Este documento describe cómo extender la seguridad de Elastix usando Snort. Snort es un sistema de detección y prevención de intrusos flexible que puede usarse para monitorear el tráfico de red entrante y saliente, detectar ataques comunes dirigidos a Elastix como enumeraciones de contraseñas SIP y vulnerabilidades web, y prevenir ataques de denegación de servicio. El documento explica cómo configurar Snort en modo IDS pasivo o IPS activo, integrarlo con iptables y almacenar alertas en una base de datos para

1. Extendiendo la
Seguridad de Elastix
con Snort

2. JUAN OLIVA @jroliva
A que me dedico ?
Proyectos de Voz sobre IP con ELASTIX
Servicios de Ethical Hacking
Certificaciones
ECE, dCAA, LPIC-1, Novell CLA, C|EH , CPTE
Instructor / Training
ELASTIX 101, ECE, ESM, LPIC-1
Cursos de Ethical Hacking
Ethical hacking para VoIP , Callcenter
Y cuando tengo tiempo mantengo un blog :
http://jroliva.wordpress.com

3. ¿Qué es Snort?
Es un IDS / IPS muy flexible y a la vez
complejo, que se ha convertido en el
estandar en en campo de la seguridad :
•Alto nivel de personalización
•Análisis de paquetes
•Diferentes modos de ejecución
•Base de reglas de alto alcance
•Diferente tipos de almacenamiento

4. Modos de funcionamiento
- Pasivo / Snifer
Sniffer de paquetes entrantes y salientes en consola
- Logger
Captura de paquetes E/S guardados en un log

5. Modos de funcionamiento
- IDS / NIDS
Sniffer de paquetes entrantes y salientes con generación de
alertas , para un host o para todo un segmento de red
- IPS
llamado “inline” , es el modo de preventor de intrusos y
funciona en colaboración con IPTABLES

6. Posicionamiento en la red

7. NIDS

8. sss
IDS/IPS PERIMETRAL - outside

9. sss
IDS/IPS PERIMETRAL – inside DMZ

10. En modo mirrored

11. Funcionamiento interno

12. Entendiendo el funcionamiento interno
Tres componentes basicos
•Reglas
•Preprocesors
•Plugins de salida

13. Funcionamiento interno (1)
- Reglas por defecto – Reglas personalizadas
Base de datos de ataques que sirven para Detección de
Amenazas y Generación de Alarmas

14. Funcionamiento interno (2)
- Preprocesors
Realiza análisis de paquetes entrantes y salientes justo
antes de que el motor de detección se ejecute (reglas) y
justo después de que el paquete ha sido recibido y
decodificado.
* SfPort scan
* Frag3
* HttpInspect

15. Funcionamiento interno (3)
- Plugins de Salida
Formato en que presentará la información procesada
* Motor de base de datos (Mysql, Postgresql)
* Syslog
* tcpdump

16. Funcionamiento interno (1)

17. Modos de ejecución

18. /usr/local/bin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0
- D: En modo servicio
- u : Usuario de ejecución
- g : Grupo de ejecución
- c : Archivo central de configuración
- i : Interfase de escucha en modo promiscuo
Modos de ejecución - IDS

19. snort -D --daq afpacket -Q -u snort -g snort -c /etc/snort/snort.conf -i eth0:eth1
- D: En modo servicio
- daq afpacket : Condigura daq en modo inline
- Q : Modo IPS
- i etho:eth1: Necesita dos interfases en modo IPS
Modos de ejecución - IPS

20. Pero donde está la información??
La interfase gráfica ???
Hablemos de almacenamiento ...

21. tail -f /var/log/snort/alerts
Almacenamiento en logs

22. Habilitar en la instalación
hasta la 2.9.2 – luego barnyard2
./configure --with-mysql –enable-dynamicplugin
Configurar en /etc/snort/snort.conf
output database: alert, mysql, user=root password=passwd dbname=snort host=localhost
output database: log, mysql, user=root password=passwd dbname=snort host=localhost
Almacenamiento en Base de datos

23. Interfase gráfica - Base

24. Interfase gráfica - SnorbyInterfase gráfica - Snorby

25. De qué me sirve todo esto
para proteger Elastix ??

26. Posicionamiento en la red con Elastix

27. sss
Elastix con IP Publica + estática

28. sss
Elastix en la nube

29. Recordemos un poco de tipos
de ataques .....

30. Los de siempre , ataques externos

31. Ataques internos, los de revancha

32. Los que nos hacemos nosotros.......

33. Detectando ataques hacia
Elastix
Cuando fail2ban no basta..

34. Detectando ataques hacia Elastix
Tres tipos clasicos
•Enumeracion y passwod cracking SIP
•Vulnerabilidades y Discovery Web
•Denial of services

35. Detectando ataques hacia Elastix
alert udp $EXTERNAL_NET any -> $HOME_NET 5060
(msg:"ET SCAN Sipvicious User-Agent Detected
(friendly-scanner)"; content:"|0d 0a|User-Agent|3A|
friendly-scanner"; classtype:attempted-recon;
reference:url,code.google.com/p/sipvicious/;
reference:url,blog.sipvicious.org/;
reference:url,doc.emergingthreats.net/2011716;
reference:url,www.emergingthreats.net/cgi-
bin/cvsweb.cgi/sigs/SCAN/SCAN_Sipvicious;
sid:2011716; rev:2;)

36. Detectando ataques hacia
Elastix usando SNORT
DEMO

37. Tener las librerias completas de DAQ
./snort --daq-list
Available DAQ modules:
pcap(v3): readback live multi unpriv
ipfw(v2): live inline multi unpriv
dump(v1): readback live inline multi unpriv
afpacket(v4): live inline multi unpriv
Snort en modo IPS
TIPS(1) :

38. Contar con dos interfase de red
- No misma mac
- Dos interfaces distintas
Snort en modo IPS
TIPS(2) :

39. Levantar snort en el modo correcto
- daq afpacket : Condigura daq en modo inline
- Q : Modo IPS
- i etho:eth1: Necesita dos interfases en modo IPS
Snort en modo IPS
TIPS(3) :

40. Hacer que IPTABLES colabore con Snort
iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j NFQUEUE
iptables -I OUTPUT -p tcp --sport 80 -j NFQUEUE
iptables -I INPUT -p tcp --dport 443 -j NFQUEUE
iptables -I OUTPUT -p tcp --sport 443 -j NFQUEUE
iptables -I INPUT -p udp --dport 5060 -j NFQUEUE
iptables -I OUTPUT -p udp --sport 5060 -j NFQUEUE
Snort como IPS
TIPS(4) :

41. Instalación de Snort en Elastix
URL: http://jroliva.wordpress.com/

42. Gracias ElastixWorld !!
Juan Oliva
Consultor en Ethical Hacking y VoIP
ECE®, dCAA®, C|EH™, C)PTE™, OSEH, BNS, LPIC-1™, Novell CLA®
Correo : joliva@silcom.com.pe
gtalk : jroliva@gmail.com
Twiter : @jroliva
Blog : http://jroliva.wordpress.com/