Elastix a Ritmo de Merengue rev Document – IT-DOCS Document IT Sharing – Share your documents with the world, Compartimos. Publishing platform for digital magazines, interactive publications and online catalogs. Convert documents to beautiful publications and share them worldwide. begood-forgoodnesssake driftingcamera inflacoste descarga-efectos-sonido elan elana eland elandil elanor elantest elara elarson elastic elastix elation elatos mercutio mercy merde mere meredith merelyn merengue merganser merge ritchie-perddims ritchie2 ritchie2-mil-tac ritland ritlav ritmo ritresch ritt ritter.
| Author: | Tashicage Kahn |
| Country: | Togo |
| Language: | English (Spanish) |
| Genre: | Automotive |
| Published (Last): | 3 October 2006 |
| Pages: | 138 |
| PDF File Size: | 7.51 Mb |
| ePub File Size: | 18.20 Mb |
| ISBN: | 910-2-80484-322-9 |
| Downloads: | 57936 |
| Price: | Free* [*Free Regsitration Required] |
| Uploader: | Nikorg |
Post on Sep views. Con la realizacin de este paper se pretende abordar un tema que no ha sido manejado hasta ahora en PDVSA, con respecto a la implantacin de centrales telefnicas basadas en Asterisk. Se aclara que no se trata de un manual que cubre todos los aspectos de seguridad a tener en cuenta al poner un servidor elastix en produccin, sino, ciertas recomendaciones y configuraciones bsicas del S.
O junto con otros aplicativos, extradas de libros, manuales y experiencias personales que nos ayudaran a mantenerlo seguro y ms si este, no est dentro de una VPN o atrs de un Firewall fsico que sera lo ideal. La recomendacin inicial es cambiar todos los passwords que trae elastix por defecto, esto lo podemos encontrar en el libro Elastix a Ritmo de Merengue captulo 12, tema que abordaremos al final de este paper, desde la versin 2.
Analicemos los vectores de ataquesExternosInternosExternosLa solucin se llama fail2ban y funciona muy sencilla pero inteligentemente. Fail2ban revisa los registros de las aplicaciones y si encuentra alguna condicin que parezca un ataque de fuerza bruta, adivinar al azar usuario y contrasea, agregar una lnea de bloqueo en nuestro iptables para negarle la conexin a la IP que nos intenta hackear.
Muy sencillo, pero efectivo! Dicho lo anterior, tenemos 4 cosas importantes por hacer: Revisar que iptables est funcionadoConfigurar Asterisk para que guarde logs en un archivo especficoConfigurar y ejecutar fail2banProbar que funcioneInternosTeniendo en cuenta que los protocolos elegidos para desplegar la red se basan en: Para la sealizacin de la comunicacin y el establecimiento de los codecs multimedia.
Para el transporte del flujo multimedia. Cualquier anlisis al respecto deber tener en cuenta ambos aspectos. Agente de Usuario Cliente y Servidor Por lo tanto la seguridad debe pasar por ambos.
Los aspectos ms importantes a tener en cuenta son muchos pero fundamentalmente se basan en que el software o firmware empleado se ajuste estrictamente al RFC en todos sus puntos. Una problema de seguridad sobre SIP puede ocasionar problemas que van desde la Denegacion de Servicio, el uso indebido de nuestra Red, etc.
Es por ello que una deficiencia en la seguridad de nuestra red puede ocasionar una prdida de confidencialidad de la comunicacin. En este caso es posible implementar la versin asegurada del protocolo RTP: Dado que la lgica involucrada reside en mltiples partes y algunas de ellas pueden llegar a escapar de nuestro alcance y control ej. Si bien lo correcto para nuestro caso, seria la configuracin de una VPN tipo Full-Mesh y no una configuracin en Estrella con mltiples clientes, para comenzar a desplegarla se sugiere esta ltima a los fines de facilitar su implementacin ya que dado lo numeroso de los clientes una VPN full-mesh implicara en cada nodo controlar un gran nmero de tneles requiriendo gran capacidad de procesamiento y complejidad en la configuracin.
Se sugiere entonces comenzar con una red basada en OpenVPN. Como instalar Fail2ban en Elastix 1. En ocasiones podemos encontrar en la web la mencin defail2ban, una herramienta escrita en Python que analiza logs del sistema y responde en caso de que ciertas condiciones se cumplan, por ejemplo, 5 intentos de contrasea SSH equivocada en un periodo de 10 minutos.
Dada la proliferacin deataques a equipos Asteriskpara tratar de hacer llamadas de larga distancia, tiene sentido que ocupemos esta herramienta para cerrar las brechas de seguridad y protegernos de los amantes de lo ajeno.
Importante es conocer cmo funciona. Fail2ban no analiza los paquetes entrantes, analiza los log de eventos del sistema, y podra pesentar delays en la activacin de las polticas de bloqueo. Paso 0 Prueba de la existencia de IptablesEstando como root en tu sistema, debers de revisar que iptables est funcionado y que est configurado para arrancar en cada momento. Lo anterior quiere decir que el firewall est detenido.
Si acabas de instalar tu sistema recomiendo que revises que no existan reglas cargadas y que la poltica est en ACCEPT.
En Deban podemos usar el mundialmente reconocidoapt-get: Fail2Ban se configura en 2 partes bsicas: Nosotros xe estamos indicando que cierre el acceso al puerto UDPy luego que haga uso de la accin sendmail-whois, la cual me edscargar a mi correo electrnico la notificacin del bloqueo, adems de enviarme informacin de whois de la IP que se bloque. Es decir, se permiten un mximo de maxretry intentos en findtime segundos Al activarse el bloqueo, se har por 3 horas o bien, segundos bantime. Se recomienda colocar este nmero en segundos 24 horas.
Demos un vistazo para entender lo que nos indica. Separadas con espacio son las direcciones Descqrgar que no sern bloqueadas por ningn motivo por fail2ban. Si la computadora que usas para conectar con el server VOIP tiene una direccin fija puedes usarla en esta seccin. Maximo numero de intentos fallidos en durante el tiempo determinado anteriormente. Es el log que ser observado por fail2ban. Desscargar esta link se encuentra el manual oficial para el jail.
En las pruebas realizadas se us el filtro de asterisk colocado por defecto en la ltima versin de fail2ban.
Procedimientos para aseguramiento de servidores de VOIP basados en Asterisk.docx
If any customizations available — read them from common. The host must be matched by a group named “host”. No registration for peer ‘. Host failed MD5 authentication for ‘. If this regex matches, the line is ignored. Usuarios que ingresan su contraea SIP incorrectamente Usuarios que intentan usar un usuario SIP que no existe Usuarios que no cumplen con los parmetrospermitydenydel sip.
En Debian ya qued instalado automticamente, solo tenemos que arrancarlo: Esto, en conjuncin con buenas prcticas de seguridad para Asterisk, nos resultar un sistema ms confiable y menos propenso a sufrir daos por parte de atacantes. Buenas Prcticas en nuestro Servidor Conocer perfectamente el sistema por dentro.
Llevar un control exhaustivo del sistema. Estar al da con las actualizaciones, vulnerabilidades y soluciones. Llevar un mantenimiento continuo. Observar los logs del sistema. Evitar utilizar puertos estndares. Utilizar herramientas como fail2ban para evitar escaneos y ataques DoS. Siete pasos para mejorar la seguridad SIP en Asterisk En los ltimos meses han aparecido una serie de nuevas herramientas que hace posible a cualquier novato atacar y cometer fraudes en equipos SIP, incluyendo los sistemas basados en Asterisk.
Existen herramientas fcilmente disponibles que hacen un barrido de redes en busca de hosts que ofrezcan servicios SIP, luego, una vez encontrado, realiza un barrido en busca de extensiones y contraseas. Exiten ciertas reglas, de aplicacin inmediata, que eliminan muchos de los problemas de seguridad, protegiendo al servidor Asterisk de los barridos masivos y los ataques posteriores.
Estos mtodos y herramientas de proteccin ya existen, simplemente hay que aplicarlos. Aun aceptando llamadas entrantes desde anywhere via [default] no se debe permitir a esos usuarios alcanzar elementos autenticados. Esta opcin est disponible desde la versin 1. Estableciendo este valor en “yes” se rechazarn los pedidos de autenticacin fallidos utilizando nombres de extensiones vlidas con la misma informacin de un rechazo de usuario inexistente.
De esta forma no facilitamos la tarea al atacante para detectar nombres de extensiones existentes utilizando tcnicas de “fuerza bruta”. Este es probablemente la ms importante medida de seguridad.
Procedimientos para aseguramiento de servidores de VOIP basados en – [DOCX Document]
Si alguna vez viste programas que generan y prueban claves por fuerza bruta sabrs que se necesita algo ms que palabras y nmeros para una clave segura. Usar smbolos, nmeros, una mezcla de letras minsculas y maysculas y al menos 12 caracteres de largo.
Una vez ms utilizar claves seguras aqu tambin, 12 caracteres al menos en descargaar combinacin de nmeros, letras y smbolos. Permitir slo una o dos llamadas por vez por entidades SIP cuando sea posible.
Limitar el uso no autorizado de las lneas voip es una sabia decisin, esto tambin es util para el caso que usuarios legtimos hagan pblica su clave y pierdan control de su uso.
Los nombres de usuarios SIP deben ser diferentes que sus extensiones. A pesar de ser conveniente tener una extensin que mapee a una entrada SIP la cual es tambin el usuario SIPesto tambin facilita a los atacantes para descubrir nombres de autenticacin SIP. Asegurarse que el contexto [default] sea seguro. No permitir que llamadores no autenticados alcancen contextos que les permitan llamar.
Permitir slo una cantidad limitada de llamadas activas pasen por el contexto default utilizar la funcin GROUP como contador. Backdoor detectado en FreePBX hasta la versin 2. Para verificar esto podemos acceder a la interfaz de freepbx, cuando nos solicite user y passowrd ingresamos: Para aplicarlo debemos actualizar freepbx; para esto ejecutamos en la consola como usuario root: Comunicaciones Unificadas con Elastix, vol. Debers editarlo y agregar las siguientes lneas: Justo arriba de la seccin [logfiles] poner las siguientes dos lneas que cambian el formato de la hora reportada: Fail2ban ya se encuentra instalado en un sistema Elastix 2.
If any customizations available read them from common. The host must be matched by a group named host. No registration for peer.
Host failed MD5 authentication for. Failed to authenticate user. Sending fake auth rejection for device.
This is because in Asterisk 1. Busca el final de la seccin[Default]y el inicio de la seccin[ssh-iptables]. Debers copiar y pegar este bloque de justo en ese lugar The mail-whois action send a notification e-mail with a whois request in the body. Si no te gustar estar editando, descarga el archivo ya completo: Bien, pues tendremos que probarlo. Descarga un softphone a una computadora cualquiera para realizar una prueba.
Por lo general yo uso Zoiper, puedes usar la versingratuitao bien adquirir laversin con el codec g. Te recomiendo que lo instales en otra mquina diferente a la que ests usando en este momento porque, si todo funciona, perders conexin con el servidor Elastix. En el servidor Elastix puedes ejecutar el siguiente codiguito que te mostrar en pantalla cada 2 segundos las reglas iptables. De esta forma nos daremos cuenta cuando nos hayan bloqueado.