Módulo de seguridad en Elastix : Restringir el acceso al Entrorno Web

Normalmente posteo cosas sobre inseguridad, sin embargo debido a mucha inquietud sobre Hacking VoIP  y aveces desconocimiento del mismo, me anime a realizar este pequeño post … al grano entonces.

El proyecto Elastix, a parir de la versión 2.0.4, incorporo el módulo de seguridad , el cual como parte de sus funcionalidades, trae un completo gestor de FIREWALL (Iptables en background) para el manejo de puertos y servicios, es evidente que para muchos, el manejo de IPTABLES , puede ser un dolo de cabeza, sin embargo la incorporación de este feature , permitirá la administración de los puertos de acceso un poco mas amigable.

Justificación : No es novedad, que uno de los vectores mas importantes, son los ataques a nivel de aplicaciones web, ya que regularmente aparecen siempre nuevas vulnerabilidades, para ayudarnos en este tema, vamos a ver, como nos puede ayudar el modulo de seguridad y lo contextualizo en el siguiente ejemplo.

Escenario :
Restringir el acceso a la interfase web de administración de Elastix, solo desde una dirección IP especifica, digamos que sea la de nuestra maquina, ya sea interna o externa.

NOTA IMPORTANTE : El uso erróneo de la siguiente configuración puede dejarlos sin acceso completo al entorno de administración , no me responsabilizo, si no aplican bien o interpretan mal el instructivo.

PROCEDIMIENTO

1.- Activar Contrafuegos
Con el objetivo de asegurarnos, si las reglas por defecto, no van a producir algún problema, en nuestra configuración actual, tener cuidado sobre todo con las troncales SIP.

Pulsar sobre el Boton : Activar Contrafuegos

Una vez realizado esto, el firewall quedara activado como se muestra en la siguiente imagen

2.- Cambiar la configuración de la regla 12(http) y 15(https)
Cambiar las reglas que apunta a los servicios http y https que aceptan todas las conexiones de entrada (opción por default) para que ahora solo permita conexiones a nuestra dirección IP en este caso va ser la  :   192.168.10.244

A) Ubicar las reglas http y https

B) Editar las reglas y cambiar el parámetro “Dirección Origen” con la dirección IP a la cual daremos acceso

Regla para HTTP

Regla para HTTPS

C) Finalmente tendrían que quedar de la siguiente forma, una vez modificadas.

3.- Aplicar las reglas del Contrafuegos

Dar click en el boton “Guardar Cambios”

Finalmente, de este modo, realizaremos lo que se conoce como filtrar por origen, en este caso, solo estamos dando acceso a una dirección IP en especifico, de igual forma, pueden aplicar el mismo proceso para los servicios SSH e inclusive SIP.

Espero les sirva la información.

Mas información sobre el modulo de seguridad de Elastix : http://www.elastix.org/index.php/es/component/content/article/67-newstest/523-elastix-launches-security-module-10012011.html

Esta entrada fue publicada en Asterisk, Centos, Hacking, Linux por jroliva. Guarda el enlace permanente.

Acerca de jroliva

Juan Oliva, es un consultor de seguridad informática y telefonía IP con 10 años de experiencia en el campo . Muy involucrado en proyectos de pruebas de penetración , análisis y explotación vulnerabilidades, pruebas de ingeniería social, seguridad física, revisión de código, entre otras tareas de seguridad informática. Así mismo, desarrolla proyectos de implementación y mantenimiento de VoIP, basadas en Asterisk y Elastix, proyectos de callcenter, soluciones en la nube y hosted PBX, Aseguramiento de plataformas Linux, Windows. Ha estado trabajando para una variedad de empresas en donde ha desarrollado proyectos para el estado peruano, así como para entidades privadas, nacionales y del extranjero, cuenta con certificaciones vigentes en Ethical hacking, Linux y telefonía IP. Es instructor de cursos de Ethical Hacking y certificaciónes como Linux Professional Institute y Elastix, donde ha tenido oportunidad de realizar capacitaciones en el Perú, así como en el extranjero. Es investigador de vulnerabilidades, y creador de contenidos, que son publicados en su blog personal jroliva.wordpress.com el cual mantiene desde hace mas de 6 años.

9 pensamientos en “Módulo de seguridad en Elastix : Restringir el acceso al Entrorno Web

  1. BUENAS NOCHES

    COMOSIEMPRE REALIZANDO LAS PREGUNTAS MAS DIFICLES QUE CASI NADIE DOMINA.

    Estimado Sr. Juan

    Sabras como Desabilitar para que mi Elastik/Asterisk no envie: Options a mi proveedor sip, o que simplemente no envie options y ya.

    Explicación.

    Tengo mi central Elastaik Con 10 Troncales SIP.
    Los troncales son suministrados por un Proveedor y todo de marabillas.
    Siempre que alguien llama desde afuera a alguno de mis troncales primero escucha un repique y luego se escucha que la llamada entra a la central.
    Me percato por que uso un tono o ringback diferente al del proveedor.

    “y lo que busco es que mi central atienda de insofacto en el acto en seco.” Tal como sucede cuando uno llama a un servicio 0800.

    He probado desbilitando el fax, hablando con el proveedor para quitar falso ring de su lado, eliminado quaolify… en fin…

    ¿Por que desabilitar Options?

    El proveedor me ha dicho al revisar mis trazas que el problema esta. en que mi central le envia Options = INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO ,

    Y DICE QUE ESO SOLO DEBE ENVIARLO ELLOS HACIA MI (EL PROVEEDOR AL CLIENTE NO EL CLIENTE AL PROVEEDOR) (AQUI ES EL PROBLEMA)

    LA SOLUCION QUE ME DAN ES:

    QUE DEBO DESABILITAR OPTIONS

    AQUI MI TRAZA

    OPTIONS sip:server.ip.com SIP/2.0

    Via: SIP/2.0/UDP my.loca.ip:5060;branch=z9hG4bK76976b02;rport

    Max-Forwards: 70

    From: “myusertunk” ;tag=as0ff70cdc

    To:

    Contact:

    Call-ID: 26a3b99a3935bdad7b2eed05037f88d6@my.local.ip

    CSeq: 102 OPTIONS

    User-Agent: Asterisk PBX 1.6.2.13

    Date: Fri, 29 Jun 2012 13:10:54 GMT

    Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO

    Espero que esto sirva para muchos o todos que seguro tenemos ese problema de tardanza en las llamadas entrantes con TrunkSip.

    Gracias, por la colaboracion o al usuario que lo responda. he googleadop por semanas y nada.

  2. Como revierto estos pasos por root, es decir quiero poder desbloquear y entrar desde la web, pero desde otra ip, y no tengo acceso a la ip que esta configurada. Necesitaria hacerlo desde root… Gracias

  3. Buenas noches.
    Tuve un problema de tipico problema de novato. Me apresure y desde la interfaz web, denegue el acceso via http y https, y ahora no puedo loguearme. Como puedo reestablecer todos los iptables a cero por linea de comando?? O alguna forma de levantar el acceso web??

    Gracias:-)

      • He probado con ambos comandos y no he podido acceder via web. Para ser mas explicito. Hay un icono con un foco, yo desactive esa opcion y ahora estoy metido en este problema. Habra alguna otra solucion a mi problema?

        Saludos.
        Juan Ortiz

  4. Buenas, tengo un servidor elastix al cual no puedo ingresar con usuario y password, antes lo hacia pero de un momento a otro no lo permitía. Leí en foros que el disco podía estar lleno, lo he liberado con Win SCP, pero sigue igual. No tengo idea que pudo haber pasado. Gracias por su atención

    • Hola David

      Es muy complicado determinar lo que te pasó, puede ser ello o mil cosas mas, si tienes acceso físico al servidor trata de cambiar la contraseña entrando en modo single y en primera instancia recuperar el acceso, luego deberías determinar que es lo que ha pasado.

      Espero te sirva
      Saludos
      Juan

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s