PaloSanto Solutions, profile picture
Subido porPaloSanto Solutions
PDF, PPTX1,765 vistas

Usando el módulo PIKE en Elastix MT

Este documento explica cómo usar el módulo PIKE en Kamailio para proporcionar seguridad contra ataques de denegación de servicio en un sistema Elastix MT. Describe cómo cargar e configurar el módulo PIKE, y evaluarlo en la lógica de enrutamiento para bloquear direcciones IP y agentes de usuario sospechosos. También cubre cómo implementar bloqueos por agente de usuario en la configuración de Elastix MT.

Incrustar presentación

Descargar como PDF, PPTX
Usando el módulo PIKE en Elastix MT Juan Oliva Security Consultant and VoIP at SILCOM
2 $ Whois @jroliva Juan Oliva Linuxero de toda la vida Consultor de proyectos de Telefonía y VoIP Consultor de proyectos de Ethical Hacking Certificaciones C|EH, CPTE, OSEH, BNS, ECE, ESM, dCAA, LPIC-1, Novell CLA Intructor & Training - Certificación de Seguridad de Elastix “ESM” y “ECE” - Certificación Linux Professional Institute LPI-C1 - Cursos Ethical Hacking y Voz sobre IP
3 Qué es Elastix MT ?
4 Qué es Elastix MT ? • Conocido al inicio como Elastix 3.0 • Enfocada para PBX Providers y Cloud PBX • Soporte Multi-Tenant • SIP Proxy embebido
5 Qué es Elastix MT ?
6 Qué es Elastix MT ?
7 Qué es Kamailio ?
8 Qué es Kamailio ? • Es un SIP PROXY • Es un router de paquetes SIP • Trabaja a bajo nivel • No sabe que es una llamada, solo sabe enrutar métodos SIP .. INVITE, BYE,etc.etc..
9 Kamailio Modos de trabajo Stateful - Stateless
10 Kamailio modo Stateless • No existe ningún seguimiento • Sólo reenvía mensajes • No provee capacidad de control
11 Kamailio modo Stateful • Se mantiene en el medio de todas las "transacciones" SIP • transacción petición y una respuesta • Provee servicios como acounting
Servicios más conocidos de kamailio 12 • Acounting y location • Paralel forking • Balanceo de carga • Reescribir modificar métodos SIP • Seguridad a bajo nivel
13 Kamailio Preguntas de rigor • Es posible ponerle un E1/T1 a kamailio ? • Puedo saber las llamadas concurrentes en Kamailio como lo hago en Asterisk ? • Puedo colgar una llamada en curso como lo hago en Asterisk ? • Se hace cargo de la media y/o video ?
ASTERISK 14 • Es un Back to back user Agent • Control sobre las “llamadas” • Mantiene activa y gestión el estado • Si se cae .. se caen todas las llamadas :(
15 Desmembrando kamailio en Elastix MT
16 Kamailio.cfg /etc/kamailio/kamailio.cfg Definiciones globales Sección de módulos Sección de configuración de módulos Bloques de rutas o lógica de enrutamiento Principal (Main ó request_route) Secundarias (REQINIT, WITHINDLG,REGISTRAR) Failure (failure_route) Branch (branch_route)
17 WHITINDLG request_route Comprobaciones iniciales (REQINIT) Descartar los Cancel Quitar los request in dialog (WHITINGDLD) Quitar Restransmisiones Quitar cabeceras route externas Agregar record_route para los invite y subscribe Decartar peticiones que no son de nuestro dominio Eliminación de route externos en request (SIPOUT) Gestionar los registar (REGISTRAR) Validar si llega la Request Uri – user Buscar al usuario para enrutarlo (LOCATION) Revisión si la request in dialog tiene todo lo Necesario para enrutar ejem Notify , ACK RelaySIPOUT Ruta Peticiones dominio Externas REGISTRAR Si el método es register Guarda el registro del UA LOCATION Carga los datos de contacto Guardados en el registro y Lo enruta (relay) Enruta en función a la Request Uri REQINIT
18 Y entonces ….. Como se integra Kamailio y Asterisk en Elastix MT ?
19
20 vim /etc/kamailio/kamailio.conf #!define DBASTURL "unixodbc:///elxpbx-connector" vim /etc/asterisk/res_odbc.conf ;;; odbc setup file [elxpbx] enabled => yes dsn => elxpbx-connector pre-connect => yes sanitysql => select 1
21 Y donde se encuentran los usuarios, registros..etc..etc??
Tabla : sipBase datos : elxpbx
View : subscriberBase datos : elxpbx
View : subscriberBase datos : elxpbx
25 Tabla : sipView : subscriber BD : elxpbx
26 Seguridad en Kamailio
27 Dos formas : Modulo PIKE User Agent
28 Módulo PIKE •Realiza un seguimiento de todas o IP de origen solicitud entrante seleccionado. •Bloquea los que superen un determinado umbral •Soporta IPv6 •No hay acciones internas para bloquear
29 Qué necesitamos para usar PIKE en Kamailio ?
30 Módulo PIKE loadmodule "pike.so" Cargar el módulo ( Not by Default) 1.- Cargar módulo
modparam("pike", "sampling_time_unit", 5) modparam("pike", "reqs_density_per_unit", 50) modparam("pike", "remove_latency", 60) modparam("pike", "pike_log_level", 4) modparam("htable", "htable", "ipban=>size=8;autoexpire=300") Módulo PIKE Cantidad de peticiones Umbrar en segundos Tiempo que la IP está en memoria Nivel del syslog Hash table, Tabla IPBAN , Tamaño 256 (2x8) , permanece 300 segundos o 5 minutos 2.- Configurar módulo
32 Modulo PIKE if(src_ip!=myself) { if($sht(ipban=>$si)!=$null) { xdbg("request from blocked IP - $rm from $fu (IP:$si:$sp)n"); exit; } if (!pike_check_req()) { xlog("L_ALERT","ALERT: pike blocking $rm from $fu (IP:$si:$sp)n"); $sht(ipban=>$si) = 1; exit; } } Si la IP está en IPBAN La IP está bloqueada Sale Si la IP superó el umbral definido Crea una entrada en hastable IPBAN con la IP Sale Si la IP es diferente a mi 3.- Evaluar en el route ( lógica de enrutamiento)
33 POR USER AGENT $ua •Realiza un análisis de todos los UA enrutados •Bloquea los UA que se determinen •No lee ningún tipo de log para realizar el bloqueo
34 POR USER AGENT $ua U 192.168.10.33:5060 -> 192.168.10.35:5060 REGISTER sip:192.168.10.35 SIP/2.0. Via: SIP/2.0/UDP 127.0.1.1:5060;branch=z9hG4bK-2962251035;rport. Content-Length: 0. From: "100" <sip:100@192.168.10.35>;tag=2475650193. Accept: application/sdp. User-Agent: friendly-scanner. To: "100" <sip:100@192.168.10.35>. Contact: sip:123@1.1.1.1. CSeq: 1 REGISTER. Call-ID: 3403204427. Max-Forwards: 70.
35 if($ua =~ "friendly-scanner" || $ua =~ "sipvicious" || $ua =~ "^sipcli.+") { xlog("L_WARN","ALERT: BRUTEFORCE $rm TOOL $ua DESDE $fu (IP:$si:$sp)n"); exit; } BY USER AGENT $ua Si el $UA es Sale del request
36 Seguridad en Elastix MT 36
37 Ummm y ahora en donde van los códigos en Elastix MT?? Modulo PIKE User Agent
WHITINDLG request_route RelaySIPOUT REGISTRAR LOCATION REQINIT AQUÍ !! Ummm y en donde van los códigos en Elastix MT??
39 Configurando PIKE en ELASTIX MT 1.- Activar la variable en las definiciones globales #!define WITH_ANTIFLOOD
40 Configurando PIKE en ELASTIX MT 2.- Verificar la carga del módulo #!ifdef WITH_ANTIFLOOD loadmodule "pike.so" #!endif
41 Configurando PIKE en ELASTIX MT 3.- Configurar el módulo PIKE a gusto :D #!ifdef WITH_ANTIFLOOD modparam("pike", "sampling_time_unit", 5) modparam("pike", "reqs_density_per_unit", 50) modparam("pike", "remove_latency", 60) modparam("pike", "pike_log_level", 4) modparam("htable", "htable", "ipban=>size=8;autoexpire=300")
42 Configurando PIKE en ELASTIX MT 4.- Evaluar en la lógica de enrutamiento route[REQINIT] { if(src_ip!=myself) { if($sht(ipban=>$si)!=$null) { # ip is already blocked xdbg("request from blocked IP - $rm from $fu (IP:$si:$sp)n"); exit; } if (!pike_check_req()) { # blocking new ip xlog("L_ALERT","ALERT: pike blocking $rm from $fu (IP:$si:$sp)n"); $sht(ipban=>$si) = 1; exit; } }
43 Configurando bloqueo por $UA en Elastix MT 43
44 Configurando bloqueo por $UA en ELASTIX MT 1.- Evaluar en la lógica de enrutamiento route[REQINIT] { if($ua =~ "friendly-scanner" || $ua =~ "sipvicious" || $ua =~ "^sipcli.+") { xlog("L_WARN","ALERT: HIJOIPUCHA ENVIANDO $rm CON LA TOOL $ua DESDE $fu (IP:$si:$sp)n"); exit; } }
45 Seguridad en Elastix MT (POC - DEMO)
46 Aún así no entendiste Descarga el kamailio.cfg https://jroliva.wordpress.com/2015/10/07/configurando-seguridad-en-elastix-mt
47 Enlaces de referencia Variables en Kamailio http://www.kamailio.org/wiki/cookbooks/4.0.x/pseudovariables Elementos del archivo de configuración de kamailio http://www.kamailio.org/wiki/cookbooks/4.0.x/core/cfg Definición de parámetros del modulo PIKE http://www.kamailio.org/docs/modules/4.2.x/modules/pike Troncalización de Elastix MT y A2BILLING mediante SIP https://jroliva.wordpress.com/2015/03/19/troncalizacion-de-elastix-mt-y-a2billing-mediante-sip/ Configuración y uso de la interfase web de Elastix MT http://es.slideshare.net/ElastixMX/elastix-mt-al-descubierto-alfio-muoz-alteknativa Protegiendo nuestro sistema VoIP con Kamailio http://blog.pepelux.org/2014/07/30/protegiendo-nuestro-sistema-de-voip-con-kamailio/
www.silcom.com.co www.silcom.com.pe Preguntas? Juan Oliva Consultor en seguridad informatica y VoIP email : joliva@silcom.com.pe hangout : jroliva@gmailcom Twiter : @jroliva Blog : http://jroliva.wordpress.com/ Gracias ElastixWorld !!

Más contenido relacionado

PDF
Interactuando con a2billing
porPaloSanto Solutions
 
PDF
Elastix SIP Firewall: Una capa extra de seguridad para su PBX
porPaloSanto Solutions
 
PDF
Call Center en Elastix
porPaloSanto Solutions
 
PDF
Seguridad en Asterisk: Un acercamiento detallado
porPaloSanto Solutions
 
PDF
Escarbando en el módulo Security de Elastix
porPaloSanto Solutions
 
PPTX
Tres componentes fundamentales de un buen PBX IP: seguridad, alta disponibili...
porPaloSanto Solutions
 
PPTX
Gestión de la Información de Desempeño con OpenNMS
porPaloSanto Solutions
 
PDF
Elastix MT al descubierto Alfio Muñoz, Alteknativa
porElastix México
 
Interactuando con a2billing
porPaloSanto Solutions
 
Elastix SIP Firewall: Una capa extra de seguridad para su PBX
porPaloSanto Solutions
 
Call Center en Elastix
porPaloSanto Solutions
 
Seguridad en Asterisk: Un acercamiento detallado
porPaloSanto Solutions
 
Escarbando en el módulo Security de Elastix
porPaloSanto Solutions
 
Tres componentes fundamentales de un buen PBX IP: seguridad, alta disponibili...
porPaloSanto Solutions
 
Gestión de la Información de Desempeño con OpenNMS
porPaloSanto Solutions
 
Elastix MT al descubierto Alfio Muñoz, Alteknativa
porElastix México
 

La actualidad más candente

PDF
Extendiendo la seguridad en Elastix con Snort IDS/IPS
porPaloSanto Solutions
 
PDF
V2 d2013 jose l verdeguer - freepbx fun and profit
porVOIP2DAY
 
PDF
José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]
porRootedCON
 
PDF
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...
porXorcom
 
PPTX
Clase 04
porTitiushko Jazz
 
PDF
Manual asterisk oigaa
poraiep
 
PPTX
Elastix como solucion asterisk
porJarvey Gonzalez
 
PPTX
Ccnas v11 ch01_eb
porEdgar Benavente
 
PDF
Zabbix Agent - Protocolo SNMP
porSamuel Álvarez Sariego
 
PPT
Presentacion zabbix 2013.11.10.v02
porLuis Penaloza Naranjo
 
PDF
Extensiones remotas seguras en Elastix
porPaloSanto Solutions
 
ODP
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
porRootedCON
 
PPTX
Instalación Firewall Checkpoint R70
porsymple9
 
PPT
2013 03 - rooted - free pbx-for fun and profit
porJose Luis Verdeguer Navarro
 
PPTX
Clase 15
porTitiushko Jazz
 
PDF
Honeypots2006 2007
porJuan Antonio Gil Martínez-Abarca
 
PDF
Conociendo más de elastix 101
porenriquetcampos.org
 
PDF
El control de la informacion
porElio Rojano
 
PPTX
Elastix Market
porEuropeSIP Communications SL
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
porPaloSanto Solutions
 
V2 d2013 jose l verdeguer - freepbx fun and profit
porVOIP2DAY
 
José Luis Verdeguer - FreePBX for fun & profit [Rooted CON 2013]
porRootedCON
 
La estructura es fundamental: PBX IP, tarjetas de telefonía y herramientas pa...
porXorcom
 
Clase 04
porTitiushko Jazz
 
Manual asterisk oigaa
poraiep
 
Elastix como solucion asterisk
porJarvey Gonzalez
 
Ccnas v11 ch01_eb
porEdgar Benavente
 
Zabbix Agent - Protocolo SNMP
porSamuel Álvarez Sariego
 
Presentacion zabbix 2013.11.10.v02
porLuis Penaloza Naranjo
 
Extensiones remotas seguras en Elastix
porPaloSanto Solutions
 
Jesús Olmos - ChromeHack, a html5/chrome webhack tool [Rooted CON 2013]
porRootedCON
 
Instalación Firewall Checkpoint R70
porsymple9
 
2013 03 - rooted - free pbx-for fun and profit
porJose Luis Verdeguer Navarro
 
Clase 15
porTitiushko Jazz
 
Honeypots2006 2007
porJuan Antonio Gil Martínez-Abarca
 
Conociendo más de elastix 101
porenriquetcampos.org
 
El control de la informacion
porElio Rojano
 
Elastix Market
porEuropeSIP Communications SL
 

Destacado

PDF
Kamailio :: A Quick Introduction
porOlle E Johansson
 
PDF
Kamailio - Large Unified Communication Platforms
porDaniel-Constantin Mierla
 
PDF
Kamailio - SIP Firewall for Carrier Grade Traffic
porDaniel-Constantin Mierla
 
PDF
Kamailio - API Based SIP Routing
porDaniel-Constantin Mierla
 
PDF
Kamailio - The Story for Asterisk
porDaniel-Constantin Mierla
 
PDF
Why is Kamailio so different? An introduction.
porOlle E Johansson
 
PDF
Kamailio - Load Balancing Load Balancers
porDaniel-Constantin Mierla
 
ODP
Expanding Asterisk with Kamailio
porFred Posner
 
PDF
Participate in SIPit
porOlle E Johansson
 
ODP
Elastix 3 y sus 3 killer features
porEdgar Landivar
 
PDF
Construyendo un Addon Elastix: Avanzado
porPaloSanto Solutions
 
Kamailio :: A Quick Introduction
porOlle E Johansson
 
Kamailio - Large Unified Communication Platforms
porDaniel-Constantin Mierla
 
Kamailio - SIP Firewall for Carrier Grade Traffic
porDaniel-Constantin Mierla
 
Kamailio - API Based SIP Routing
porDaniel-Constantin Mierla
 
Kamailio - The Story for Asterisk
porDaniel-Constantin Mierla
 
Why is Kamailio so different? An introduction.
porOlle E Johansson
 
Kamailio - Load Balancing Load Balancers
porDaniel-Constantin Mierla
 
Expanding Asterisk with Kamailio
porFred Posner
 
Participate in SIPit
porOlle E Johansson
 
Elastix 3 y sus 3 killer features
porEdgar Landivar
 
Construyendo un Addon Elastix: Avanzado
porPaloSanto Solutions
 

Similar a Usando el módulo PIKE en Elastix MT

PDF
Manual instalación e implementación de Elastix
porcamilaml
 
PDF
MANUAL PARA CONFIGURACIÓN DE ELASTIX
pormiguelangelperezhenao
 
PDF
Securización de sistemas de VoIP - JOSÉ LUIS VERDEGUER - VoIP2DAY 2017
porVOIP2DAY
 
PDF
Elastix Manual Español
porunad
 
PDF
Voip CentOS Asterisk
porCésar Elices Ruiz
 
PDF
Protegiendo SIP y SSH con Fail2ban en Elastix
porPaloSanto Solutions
 
PDF
Kamailio en Elastix 3
porPaloSanto Solutions
 
PDF
Kamailio en Elastix 3
porPaloSanto Solutions
 
PPTX
Centralita
porMario Mendoza
 
PPTX
Fundamentos Teoricos Sobre Elastix
porMeyner Avalos
 
PDF
Implementando Seguridad en plataformas de software libre Elastix
porJuan Oliva
 
PDF
2014 jon bonilla pon un proxy sip en tu vida
porVOIP2DAY
 
PDF
Implementando Seguridad en plataformas de software libre Elastix
porJuan Oliva
 
PDF
Elastixusermanualspanish0 9-alpha-120917223851-phpapp02-141002081528-phpapp01
porLeonel_Iracheta
 
PDF
Telefonía IP
porAskeli Dumont
 
PDF
Elastix como plataforma para nuevos desarrollos
porPaloSanto Solutions
 
PDF
V2 d2013 andres gorostidi - elastix
porVOIP2DAY
 
PPTX
Alfasoluciones
porDorian Grayy
 
PDF
Elastix Roadmap 2012
porPaloSanto Solutions
 
PDF
Elastix Connect
porEuropeSIP Communications SL
 
Manual instalación e implementación de Elastix
porcamilaml
 
MANUAL PARA CONFIGURACIÓN DE ELASTIX
pormiguelangelperezhenao
 
Securización de sistemas de VoIP - JOSÉ LUIS VERDEGUER - VoIP2DAY 2017
porVOIP2DAY
 
Elastix Manual Español
porunad
 
Voip CentOS Asterisk
porCésar Elices Ruiz
 
Protegiendo SIP y SSH con Fail2ban en Elastix
porPaloSanto Solutions
 
Kamailio en Elastix 3
porPaloSanto Solutions
 
Kamailio en Elastix 3
porPaloSanto Solutions
 
Centralita
porMario Mendoza
 
Fundamentos Teoricos Sobre Elastix
porMeyner Avalos
 
Implementando Seguridad en plataformas de software libre Elastix
porJuan Oliva
 
2014 jon bonilla pon un proxy sip en tu vida
porVOIP2DAY
 
Implementando Seguridad en plataformas de software libre Elastix
porJuan Oliva
 
Elastixusermanualspanish0 9-alpha-120917223851-phpapp02-141002081528-phpapp01
porLeonel_Iracheta
 
Telefonía IP
porAskeli Dumont
 
Elastix como plataforma para nuevos desarrollos
porPaloSanto Solutions
 
V2 d2013 andres gorostidi - elastix
porVOIP2DAY
 
Alfasoluciones
porDorian Grayy
 
Elastix Roadmap 2012
porPaloSanto Solutions
 
Elastix Connect
porEuropeSIP Communications SL
 

Más de PaloSanto Solutions

PPTX
Todo lo lo que necesita saber para implementar FreePBX
porPaloSanto Solutions
 
PDF
Voip y Big Data, ¿Cómo aplicar analytics a la VoIP?
porPaloSanto Solutions
 
PDF
Porteros IP SURiX con sin Video - Aplicaciones - Casos de éxito - Configuración
porPaloSanto Solutions
 
PDF
Proceso de migración de telefonía tradicional a Elastix (Caso)
porPaloSanto Solutions
 
PPTX
Building a new ecosystem for interoperable communications
porPaloSanto Solutions
 
PPTX
Asterisk de las cosas
porPaloSanto Solutions
 
PDF
La evolución de la telefonía IP a comunicaciones unificadas
porPaloSanto Solutions
 
PDF
Plan de Marcado Distribuido con Dundi
porPaloSanto Solutions
 
PDF
Integrando encuestas automáticas con iSurveyX
porPaloSanto Solutions
 
PDF
Presentacion Hardware Elastix 2015 - Colombia
porPaloSanto Solutions
 
PDF
Asterisk: the future is at REST
porPaloSanto Solutions
 
PDF
Voicemail Avanzado
porPaloSanto Solutions
 
PDF
Módulo de Alta Disponibilidad de Elastix
porPaloSanto Solutions
 
PDF
iDialerX: Discador de llamadas automáticas por IVR - Casos prácticos
porPaloSanto Solutions
 
PDF
Escalado y balanceo de carga de sistemas SIP
porPaloSanto Solutions
 
PDF
Elastix unified communications server cookbook
porPaloSanto Solutions
 
PPTX
Queuemetrics esencial, de la implementación a reportes avanzadas
porPaloSanto Solutions
 
PDF
Innovative technology for universal communication designed to involve the (he...
porPaloSanto Solutions
 
PDF
Dynamic calls with Text To Speech
porPaloSanto Solutions
 
PDF
WebRTC … ¡vamos a discar!
porPaloSanto Solutions
 
Todo lo lo que necesita saber para implementar FreePBX
porPaloSanto Solutions
 
Voip y Big Data, ¿Cómo aplicar analytics a la VoIP?
porPaloSanto Solutions
 
Porteros IP SURiX con sin Video - Aplicaciones - Casos de éxito - Configuración
porPaloSanto Solutions
 
Proceso de migración de telefonía tradicional a Elastix (Caso)
porPaloSanto Solutions
 
Building a new ecosystem for interoperable communications
porPaloSanto Solutions
 
Asterisk de las cosas
porPaloSanto Solutions
 
La evolución de la telefonía IP a comunicaciones unificadas
porPaloSanto Solutions
 
Plan de Marcado Distribuido con Dundi
porPaloSanto Solutions
 
Integrando encuestas automáticas con iSurveyX
porPaloSanto Solutions
 
Presentacion Hardware Elastix 2015 - Colombia
porPaloSanto Solutions
 
Asterisk: the future is at REST
porPaloSanto Solutions
 
Voicemail Avanzado
porPaloSanto Solutions
 
Módulo de Alta Disponibilidad de Elastix
porPaloSanto Solutions
 
iDialerX: Discador de llamadas automáticas por IVR - Casos prácticos
porPaloSanto Solutions
 
Escalado y balanceo de carga de sistemas SIP
porPaloSanto Solutions
 
Elastix unified communications server cookbook
porPaloSanto Solutions
 
Queuemetrics esencial, de la implementación a reportes avanzadas
porPaloSanto Solutions
 
Innovative technology for universal communication designed to involve the (he...
porPaloSanto Solutions
 
Dynamic calls with Text To Speech
porPaloSanto Solutions
 
WebRTC … ¡vamos a discar!
porPaloSanto Solutions
 

Usando el módulo PIKE en Elastix MT

  • 1.
    Usando el móduloPIKE en Elastix MT Juan Oliva Security Consultant and VoIP at SILCOM
  • 2.
    2 $ Whois @jroliva JuanOliva Linuxero de toda la vida Consultor de proyectos de Telefonía y VoIP Consultor de proyectos de Ethical Hacking Certificaciones C|EH, CPTE, OSEH, BNS, ECE, ESM, dCAA, LPIC-1, Novell CLA Intructor & Training - Certificación de Seguridad de Elastix “ESM” y “ECE” - Certificación Linux Professional Institute LPI-C1 - Cursos Ethical Hacking y Voz sobre IP
  • 3.
  • 4.
    4 Qué es ElastixMT ? • Conocido al inicio como Elastix 3.0 • Enfocada para PBX Providers y Cloud PBX • Soporte Multi-Tenant • SIP Proxy embebido
  • 5.
  • 6.
  • 7.
  • 8.
    8 Qué es Kamailio? • Es un SIP PROXY • Es un router de paquetes SIP • Trabaja a bajo nivel • No sabe que es una llamada, solo sabe enrutar métodos SIP .. INVITE, BYE,etc.etc..
  • 9.
  • 10.
    10 Kamailio modo Stateless • Noexiste ningún seguimiento • Sólo reenvía mensajes • No provee capacidad de control
  • 11.
    11 Kamailio modo Stateful • Semantiene en el medio de todas las "transacciones" SIP • transacción petición y una respuesta • Provee servicios como acounting
  • 12.
    Servicios más conocidos dekamailio 12 • Acounting y location • Paralel forking • Balanceo de carga • Reescribir modificar métodos SIP • Seguridad a bajo nivel
  • 13.
    13 Kamailio Preguntas de rigor •Es posible ponerle un E1/T1 a kamailio ? • Puedo saber las llamadas concurrentes en Kamailio como lo hago en Asterisk ? • Puedo colgar una llamada en curso como lo hago en Asterisk ? • Se hace cargo de la media y/o video ?
  • 14.
    ASTERISK 14 • Es unBack to back user Agent • Control sobre las “llamadas” • Mantiene activa y gestión el estado • Si se cae .. se caen todas las llamadas :(
  • 15.
  • 16.
    16 Kamailio.cfg /etc/kamailio/kamailio.cfg Definiciones globales Sección demódulos Sección de configuración de módulos Bloques de rutas o lógica de enrutamiento Principal (Main ó request_route) Secundarias (REQINIT, WITHINDLG,REGISTRAR) Failure (failure_route) Branch (branch_route)
  • 17.
    17 WHITINDLG request_route Comprobaciones iniciales (REQINIT) Descartarlos Cancel Quitar los request in dialog (WHITINGDLD) Quitar Restransmisiones Quitar cabeceras route externas Agregar record_route para los invite y subscribe Decartar peticiones que no son de nuestro dominio Eliminación de route externos en request (SIPOUT) Gestionar los registar (REGISTRAR) Validar si llega la Request Uri – user Buscar al usuario para enrutarlo (LOCATION) Revisión si la request in dialog tiene todo lo Necesario para enrutar ejem Notify , ACK RelaySIPOUT Ruta Peticiones dominio Externas REGISTRAR Si el método es register Guarda el registro del UA LOCATION Carga los datos de contacto Guardados en el registro y Lo enruta (relay) Enruta en función a la Request Uri REQINIT
  • 18.
    18 Y entonces ….. Comose integra Kamailio y Asterisk en Elastix MT ?
  • 19.
  • 20.
    20 vim /etc/kamailio/kamailio.conf #!define DBASTURL"unixodbc:///elxpbx-connector" vim /etc/asterisk/res_odbc.conf ;;; odbc setup file [elxpbx] enabled => yes dsn => elxpbx-connector pre-connect => yes sanitysql => select 1
  • 21.
    21 Y donde seencuentran los usuarios, registros..etc..etc??
  • 22.
    Tabla : sipBasedatos : elxpbx
  • 23.
    View : subscriberBasedatos : elxpbx
  • 24.
    View : subscriberBasedatos : elxpbx
  • 25.
    25 Tabla : sipView: subscriber BD : elxpbx
  • 26.
  • 27.
    27 Dos formas : ModuloPIKE User Agent
  • 28.
    28 Módulo PIKE •Realiza unseguimiento de todas o IP de origen solicitud entrante seleccionado. •Bloquea los que superen un determinado umbral •Soporta IPv6 •No hay acciones internas para bloquear
  • 29.
  • 30.
    30 Módulo PIKE loadmodule "pike.so" Cargarel módulo ( Not by Default) 1.- Cargar módulo
  • 31.
    modparam("pike", "sampling_time_unit", 5) modparam("pike","reqs_density_per_unit", 50) modparam("pike", "remove_latency", 60) modparam("pike", "pike_log_level", 4) modparam("htable", "htable", "ipban=>size=8;autoexpire=300") Módulo PIKE Cantidad de peticiones Umbrar en segundos Tiempo que la IP está en memoria Nivel del syslog Hash table, Tabla IPBAN , Tamaño 256 (2x8) , permanece 300 segundos o 5 minutos 2.- Configurar módulo
  • 32.
    32 Modulo PIKE if(src_ip!=myself) { if($sht(ipban=>$si)!=$null){ xdbg("request from blocked IP - $rm from $fu (IP:$si:$sp)n"); exit; } if (!pike_check_req()) { xlog("L_ALERT","ALERT: pike blocking $rm from $fu (IP:$si:$sp)n"); $sht(ipban=>$si) = 1; exit; } } Si la IP está en IPBAN La IP está bloqueada Sale Si la IP superó el umbral definido Crea una entrada en hastable IPBAN con la IP Sale Si la IP es diferente a mi 3.- Evaluar en el route ( lógica de enrutamiento)
  • 33.
    33 POR USER AGENT $ua •Realizaun análisis de todos los UA enrutados •Bloquea los UA que se determinen •No lee ningún tipo de log para realizar el bloqueo
  • 34.
    34 POR USER AGENT $ua U192.168.10.33:5060 -> 192.168.10.35:5060 REGISTER sip:192.168.10.35 SIP/2.0. Via: SIP/2.0/UDP 127.0.1.1:5060;branch=z9hG4bK-2962251035;rport. Content-Length: 0. From: "100" <sip:100@192.168.10.35>;tag=2475650193. Accept: application/sdp. User-Agent: friendly-scanner. To: "100" <sip:100@192.168.10.35>. Contact: sip:123@1.1.1.1. CSeq: 1 REGISTER. Call-ID: 3403204427. Max-Forwards: 70.
  • 35.
    35 if($ua =~ "friendly-scanner"|| $ua =~ "sipvicious" || $ua =~ "^sipcli.+") { xlog("L_WARN","ALERT: BRUTEFORCE $rm TOOL $ua DESDE $fu (IP:$si:$sp)n"); exit; } BY USER AGENT $ua Si el $UA es Sale del request
  • 36.
  • 37.
    37 Ummm y ahora endonde van los códigos en Elastix MT?? Modulo PIKE User Agent
  • 38.
    WHITINDLG request_route RelaySIPOUT REGISTRAR LOCATION REQINIT AQUÍ!! Ummm y en donde van los códigos en Elastix MT??
  • 39.
    39 Configurando PIKE en ELASTIXMT 1.- Activar la variable en las definiciones globales #!define WITH_ANTIFLOOD
  • 40.
    40 Configurando PIKE en ELASTIXMT 2.- Verificar la carga del módulo #!ifdef WITH_ANTIFLOOD loadmodule "pike.so" #!endif
  • 41.
    41 Configurando PIKE en ELASTIXMT 3.- Configurar el módulo PIKE a gusto :D #!ifdef WITH_ANTIFLOOD modparam("pike", "sampling_time_unit", 5) modparam("pike", "reqs_density_per_unit", 50) modparam("pike", "remove_latency", 60) modparam("pike", "pike_log_level", 4) modparam("htable", "htable", "ipban=>size=8;autoexpire=300")
  • 42.
    42 Configurando PIKE en ELASTIXMT 4.- Evaluar en la lógica de enrutamiento route[REQINIT] { if(src_ip!=myself) { if($sht(ipban=>$si)!=$null) { # ip is already blocked xdbg("request from blocked IP - $rm from $fu (IP:$si:$sp)n"); exit; } if (!pike_check_req()) { # blocking new ip xlog("L_ALERT","ALERT: pike blocking $rm from $fu (IP:$si:$sp)n"); $sht(ipban=>$si) = 1; exit; } }
  • 43.
  • 44.
    44 Configurando bloqueo por $UAen ELASTIX MT 1.- Evaluar en la lógica de enrutamiento route[REQINIT] { if($ua =~ "friendly-scanner" || $ua =~ "sipvicious" || $ua =~ "^sipcli.+") { xlog("L_WARN","ALERT: HIJOIPUCHA ENVIANDO $rm CON LA TOOL $ua DESDE $fu (IP:$si:$sp)n"); exit; } }
  • 45.
    45 Seguridad en ElastixMT (POC - DEMO)
  • 46.
    46 Aún así noentendiste Descarga el kamailio.cfg https://jroliva.wordpress.com/2015/10/07/configurando-seguridad-en-elastix-mt
  • 47.
    47 Enlaces de referencia Variablesen Kamailio http://www.kamailio.org/wiki/cookbooks/4.0.x/pseudovariables Elementos del archivo de configuración de kamailio http://www.kamailio.org/wiki/cookbooks/4.0.x/core/cfg Definición de parámetros del modulo PIKE http://www.kamailio.org/docs/modules/4.2.x/modules/pike Troncalización de Elastix MT y A2BILLING mediante SIP https://jroliva.wordpress.com/2015/03/19/troncalizacion-de-elastix-mt-y-a2billing-mediante-sip/ Configuración y uso de la interfase web de Elastix MT http://es.slideshare.net/ElastixMX/elastix-mt-al-descubierto-alfio-muoz-alteknativa Protegiendo nuestro sistema VoIP con Kamailio http://blog.pepelux.org/2014/07/30/protegiendo-nuestro-sistema-de-voip-con-kamailio/
  • 48.
    www.silcom.com.co www.silcom.com.pe Preguntas? Juan Oliva Consultor enseguridad informatica y VoIP email : joliva@silcom.com.pe hangout : jroliva@gmailcom Twiter : @jroliva Blog : http://jroliva.wordpress.com/ Gracias ElastixWorld !!