Seguridad en Servidores Elastix (Asterisk)

0351 Grupo | Consultoría IT

Manual de referencia Seguridad en servidores CentOS con Elastix ®  !uenas pr"cticas V. 0.7

Autor: Rodrigo A. Martin

Copyright © 2005 -2010 0!51 "rupo. #odo$ lo$ derecho$ re$er%ado$. &l pre$ente docu'ento tiene $olo fine$ infor'ati%o$ y $u contenido e$t( $u)eto a ca'*io$ $in notificaci+n alguna. &l pre$ente docu'ento no podr( $er reproducido ni tran$'itido de ninguna for'a ni por ning,n 'edio $in con$enti'iento con$enti'iento por e$crito de 0!51 "rupo.

Titles you can't find anywhere else

Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.








Ante$ de co'enar el de$arrollo del pre$ente de*o aclarar ue no $e trata de un 'anual ue cu*re todo$ lo$ a$pecto$ de $eguridad a tener en cuenta al poner un $er%idor $er%i dor ela$t ela$ti/ i/ en produc producci+n ci+n $ino $ino ciert cierta$ a$ reco' reco'endac endacione$ ione$ y conf configura iguracione$ cione$ *($ica *($ ica$ $ del . .  )un )unto to con otr otro$ o$ apl aplica icati% ti%o$ o$ e/t e/tra rada da$ $ de li li*ro$ *ro$ tut tutori oriale ale$ $ y e/pe e/ peri rien enci cia$ a$ pe per$ r$on onal ale$ e$ u ue e no no$ $ ay ayud udar aran an a 'a 'ant nten ener erlo lo '( '($ $ $e $egu guro ro.. Mi reco'endaci+n inicial e$ ca'*iar todo$ lo$ pa$$3ord$ ue trae ela$ti/ por defecto 4e$to lo pode'o$ encontrar en el el li*ro &la$ti/ a Rit'o de Merengue6 captulo captulo 12 dicho e$to co'ence'o$:

Firewall-Iptables Iptables e$ el fire3all ue trae in$talado nue$tro Cent  e$te e$ 'uy popular y

uno de lo$ '($ utiliado$ en di$tri*ucione$ 8inu/ por $u ro*u$te y e$ta*ilidad. e $ta*ilidad. 8o ideal e$ ue el fire3all $ea un co'ponente independiente $eparado de lo$ de'($ $er%idore$ pero $i no tene'o$ dicho di$po$iti%o pode'o$ aplicar e$ta$ regla$ directa'ente $o*re nue$tro $er%idor y a$ e$ta*lecer poltica$ con lo$ puerto$ de red del 'i$'o. 8o ue hare'o$ por 'edio de e$ta herra'ienta $er( ha*ilitar o a*rir6 $olo lo$ puerto$ ue e$ta'o$ utiliando y cerrar todo$ lo$ de'($ *rindando a$ 'ayor protecci+n al $er%idor. &$ i'portante el orden de ingre$o de la$ regla$ ya ue iptables %a 'acheando6 por e$ta$ de$de la pri'era ue $e ingre$a ha$ta llegar a la ,lti'a $i no encuentra ninguna coincidencia la ,lti'a regla ue e$cri*ire'o$ $er( cerrar todo$ lo$ de'($ puerto$ a$ ue $i no coincide con lo$ e$pecificado$ al principio no podr( ge$tionar alguna cone/i+n por dicho puerto. &n el e)e'plo to'a'o$ ue la tar)eta de red por defecto e$ eth06 Aceptando el tr(fico 9: # iptables -A INPUT -p udp -m udp -i eth0 --dport 5060 -j ACCEPT Aceptando el tr(fico 9A;2: # iptables -A INPUT -p udp -m udp -i eth0 --dport 4569 -j ACCEPT Aceptando el tr(fico R# 4uponiendo ue no $e ha alterado el archi%o rtp.conf: # iptables -A INPUT -p udp -m udp -i eth0 --dport 0000!"0000 -j ACCEPT Aceptando tr(fico M"C 4$olo aplicar $i e$ ue $e %a a u$ar u$ar.. &n la 'ayora de lo$ ca$o$ no e$ nece$ario: # iptables -A INPUT -p udp -m udp -i eth0 --dport "" -j ACCEPT Aceptando el tr(fico de 'en$a)era in$tant(nea 4$i e$ ue $e %a a acceder de$de fuera: # iptables -A INPUT -p t$p -i eth0 --dport 9090 -j ACCEPT Aceptando el tr(fico del $er%idor de correo y <9MA: # iptables -A INPUT -p t$p -i eth0 --dport "5 -j ACCEPT # iptables -A INPUT -p t$p -i eth0 --dport 0 -j ACCEPT # iptables -A INPUT -p t$p -i eth0 --dport 4% -j ACCEPT







0351 Grupo | Consultoría IT # iptables -A INPUT -p t$p -i eth0 --dport &0 -j ACCEPT # iptables -A INPUT -p t$p -i eth0 --dport 44% -j ACCEPT

Hinal'ente denegando el acce$o a todo lo de'($: iptables -A INPUT -p all -i eth0 -j '()P ara %erificar $i la$ regla$ $e aplicaron correcta'ente u$a'o$ el co'ando: iptables -* i algo no $ali+ de acuerdo a lo e$perado pode'o$ hacer un flu$h6 4*orrar de toda$ la$ regla$ con el co'ando: iptables -+

Asegurando SSH en su sistema OpenSSH 4o hell eguro $e ha con%ertido en el e$t(ndar para el acce$o re'oto

ree'plaando al protocolo telnet. > ha hecho ue lo$ protocolo$ co'o telnet $ean redundante$ en $u 'ayora por el hecho de ue la cone/i+n e$ encriptada y la$ contra$eIa$ no $on en%iada$ en te/to plano para ue todo$ la puedan %er. Je toda$ 'anera$ una in$talaci+n por defecto de $$h no e$ perfecta y cuando corre'o$ un $er%idor $$h hay alguno$ pa$o$ $i'ple$ ue pueden endurecer dra'(tica'ente una in$talaci+n. 1. Usar contraseñas Fuertes i u$ted e$t( corriendo $$h y $e encuentra e/pue$to al 'undo e/terior una una de la$ pri'era$ co$a$ ue podr( notar $er(n lo$ intento$ de lo$ hacKer$ tratando de acceder para adi%inar $u no'*re de u$uario pero tienen fuerte i'pacto en todo$ lo$ a$pecto$ de la $eguridad del $i$te'a.







0351 Grupo | Consultoría IT 8a configuraci+n del $er%idor > $e encuentra al'acenada en el fichero
#Pre,et root lo.is! Permit(oot*o.i Permit(oot*o.i o

y reiniciar el servicio sshd: ser,i$e sshd restart

i u$ted nece$ita acceder co'o root acceda co'o un u$uario nor'al y u$e el co'ando su -. 3. Deshabilitar el protocolo 1 > po$ee do$ protocolo$ ue $e pueden u$ar protocolo 1 y protocolo 2. 2 . &l %ie)o protocolo 1 e$ 'eno$ $eguro y de*e e$tar de$ha*ilitado a 'eno$ ue u$ted lo reuiera para algo e$pecfico. Tu$ue la $iguiente lnea en el fichero
# Proto$ol "/ Proto$ol "

reinicie el $er%icio $$hd. !. Usar un "uerto #o$%st&n'ar or defecto $$h e$cucha la$ cone/ione$ entrante$ en el puerto 22. ara ue un hacKer deter'ine $i $$h $e e$t( e)ecutando e)e cutando en $u '(uina lo '($ pro*a*le e$ e $ ue e$canee el puerto 22. n '@todo efecti%o e$ e)ecutar $$h en un puerto no-e$t(ndar. Cualuier puerto $in u$ar funcionar( pero e$ preferi*le u$ar uno por enci'a del 102B. Mucha$ per$ona$ e$cogen el 2222 co'o un puerto alternati%o 4porue e$ f(cil de recordar de la 'i$'a for'a ue el L0L0 e$ conocido a 'enudo co'o un puerto >## alternati%o. or or e$ta ra+n pro*a*le'ente e$ta no e$ la 'e)or opci+n. Je la 'i$'a for'a ue cualuier hacKer e$canear( el puerto 22 $egura'ente ta'*i@n e$canear( el puerto 2222 $olo co'o *uena 'edida. &$ 'e)or e$coger cualuier puerto alto al aar ue no $ea u$ado por ning,n $er%icio conocido. ara hacer lo$ ca'*io$ aIada una lnea co'o e$ta a $u fichero







y reinicie el $er%icio $$hd. Recuerde hacer cualuier ca'*io nece$ario a lo$ puerto$ de reen%o en $u enruta'or y enruta'or y a cualuier regla aplica*le al corta(ue)o.

Fail2ban Fail2Ban e$ un analiador de log$ ue *u$ca intento$ fallido$ de regi$tro y *louea

la$ 9U$ de donde pro%ienen e$to$ intento$. e di$tri*uye *a)o la licencia " y tpica'ente funciona en todo$ lo$ $i$te'a$ ue tengan interfa con un $i$te'a de control de pauete$ o un fire3all local. Fail2Ban tiene una gran gran configuraci+n configuraci+n pudiendo ade'($ ade'($ crear regla$ para progra'a$ propio$ o de tercero$.

Instalación y Confguración Je*e'o$ de 9n$talar python en nue$tro $er%idor $er%idor para ello e)ecuta'o$ rootelasti7# 8um istall p8tho

Je$carga'o$ Hail2*an Hail2*an en la carpeta ":do;load

Je$co'pri'i'o$ e in$tala'o$ Hail2Tan rootelasti rootelasti rootelasti rootelasti rootelasti rootelasti

sr$7# tar ," sr$7# $d
Copia'o$ el $cript para 'ane)arlo co'o $er%icio $p redhat-iitd :et$:iit=d:
Con e$to tendre'o$ in$talado Hail2Tan Hail2Tan en






0351 Grupo | Consultoría IT Je$pu@$ *u$ca'o$ el %alor 'a/retry ue $er(n el n,'ero de %ece$ ue una 9 puede tener una autenticaci+n fallida ante$ de $er *loueada. ara ue *u$ue intento$ fallido$ de logueo por $$h *u$ca'o$ la $iguiente parte: ssh-iptables7 eabled ?
y la 'odifica'o$ de la $iguiente 'anera ssh-iptables7 ssh-iptables7 # Co
? true ? sshd ? iptablesame?@@/ iptablesame ?@@/ port?""/ proto$ol?t$p7 proto$ol?t$p 7 sedmail-;hoisame?@@/ sedmail-;hoi same?@@/ dest?miailmail=$om/ dest?miailm ail=$om/ seder?
Ahora pode'o$ configurarlo para ue lea lo$ regi$tro$ de *steris+ $d :et$:
Crea'o$ el archi%o a$teri$K.conf ,im asterisD=$o< asterisD=$o< Copia'o$ e$ta$ lnea$W # +ail"a $oatios a,ailable a,ailable -- read them








0351 Grupo | Consultoría IT # Ralues! #

TEST

Con e$to le deci'o$ a fail2*an ue tiene ue controlar e%entuale$ acce$o$ inde$eado$ en el archi%o de regi$tro re gi$tro de A$teri$K. Ahora tene'o$ ue 'odificar el archi%o de configuraci+n de fail2*an $d :et$:
y aIadi'o$ al final del archi%o de te/to e$ta$ lnea$ asterisD-iptables7 eabled
? true ? asterisD ? iptables-allportsame?A@ iptables-allp ortsame?A@TE(I@V/ TE(I@V/ proto$ol?all7 proto$ol?al l7 sedmail-;hoisame?A@TE(I@V/ dest?rootlo$alhost/ seder?
ara ue funcione tene'o$ ue cheuear la configuraci+n del lo$ archi%o$ de regi$tro de A$teri$K:








y copia'o$ el $cript en el init.d para ue corra co'o $er%icio $p redhat-iitd :et$:iit=d:
$a'o$ chKconfig para ue le%ante fail2*an cada %e ue inicie'o$ nue$tro $er%idor. $hD$o
9nicia'o$ el $er%icio ser,i$e
i aparece alg,n error tene'o$ ue re%i$ar la configuraci+n.

Seguimiento de logueo de elastix con ail2ban &$to e$t( en %er$i+n de prue*a toda%a: Agregar en el archi%o :,ar:;;;:html:ide=php 8a$ $iguiente$ lnea$ 4en ro)o: Lphp : ,im! set epadtab tabstop?4 so






0351 Grupo | Consultoría IT sessioGameKHelasti@essioHO[ sessioGstartKO[ i
Hthemes:H = FarrCo<maiTheme7[ H,ar:templatesG$:H[ H$o
::o submit e el






0351 Grupo | Consultoría IT FidUser ? FpAC*-J.etIdUserKFG@E@@I)NelastiGuser7O[

ied8IdKFidUser/ Ha$$essH/ FideuOO M Farr@ubmeuFideu7 ? FarreuItem[ Farreu+ilteredFideu7 ? FarreuItem[    ::- Ahora me barro el meu pri$ipal 1 eista e la sessio solo se lo sa$ara de ahi 8 o se ,o,era a $osultar a la base= FG@E@@I)NelastiGuserGpermissio7? Farreu+iltered[  Farreu+iltered ? FG@E@@I)NelastiGuserGpermissio7[ ::tradu$ir el meu al idioma $orrespodiete







i< K$outKFarreu+ilteredOJ0O Fsmart8-Jassi.KHENUH/ FoP-Jsho;euKFmeuOO[ else Fsmart8-Jassi.KHENUH/ HNo modulesHO[

:: ra;mode es u modo de opera$io 1ue pasa dire$tamete a la patalla la salida :: del modulo= Esto es util e $iertos $asos= ia$io ied8IdKFidUser/ Ha$$essH/ FoP-J$urr@ubeuO or Fde,eloperode??trueO M e$ho FoP-Jsho;CotetKO[   else M :: Autori>a$io ied8IdKFidUser/ Ha$$essH/ FoP-J$urr@ubeuO or Fde,eloperode??trueO M Fsmart8-Jassi.KHC)NTENTH/ FoP-Jsho;CotetKOO[ 

Fsmart8-Jdispla8KHG$ommo:ide=tplHO[ 

 else M Fsmart8-Jassi.KHTEENAEH/ FarrCo<maiTheme7O[ Fsmart8-Jassi.KHPAZEGNAEH/Farr*a.*o.i pa.e7O[ Fsmart8-Jassi.KHE*C)EH/Farr*a.el$ome to Elasti7O[ Fsmart8-Jassi.KHENTE(GU@E(GPA@@)('H/Farr*a.Please eter 8our userame ad pass;ord7O[ Fsmart8-Jassi.KHU@E(NAEH/Farr*a.Userame7O[ Fsmart8-Jassi.KHPA@@)('H/Farr*a.Pass;ord7O[ Fsmart8-Jassi.KH@UITH/Farr*a.@ubmit7O[

Fsmart8-Jdispla8KHG$ommo:lo.i=tplHO[

 LJ

8uego agregar al final del archi%o )ail.conf6 lo $iguiente: lo.ielasti-iptables7 eabled
? true ? lo.ielasti ? iptables-allportsame?*o.iElasti/ proto$ol?all7 sedmail-;hoisame?Elasti*o.i/ dest?rootlo$alhost/









0351 Grupo | Consultoría IT # # F(e,isio!  # Autor! (odri.o arti INC*U'E@7 # (ead $ommo preatios a,ailable -- read them

#ed/ 0 ^ul "00 &!"%!9 -0%007 Noti
"uarda'o$ e 9ngre$a'o$ a <%ar






0351 Grupo | Consultoría IT ara %er puntual'ente el e$tado de lo$ $er%icio$ ue controla fail2*an utilia'o$:

Seguridad en Servidores Elastix (Asterisk)

Recommend Documents