 8080 es conocido, a menudo, como un puerto HTTP alternativo. Por esta razón, probablemente esta no es la mejor opción. De la misma forma que cualquier hacker escaneará el puerto 22, seguramente también escaneará el puerto 2222 solo como buena medida. Es mejor escoger cualquier puerto alto al azar que no sea usado por ningún servicio conocido. Para hacer los cambios, añada una línea como esta a su fichero /etc/ssh/sshd_config: # Ejecutar ssh en un puerto No-Estándar: Port 22 #Cambiar Aquí!!! Por ej: Port 7634 y reinicie el servicio sshd. Recuerde hacer cualquier cambio necesario a los puertos de reenvío en su enrutador y a cualquier regla aplicable al firewall. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 7. Fail2ban Fail2Ban es un analizador de logs que busca intentos fallidos de registro y bloquea las IP’s de donde provienen estos intentos. Se distribuye bajo la licencia GNU y típicamente funciona en todos los sistemas que tengan interfaz con un sistema de control de paquetes o un firewall local. Fail2Ban tiene una gran configuración pudiendo, además, crear reglas para programas propios o de terceros. Instalación y Configuración Debemos de Instalar python en nuestro servidor, para ello ejecutamos [root@elastix]# yum install python* Descargamos Fail2ban en la carpeta /usr/src desde su página en sourceforge [root@elastix]# cd /usr/src [root@elastix src]# wget http://sourceforge.net/projects/fail2ban/files/fail2banstable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2/download Descomprimimos e instalamos Fail2Ban [root@elastix src]# tar xvf fail2ban-0.8.4.tar.bz2 [root@elastix src]# cd fail2ban-0.8.4 [root@elastix fail2ban-0.8.4]# python setup.py install Con esto tendremos instalado Fail2Ban en /usr/share/fail2ban. Los scripts los encontramos en /usr/bin. Ahora debemos de configurar Fail2Ban para que analice los logs que deseamos y bloque IP,s y nos sean enviadas notificaciones vía e-mail.para ello modificaremos el archivo jail.conf que encontramos en /etc/fail2ban [root@elastix src]# cd /etc/fail2ban [root@elastix fail2ban]# vim jail.conf Lo primero a modificar es el valor bantime, este valor determina el tiempo en segundos que quedará bloqueada la ip que esta atacándonos, por defecto el valor viene en 600. Después buscamos el valor maxretry que serán el número de veces que una IP puede tener una autenticación fallida antes de ser bloqueada. Para que busque intentos fallidos de logueo por ssh identificamos la siguiente sección: [ssh-iptables] enabled = false filter = sshd action = iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH, dest=you@mail.com, sender=fail2ban@mail.com] logpath = /var/log/sshd.log maxretry = 5 Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 8. y la modificamos de la siguiente manera [ssh-iptables] # Configuración de fail2ban para el puerto ssh enabled filter action = true = sshd = iptables[name=SSH, port=22, protocol=tcp] sendmail-whois[name=SSH, dest=miMail@mail.com, sender=fail2ban@mail.com] logpath = /var/log/secure #indicamos que log controlar maxretry = 3 #le damos solo tres intentos bantime = 36000 #tiempo de baneo expresado en segundos Configurando Fail2ban para Asterisk Ahora podemos configurarlo para que lea los registros de Asterisk cd /etc/fail2ban/filter.d Creamos el archivo asterisk.conf vim asterisk.conf Copiamos estas líneas… # Fail2Ban configuration file # # # $Revision: 250 $ # [INCLUDES] # Read common prefixes. If any customizations available -- read them from # common.local #before = common.conf [Definition] #_daemon = asterisk # Option: failregex # Notes.: regex to match the password failures messages in the logfile. The # host must be matched by a group named "host". The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>S+) # Values: TEXT # failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' Wrong password NOTICE.* .*: Registration from '.*' failed for '<HOST>' No matching peer found NOTICE.* .*: Registration from '.*' failed for '<HOST>' Username/auth name mismatch Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 9. NOTICE.* <HOST> failed to authenticate as '.*'$ NOTICE.* .*: No registration for peer '.*' (from <HOST>) NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*) NOTICE.* .*: Registration from '.*' failed for '<HOST>' Device does not match ACL NOTICE.* .*: No registration for peer '.*' (from <HOST>) NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*) NOTICE.* .*: Failed to authenticate user .*@<HOST>.* NOTICE.* .*: Registration from '.*' failed for '<HOST>' Peer is not supposed to register NOTICE.* .*: Registration from '.*' failed for '<HOST>' ACL error (permit/deny) VERBOSE.*SIP/<HOST>-.*Received incoming SIP connection from unknown peer # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex = Con esto le decimos a fail2ban que tiene que controlar eventuales accesos indeseados en el archivo de registro de Asterisk. Ahora tenemos que modificar el archivo de configuración de fail2ban # cd /etc/fail2ban # vim jail.conf y añadimos al final del archivo de texto estas líneas [asterisk-iptables] enabled filter action = true = asterisk = iptables-allports[name=ASTERISK, protocol=all] sendmail-whois[name=ASTERISK, dest=root@localhost, sender=fail2ban@pbx.dyndns.org] logpath = /var/log/asterisk/full maxretry = 4 bantime = 18000 Para que funcione tenemos que chequear la configuración del los archivos de registro de Asterisk: # vim /etc/asterisk/logger.conf y averiguar que la línea messages tenga el parámetro que aparece en negrita messages => notice,debug Terminamos con la configuración del script de arranque: # cd /usr/src/fail2ban-0.8.4/files/ Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 10. y copiamos el script en el init.d para que corra como servicio # cp redhat-initd /etc/init.d/fail2ban # chmod 755 /etc/init.d/fail2ban Usamos chkconfig para que levante fail2ban cada vez que iniciemos nuestro servidor. # chkconfig fail2ban on Iniciamos el servicio # service fail2ban start Starting fail2ban: [ OK ] Para probar si nuestro fail2ban tiene bien configurados las expresiones regulares para los correspondientes macheos podemos ejecutar el siguiente comando, donde indicamos el archivo de log a examinar y el archivo de filtro de fail2ban, para asterisk por ejemplo: # fail2ban-regex /var/log/asterisk/full /etc/fail2ban/filter.d/asterisk.conf Si aparece algún error tendremos que revisar la configuración. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 11. Port-knocking o Golpeo de Puertos: “Llamar antes de entrar” Port-Knocking es una simple pero efectiva herramienta que puede aportar mucho a la hora de segurizar nuestro servidor. Para entender su funcionamiento podemos realizar una analogía trayendo a colación una situación muy típica en los años en que regia la ley seca y no se podía consumir alcohol en ningún lado; frente a esto, existían bares clandestinos que a simple vista desde afuera estaban totalmente cerrados y aparentaban estar abandonados para no levantar sospechas, en estas casonas se podía conseguir el preciado alcohol; los habitúes de estos lugares coordinaban “una contraseña” que solo ellos conocían y se traducía en la forma en la que debían golpear la puerta; por ejemplo el típico “Paparapapa papá!!” (nose si sonó como me lo imagino, pero en fin… supongo que se entiende) en ese momento los que estaban adentro se percataban que la persona conocía la combinación y abrían la puerta con gusto diciendo ¡Bienvenido a casa!, si el golpe sonaba de otra manera no accedían a abrir a puerta y de esta forma mantenían su negocio. De la misma manera (valga la analogía), Port-knocking realiza una determinada acción en nuestro servidor cuando recibe una petición a una combinación específica de puertos definida previamente; por ejemplo, podríamos cerrar el puerto 443 desde Iptables e indicar a Port-Knocking que, cuando realicemos una petición al los puertos 7453, 1874, 5759 respectivamente, nos abra el puerto indicado y de esta forma acceder a nuestra interfaz de login de Elastix solamente desde la IP que estamos realizando la petición; para cerrar el puerto, de la misma forma ingresamos una combinación secuencial por ej: 5759, 1874, 7453 y el mismo se cerrara. Manos a la obra… Instalación: Descargamos el paquete RPM (para plataformas de 32 bits): # wget http://apt.sw.be/redhat/el5/en/i386/rpmforge/RPMS/knock-0.51.el5.rf.i386.rpm Instalamos el paquete # rpm -i knock-0.5-1.el5.rf.i386.rpm Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 12. Identificamos el archivo “/etc/knockd.conf”, borramos su contenido y agregamos las siguientes líneas para cerrar/abrir el puerto ssh y https quedando de la siguiente manera: [options] logfile = /var/log/knockd.log [openSSH] sequence seq_timeout tcpflags command ACCEPT = = = = 7000,8000,9000 5 syn iptables -A INPUT -s %IP% -p tcp --dport 22 -j [closeSSH] sequence seq_timeout tcpflags command ACCEPT = = = = 9000,8000,7000 5 syn iptables -D INPUT -s %IP% -p tcp --dport 22 -j [openHttps] sequence seq_timeout tcpflags command ACCEPT = = = = 7001,8001,9001 5 syn iptables -I INPUT -s %IP% -p TCP --dport 443 -j [closeHtttps] sequence seq_timeout tcpflags command ACCEPT = = = = 9001,8001,7001 5 syn iptables -D INPUT -s %IP% -p TCP --dport 443 -j Ahora ingresamos a /etc/rc.d/init.d y creamos el archivo “knock” y en el mismo copiamos las siguientes líneas para manejar el demonio como un servicio. #!/bin/bash # # chkconfig: 345 92 08 # description: Demonio de Knockd # http://www.zeroflux.org/projects/knock Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 13. # process name: knockd # # # Author: Rodrigo Martin # # Source function library. . /etc/init.d/functions # Check that the config file exists #[ -f /etc/knockd.conf] || exit 0 KNOCKD="/usr/sbin/knockd -d" RETVAL=0 getpid() { pid=` ps -eo pid,comm | grep knockd | awk '{ print $1 }'` #echo $pid } start() { echo -n $"Starting knockd: " getpid if [ -z "$pid" ]; then $KNOCKD start > /dev/null RETVAL=$? fi if [ $RETVAL -eq 0 ]; then touch /var/lock/subsys/knockd echo_success else echo_failure fi echo return $RETVAL } stop() { echo -n $"Stopping knockd: " getpid RETVAL=$? if [ -n "$pid" ]; then #$KNOCKD stop > /dev/null sleep 1 getpid if [ "$pid" ]; then kill "$pid" rm -f /var/lock/subsys/knockd echo_success Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 14. else echo_failure fi else echo_failure fi echo return $RETVAL } # See how we were called. case "$1" in start) start ;; stop) stop ;; status) getpid if [ -n "$pid" ]; then echo "knockd (pid $pid) is running..." #$KNOCKD status else RETVAL=1 echo "knockd is stopped" fi ;; restart) stop sleep 2 start ;; *) echo $"Usage: $0 {start|stop|status|restart}" exit 1 ;; esac exit $RETVAL Damos permiso de ejecución al mismo: # chmod 755 /etc/rc.d/init.d/knock Establecemos que se cargue siempre cuando inicie nuestro servidor # chkconfig knock on Iniciamos el servicio # service knock start Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 15. Para probar el port-knocking debemos tener cerrados los puertos involucrados por defecto desde Iptables. Desde Linux en un equipo remoto hacemos el “golpeo de puertos” para abrir por ejemplo el puerto https de la siguiente manera: # telnet ip.del.server.elastix 7001 ; telnet ip.del.server.elastix 8001 ; telnet ip.del.server.elastix 9001 Luego presionamos Ctrl+C 4 veces y nuestro servidor abrirá el puerto indicado para nuestra ip; podemos cerrarlo ingresando la otra combinación. Si necesitamos “golpear” desde Windows podemos llevarlo a cabo con la aplicación “knock-win32-port” (para 32 bits). Ampliar en: http://www.zeroflux.org/projects/knock Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 16. Buenas Prácticas en nuestro Servidor • Conocer perfectamente el sistema por dentro. • Llevar un control exhaustivo del sistema. • Estar al día con las actualizaciones, vulnerabilidades y soluciones. • Llevar un mantenimiento continuo. • Observar los logs del sistema. • Evitar utilizar puertos estándares. • Utilizar un firewall. • Utilizar herramientas como fail2ban para evitar escaneos y ataques DoS. • Denegar peticiones al 5060/4569 UDP desde el exterior siempre que no tengamos usuarios SIP/IAX externos. • DROPear cualquier paquete procedente de cualquier IP que no sea de nuestra red de confianza. Siete pasos para mejorar la seguridad SIP en Asterisk En los últimos meses han aparecido una serie de nuevas herramientas que hace posible a cualquier novato atacar y cometer fraudes en equipos SIP, incluyendo los sistemas basados en Asterisk. Existen herramientas fácilmente disponibles que hacen un barrido de redes en busca de hosts que ofrezcan servicios SIP, luego, una vez encontrado, realiza un barrido en busca de extensiones y contraseñas. Exiten ciertas reglas, de aplicación inmediata, que eliminan muchos de los problemas de seguridad, protegiendo al servidor Asterisk de los barridos masivos y los ataques posteriores. Estos métodos y herramientas de protección ya existen, simplemente hay que aplicarlos. 1) No aceptar pedidos de autenticación SIP desde cualquier dirección IP. Utilizar las líneas “permit=” y “deny=” de sip.conf para sólo permitir un subconjunto razonable de direcciones IP alcanzar cada usuario/extensión listado en el archivo sip.conf. Aún aceptando llamadas entrantes desde “anywhere” (via [default]) no se debe permitir a esos usuarios alcanzar elementos autenticados. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 17. 2) Estblecer el valor de la entrada “alwaysauthreject=yes” en el archivo sip.conf. Esta opción está disponible desde la versión 1.2 de Asterisk, pero su por defecto su valor es "no", lo que puede ser potencialmente inseguro. Estableciendo este valor en "yes" se rechazarán los pedidos de autenticación fallidos utilizando nombres de extensiones válidas con la misma información de un rechazo de usuario inexistente. De esta forma no facilitamos la tarea al atacante para detectar nombres de extensiones existentes utilizando técnicas de "fuerza bruta". 3) Utilizar claves SEGURAS para las entidades SIP. Este es probablemente la más importante medida de seguridad. Si alguna vez viste programas que generan y prueban claves por fuerza bruta sabrás que se necesita algo más que palabras y números para una clave segura. Usar símbolos, números, una mezcla de letras minúsculas y mayúsculas y al menos 12 caracteres de largo. 4) Bloquear los puertos del Asterisk Manager Interface. Usar “permit=” y “deny=” en manager.conf para limitar las conexiones entrantes sólo a hosts conocidos. Una vez más utilizar claves seguras aquí también, 12 caracteres al menos en una combinación de números, letras y símbolos. 5) Permitir sólo una o dos llamadas por vez por entidades SIP cuando sea posible. Limitar el uso no autorizado de las líneas voip es una sabia decisión, esto también es util para el caso que usuarios legítimos hagan pública su clave y pierdan control de su uso. 6) Los nombres de usuarios SIP deben ser diferentes que sus extensiones. A pesar de ser conveniente tener una extensión “1234″ que mapee a una entrada SIP “1234″ la cual es también el usuario SIP “1234″, esto también facilita a los atacantes para descubrir nombres de autenticación SIP. En su ligar usar las direciones MAC del dispositivo, o alguna combinación de frases comunes + extensión MD5 hash (por ejemplo: desde el shell prompt, hacer “md5 -s ThePassword5000″) 7) Asegurarse que el contexto [default] sea seguro. No permitir que llamadores no autenticados alcancen contextos que les permitan llamar. Permitir sólo una cantidad limitada de llamadas activas pasen por el contexto default (utilizar la función “GROUP” como contador). Prohibir totalmente las llamadas no autenticadas (si es que así lo queremos) estableciendo “allowguest=no” en la parte [general] de sip.conf. Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com
  • 18. Backdoor detectado en FreePBX (hasta la versión 2.0.1 de Elastix - Agosto 2010) Reseña En el mes de agosto de 2010, Andrés Babativa, miembro de lista general de Elastix descubrió que uno de los usuarios definidos para acceder a la base de datos, podía acceder como usuario Admin por el front-end de freepbx; mas alla de que nos hayamos esmerado muchísimo en usuarios y contraseñas fuertes, si utilizo este “gold super user” entro sin ningún problema con permisos de admin y puedo hacer lo que quiero en cualquier asterisk que tenga un freepbx!. Para verificar esto podemos acceder a la interfaz de freepbx, cuando nos solicite user y passowrd ingresamos: asteriskuser/eLaStIx.asteriskuser.2oo7 Frente a esto ese mismo día, horas más tarde el equipo de desarrolladores de Palosanto Solutions ya tenía listo el paquete RPM de freepbx corregido en los repositorios de Elastix. Para aplicarlo debemos actualizar freepbx; para esto ejecutamos en la consola como usuario root: yum upgrade freePBX* Una vez actualizado, podemos corroborar que el problema está solucionado ingresando el usuario y password anteriormente mencionados y notaremos que ya no podremos acceder. Fuentes: Comunicaciones Unificadas con Elastix, vol. 1 y 2 – Edgar Landivar Elastix a Ritmo de Merengue – Alfio Muñoz wiki.centos.org/es/HowTos/Network/SecuringSSH blogs.digium.com/2009/03/28/sip-security/ www.fail2ban.org www.sinologic.net blogs.elastix.org/es/2010/01/14/instalacion-de-fail2ban/ www.voztovoice.org/?q=node/135 http://www.zeroflux.org/projects/knock http://elmampano.wordpress.com/2011/05/24/port-knocking/ Indetics – Ingeniería en Soluciones IT Mayor Arruabarrena 1715 PA (C.P: 5000) - Córdoba – Argentina +54 9 351 5903033 | info@indetics.com | www.indetics.com