Skip to content

Módulo de seguridad en Elastix : Restringir el acceso al Entrorno Web

julio 2, 2012

Normalmente posteo cosas sobre inseguridad, sin embargo debido a mucha inquietud sobre Hacking VoIP  y aveces desconocimiento del mismo, me anime a realizar este pequeño post … al grano entonces.

El proyecto Elastix, a parir de la versión 2.0.4, incorporo el módulo de seguridad , el cual como parte de sus funcionalidades, trae un completo gestor de FIREWALL (Iptables en background) para el manejo de puertos y servicios, es evidente que para muchos, el manejo de IPTABLES , puede ser un dolo de cabeza, sin embargo la incorporación de este feature , permitirá la administración de los puertos de acceso un poco mas amigable.

Justificación : No es novedad, que uno de los vectores mas importantes, son los ataques a nivel de aplicaciones web, ya que regularmente aparecen siempre nuevas vulnerabilidades, para ayudarnos en este tema, vamos a ver, como nos puede ayudar el modulo de seguridad y lo contextualizo en el siguiente ejemplo.

Escenario :
Restringir el acceso a la interfase web de administración de Elastix, solo desde una dirección IP especifica, digamos que sea la de nuestra maquina, ya sea interna o externa.

NOTA IMPORTANTE : El uso erróneo de la siguiente configuración puede dejarlos sin acceso completo al entorno de administración , no me responsabilizo, si no aplican bien o interpretan mal el instructivo.

PROCEDIMIENTO

1.- Activar Contrafuegos
Con el objetivo de asegurarnos, si las reglas por defecto, no van a producir algún problema, en nuestra configuración actual, tener cuidado sobre todo con las troncales SIP.

Pulsar sobre el Boton : Activar Contrafuegos

Una vez realizado esto, el firewall quedara activado como se muestra en la siguiente imagen

2.- Cambiar la configuración de la regla 12(http) y 15(https)
Cambiar las reglas que apunta a los servicios http y https que aceptan todas las conexiones de entrada (opción por default) para que ahora solo permita conexiones a nuestra dirección IP en este caso va ser la  :   192.168.10.244

A) Ubicar las reglas http y https

B) Editar las reglas y cambiar el parámetro “Dirección Origen” con la dirección IP a la cual daremos acceso

Regla para HTTP

Regla para HTTPS

C) Finalmente tendrían que quedar de la siguiente forma, una vez modificadas.

3.- Aplicar las reglas del Contrafuegos

Dar click en el boton “Guardar Cambios”

Finalmente, de este modo, realizaremos lo que se conoce como filtrar por origen, en este caso, solo estamos dando acceso a una dirección IP en especifico, de igual forma, pueden aplicar el mismo proceso para los servicios SSH e inclusive SIP.

Espero les sirva la información.

Mas información sobre el modulo de seguridad de Elastix : http://www.elastix.org/index.php/es/component/content/article/67-newstest/523-elastix-launches-security-module-10012011.html

About these ads
4 comentarios
  1. BUENAS NOCHES

    COMOSIEMPRE REALIZANDO LAS PREGUNTAS MAS DIFICLES QUE CASI NADIE DOMINA.

    Estimado Sr. Juan

    Sabras como Desabilitar para que mi Elastik/Asterisk no envie: Options a mi proveedor sip, o que simplemente no envie options y ya.

    Explicación.

    Tengo mi central Elastaik Con 10 Troncales SIP.
    Los troncales son suministrados por un Proveedor y todo de marabillas.
    Siempre que alguien llama desde afuera a alguno de mis troncales primero escucha un repique y luego se escucha que la llamada entra a la central.
    Me percato por que uso un tono o ringback diferente al del proveedor.

    “y lo que busco es que mi central atienda de insofacto en el acto en seco.” Tal como sucede cuando uno llama a un servicio 0800.

    He probado desbilitando el fax, hablando con el proveedor para quitar falso ring de su lado, eliminado quaolify… en fin…

    ¿Por que desabilitar Options?

    El proveedor me ha dicho al revisar mis trazas que el problema esta. en que mi central le envia Options = INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO ,

    Y DICE QUE ESO SOLO DEBE ENVIARLO ELLOS HACIA MI (EL PROVEEDOR AL CLIENTE NO EL CLIENTE AL PROVEEDOR) (AQUI ES EL PROBLEMA)

    LA SOLUCION QUE ME DAN ES:

    QUE DEBO DESABILITAR OPTIONS

    AQUI MI TRAZA

    OPTIONS sip:server.ip.com SIP/2.0

    Via: SIP/2.0/UDP my.loca.ip:5060;branch=z9hG4bK76976b02;rport

    Max-Forwards: 70

    From: “myusertunk” ;tag=as0ff70cdc

    To:

    Contact:

    Call-ID: 26a3b99a3935bdad7b2eed05037f88d6@my.local.ip

    CSeq: 102 OPTIONS

    User-Agent: Asterisk PBX 1.6.2.13

    Date: Fri, 29 Jun 2012 13:10:54 GMT

    Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO

    Espero que esto sirva para muchos o todos que seguro tenemos ese problema de tardanza en las llamadas entrantes con TrunkSip.

    Gracias, por la colaboracion o al usuario que lo responda. he googleadop por semanas y nada.

    • Hola
      Si vi tu pregunta en la lista de desarrollo de Elastix, sin embargo, recomiendo que deberías orientar tu consulta mas en función de Asterisk, ya que justamente los métodos los implementa este ultimo.

      No se si ya probaste la opción qualify=xxx|no|yes la cual según voip-info (http://www.voip-info.org/wiki/view/Asterisk+sip+qualify) la cual esta dentro de sip.conf, implementa justamente el método OPTIONS

      Si ya lo probaste, entonces lo que yo haría, es hacer cambios a nivel de código fuente de Asterisk, la lista asterisk-dev (http://lists.digium.com/mailman/listinfo/asterisk-dev/) puede ser un buen punto de consulta.

      Saludos
      Juan Oliva

  2. andres permalink

    Como revierto estos pasos por root, es decir quiero poder desbloquear y entrar desde la web, pero desde otra ip, y no tengo acceso a la ip que esta configurada. Necesitaria hacerlo desde root… Gracias

  3. Hola Andres

    Para hacerlo con iptables puro , deberías revisar este material

    http://www.pello.info/filez/firewall/iptables.html

    Espero te sirva
    Saludos !!
    Juan Oliva

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 98 seguidores

A %d blogueros les gusta esto: