Professional Documents
Culture Documents
Juan Oliva
IMPLEMENTANDO
ELASTIX
SIP
FIREWALL
JUAN
OLIVA
@jroliva
[PRIMERA EDICIN]
1.
Agradecimiento
2.
3.
Introduccin
Es innegable que el mundo de la VoIP desde sus inicios siempre ha estado rodeado de
los ataques informticos, es as que a lo largo del tiempo las tcnicas para comprometer
las plataformas han cambiado y suelen ser en la actualidad muy sofisticadas.
As mismo, tambin la aparicin de herramientas que ayudan a la proteccin de las
plataformas VoIP ha ayudado a minimizar muchos los riesgos de seguridad que
involucra el uso este tipo de tecnolgica, la cual brinda muchos beneficios.
Sin embargo en la bsqueda de la simplicidad, eficiencia y la herramienta perfecta, los
errores de configuracin o la carencia de conocimientos para poder validar la seguridad
adecuadamente, suelen pasar factura, a la hora de protegerla.
Es as, que el presente libro no solo cubre aspectos que involucran la correcta y
adecuada configuracin de Elastix SIP FIREWALL, si no tambin, las pruebas que todo
profesional del rea de la VoIP, tendra que realizar, para poder validar y comprobar la
proteccin y aseguramiento de su plataforma VoIP es la adecuada.
Teniendo en cuenta que las amenazas en el rea de VoIP cambian constantemente, el
material cubre los aspectos ms importantes de la proteccin de amenazas usando
Elastix SIP FIREWALL.
Juan Oliva
@jroliva
ndice de Contenidos
Agradecimiento ................................................................................................................. 4
Acerca del autor ................................................................................................................ 4
Introduccin ...................................................................................................................... 5
1.
Esquema de funcionamiento ............................................................................... 1
2.
Configuracin e integracin con Elastix 2.5 ....................................................... 2
2.1
Configuracin inicial........................................................................................... 2
3.
Revisin de funcionalidades ............................................................................... 4
3.1
Dashboard ........................................................................................................... 4
3.2
Device ................................................................................................................. 5
3.2
Security Settings ................................................................................................. 7
3.3
Security Alerts................................................................................................... 10
3.4
Tools.................................................................................................................. 11
4
Configuracin y deteccin de prevencin de ataques de Fingerprinting .......... 14
4.1
Desarrollando ataque de fingerprint .................................................................. 14
4.2
Deteccin del Ataque. ....................................................................................... 14
5
Configuracin y deteccin de ataques de enumeracin de usuarios ................. 15
5.1
Desarrollando ataques de enumeracin............................................................. 15
5.2
Deteccin del Ataque. ....................................................................................... 15
6
Configuracin y bloqueo de Ataques DoS ........................................................ 16
6.1
Desarrollando ataques de DOS VoIP ................................................................ 16
6.2
Deteccin del Ataque. ....................................................................................... 16
7
Bloqueo de Intentos de obtencin de contraseas o password cracking........... 17
7.1
Desarrollando ataques de password cracking ................................................... 17
7.2
Deteccin del Ataque. ....................................................................................... 17
8
Bloqueo de Intentos de ataques de SIP Cross Site Scripting ............................ 18
8.1
Desarrollando ataques de SIP Cross Site Scripting .......................................... 18
8.2
Deteccin del Ataque. ....................................................................................... 19
9
Configuracin de listas negra dinmica para amenazas VoIP .......................... 20
9.1
Cambiando la direccin IP ................................................................................ 20
9.2
Probando el bloqueo pro activo mediante listas negras dinmicas ................... 21
9.2.1
Verificando conectividad desde el atacante ...................................................... 21
9.2.2
Realizando un ataque de SIP BRUTE FORCE ATTACK ............................... 21
9.2.3
Verificando el bloqueo en SIP FIREWALL ..................................................... 22
10
Configuracin de reglas de Blacklist y Whitelist.............................................. 23
10.1
Agregando direcciones IP al Blacklist. ............................................................. 23
10.2
Agregando direcciones IP al Whitelist.............................................................. 26
11
Configuracin de bloqueo por ubicacin geogrfica ........................................ 27
12
Configuracin de acceso a la administracin del dispositivo a una IP/red
especfica ........................................................................................................... 28
12.1
Ingresar a Device / Management Access y editar la regla DefaultAllAccess28
12.2
Establecer la direccin IP para administracin ................................................. 28
13
Configuracin de servidor SYSLOG remoto para registro de eventos. ............ 30
13.1
Instalacin y configuracin de SYSLOG Server .............................................. 30
13.2
Configuracin un servidor de SYSLOG externo en Elastix SIP FIREWALL . 36
13.3
Probar la integracin de Elastix SIP FIREWALL y Servidor SYSLOG externo.
........................................................................................................................... 37
B.- Configuracin de SIP FIREWALL cuando Elastix PBX tiene dos tarjetas de red (LAN y WAN)
2.
3.
Revisin de funcionalidades
3.1 Dashboard
System Status
Rendimiento de la memoria RAM, almacenamiento y consumo del CPU
Network Status
Direccin IP de escucha, direcciones MAC
Sig Update Version
Versin de firmas
DPI Status
Estado de DPI
Security Alert Summary,
Last 10 Alerts, ultimas 10 alertas detectadas.
3.2 Device
General Settings, Configuracin de la direccin IP del dispositivo.
Date / Time Settings, configuracin de la hora y zona horaria, esta configuracin es muy
importante, para la correcta correlacin de los eventos.
Management Access, Permite crear reglas que restringen el acceso a los servicios WEB y SSH del
SIP FIREWALL.
SIP Protocols Compilance, El motor de inspeccin de paquetes SIP, permite detectar anomalas en
las cabeceras SIP para identificar fallas en el protocolo y tomar una accin segn lo configurado.
FIREWALL Rules, Permite al administrador configurar el trfico que permite o deniega desde la
red WAN a la cual protege en la PBX IP.
FIREWALL Settings
Whitelist IP Addresses, Permite configurar las direcciones IP a la cual se confa desde la red
WAN.
Blacklist IP Addresses, Permite configurar las direcciones IP a la cual no se confa desde la red
WAN.
Dynamic Blacklist IP Adresses, Son reglas de bloqueo aadidas por el motor de inspeccin de
paquetes de Elastix SIP FIREWALL.
Geo IP Filters, Permite bloquear el trfico de pases en especfico, hacia la red SIP protegida.
10
3.4 Tools
Administration, Permite realizar diversas funciones como, restauracin de fbrica, reinicio del
sistema, reinicio, apagado, backup y restauracin del dispositivo.
11
12
13
Para probar si Elastix SIP FIREWALL, detecta ataques de Fingerprinting, se desarrollaran ataques
con diferentes herramientas y ver si finalmente el dispositivo bloquea los mismos.
14
15
16
17
Elastix SIP FIREWALL, para el caso de deteccin de ataques Cross Site Scripting o tambin
llamados XSS, hace uso del motor de inspeccin de paquetes, para detectar cdigos maliciosos que
viajen va el servicio/protocolo SIP, es importante referir esto porque los ataques XSS tambin
pueden realizarse hacia servicios como HTTP o HTTPS inclusive.
18
19
Una vez establecida la direccin IP, ingresar nuevamente desde la nueva direccin.
20
9.2.2
21
9.2.3
Es importante poder identificar el nombre de la categora con el cual el ataque ha sido identificado.
Adicionalmente no es posible hacer conectividad desde el host atacante hacia la direccin IP de
Elastix PBX, como lo vemos a continuacin:
22
23
Cuando la regla est grabada correctamente, no ser posible establecer conectividad desde la IP
bloqueada hacia la direccin IP de ELASTIX PBX, como se muestra a continuacin.
24
Tener en cuenta que es una regla de bloqueo permanente, hasta que se desactive o elimine la regla
segn se requiera, de la siguiente forma:
25
26
Por defecto ELASTIX SIP FIREWALL permite todos los pases pre configuraros en esta seccin.
Para bloquear las direcciones IP de todo un pas, basta con desactivar la opcin Allowed
Por ejemplo si deseamos bloquear todas las direcciones IP de RUSIA, como se muestra a
continuacin:
27
28
Por defecto la regla est establecida para brindar acceso a cualquier direccin IP , en este caso
cambiando el valor de IP Type a IP_HOST , es posible establecer la direccin 192.168.10.5 que
ser la nica direccin IP en la RED LAN desde la cual ser posible ingresar al dispositivo.
Tambin es posible establecer el acceso segn los valores en el parmetro IP Type
IP_NETWORK: Segmento de RED
IP_RANGE: Rango de direcciones IP
MAC_ADDR: Direccin MAC
29
31
32
Configurar el uso de base de datos y luego hacer clic en el botn Next de la siguiente forma:
Hacer clic en el botn Next para la creacin de las tablas de la siguiente forma:
33
Una vez creadas las tablas correctamente, hacer clic en el botn Next para continuar.
Ahora indicar el usuario con el cual se acceder a la interface web de LogAnalizer, luego hacer clic
para continuar el proceso.
34
Ahora crear el origen de mensajes para el servidor, configurar los valores de la siguiente forma y
hacer clic en Next
Una vez creado el origen de mensajes, hacer clic en el botn Next para finalizar la instalacin
35
Luego ingresar con las credenciales creadas previamente, como se muestra a continuacin.
Finalmente, aplicar los cambios con el botn APPLY CHANGES como se muestra a
continuacin
36
Como vemos se gener un evento de tipo ALERT desde la direccin IP de Elastix SIP FIREWALL
37