ece - laboratorios cap13

Lab 13 Seguridad

Elastix ECE Training

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

2

Prctica Recomendada Laboratorio 13.1: Gestin de contraseas Descripcin: En este laboratorio aprenderemos a cambiar las claves de las principales aplicaciones de Elastix. Objetivo: Cambiar las contraseas de Elastix para asegurar nuestro servidor Tiempo Mximo: 15 minutos. Instrucciones: Contrasea del usuario admin de la interfaz web de Elastix

Ingresar a la interfaz de administracin web de Elastix como administradores. Ir a: Sistema Usuarios

Seleccionamos el usuario admin Hacemos clic en editar y modificamos la informacin en el campo Contrasea. Colocamos el

mismo valor en Confirmar Contrasea y aplicamos los cambios.

Contrasea de FreePBX

Para cambiar la contrasea de FreePBX nos dirigimos a: Seguridad Configuraciones Avanzadas Colocamos la contrasea nueva en el campo Contrasea Base de Datos y Administracin Web

FreePBX. Luego colocamos este mismo valor en el campo Confirmacin de la contrasea y hacemos clic en

botn Guardar.



3

Hacemos clic en Guardar Cambiar contrasea del usuario root del sistema operativo

Ingresamos a la consola de Elastix como usuario root Una vez que hemos ingresado escribimos el comando: passwd Al hacer esto, el equipo nos solicitar la contrasea nueva, la ingresamos y presionamos enter. Inmediatamente nos solicitar una confirmacin de la nueva contrasea, volvemos a ingresarla y

presionamos enter:

Cambiar contrasea del usuario root de mysql

Ingresamos a la consola de Elastix como usuario root Una vez que hemos ingresado escribimos el comando: mysqladmin -u root -pClaveActual password 'ClaveNueva' Nota: Reemplace la palabra ClaveActual por la clave que ingres durante la instalacin de Elastix.

Reemplace adems la palabra ClaveNueva, por la nueva clave. Esta ltima clave va entre comillas simples.

Ej: Si la clave actual es palosanto y queremos cambiarla a worldelastixnow la sentencia debe ser: mysqladmin -u root -ppalosanto password 'worldelastixnow'

Presionamos la tecla enter y si todo sali bien obtendremos nicamente una nueva lnea. Podemos probar la nueva contrasea ingresando a mysql con el siguiente comando:



4

mysql -u root p Inmediatamente nos pide la contrasea, la ingresamos y presionamos enter.

Salimos con exit Cambiar la contrasea de Flash Operator Panel

Ingresamos a la consola de Elastix como usuario root Una vez que hemos ingresado abrimos el archivo /etc/amportal.conf vim /etc/amportal.conf Buscamos la lnea FOPPASSWORD=

Cambiar la clave remplazando la cadena de texto luego del signo "=" , como se muestra a

continuacin: FOPPASSWORD=nuevaclave Grabamos y Salimos (Esc :wq)



5

Laboratorio 13.2 (Prctica Recomendada) Descripcin: Asegurar Elastix utilizando el Firewall en el mismo servidor utilizando iptables por lnea de comando. Se asume para esta prctica que solo se tiene 1 interfaz de red y que esta se llama eth0. Objetivo: Aprender a cerrar todos los puertos menos los estrictamente necesarios para el funcionamiento de nuestra Central. Tiempo Mximo: 20 minutos. Instrucciones: Ingresamos a la consola de Elastix como usuario root. Una vez en la consola ejecutamos

las siguientes lneas: Nota: podemos ver nuestro progreso con: iptables -L Aceptar el trfico para el protocolo SIP iptables -A INPUT -p udp -m udp -i eth0 --dport 5060 -j ACCEPT Aceptar el trfico para el protocolo RTP iptables -A INPUT -p udp -m udp -i eth0 --dport 10000:20000 -j ACCEPT Aceptar el trfico para el protocolo IAX iptables -A INPUT -p udp -m udp -i eth0 --dport 4569 -j ACCEPT Aceptar el trfico de HTTPS iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT Aceptar el trfico de SMTP iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT Aceptar el trfico de POP3 iptables -A INPUT -p tcp -i eth0 --dport 110 -j ACCEPT Aceptar el trfico de IMAP iptables -A INPUT -p tcp -i eth0 --dport 143 -j ACCEPT Aceptar el trfico de mensajera Instantnea iptables -A INPUT -p tcp -i eth0 --dport 9090 -j ACCEPT Denegar todo el otro trfico restante iptables -A INPUT -p all -i eth0 -j DROP Una vez que hemos ingresado todas las lneas, grabamos la configuracin con el siguiente comando: iptables-save > /etc/sysconfig/iptables



6

Prctica alternativa al laboratorio 13.2 Laboratorio 13.3: Activacin y Configuracin de Firewall Descripcin: Se habilitar y configurar el firewall de Elastix desde la interfaz de Elastix. Objetivo: Configurar seguridad en Elastix Tiempo Mximo: 30 minutos. Instrucciones: Ingresar a la interfaz de administracin web de Elastix como administradores. Ir a:

Seguridad Cortafuegos Regla Cortafuegos

El Cortafuegos o Firewall est desactivado por defecto en Elastix.

Para activarlo hacemos clic en "Activar Cortafuegos".

Al hacer esto, el Cortafuegos activa todas las reglas y habilita la edicin de opciones en cada una de

ellas.



7

En la primera columna de la derecha observamos un icono en forma de foco y otro en forma de agenda. El foco indica que la regla est activada y la agenda nos da acceso a su edicin.

Existen dos criterios de configuracin a) El primero en el cual permitimos trfico entrante y saliente siguiente, y que el administrador bloquee

puertos de acuerdo a su criterio. b) En el segundo se niegan todos los accesos de entrada y el administrador abre los puertos

requeridos en base a su criterio. En este laboratorio utilizaremos la primera opcin. Varias de las polticas que necesitamos configurar ya estn creadas en el cortafuegos pero en

desorden. Podemos ordenarlas utilizando las flechas que se encuentran en la columna Orden. Primero mencionaremos todas las reglas y luego como configurarlas. Las 3 primeras reglas deben ser las siguientes: 1. Permitir el trfico de todos los paquetes utilizando la extensin State/Estado, con la opcin

Establecido y Relacionado activada (Established,Related). 2. Permitir el acceso SSH (protocolo TCP) a un segmento de la red en especfico. 3. Permitir la conexin HTTPS (protocolo TCP) a un segmento de la red en especfico. Las siguientes dos reglas se las crear para permitir el acceso de una mquina remota registrando

su IP pblica.

Nota: En el caso de este curso debemos registrar la IP pblica donde se encuentra nuestro ordenador, siempre y cuando intentemos acceder de manera remota al servidor Elastix; si este no es el caso, obviar estas dos reglas.

4. Permitir todo el trfico SSH (protocolo TCP) que venga desde la IP pblica x.x.x.x 5. Permitir todo el trfico HTTPS (protocolo TCP) que venga desde la IP pblica x.x.x.x Las siguientes reglas son: 6. Permitir el trfico a travs de la interfaz de loopback 7. Permitir hacer ping (protocolo ICMP) al servidor desde un segmento de red en especfico. 8. Permitir trfico SIP 9. Permitir trfico IAX2 10. Permitir trfico IAX1 11. Permitir trfico RTP 12. Cerrar todos los puertos restantes. Configuracin de Reglas Las 3 primeras reglas son las siguientes:



8

Estas reglas ya existan y nicamente las colocamos en orden. Las reglas 2 y 3 deben ser

modificadas para restringir el acceso SSH y HTTPS a nuestro segmento de red o a la IP de nuestro ordenador.

En este caso restringiremos el acceso a nuestro segmento de red. Para editar las reglas hacemos clic en el icono de agenda. Iniciamos con la regla 2.

Ya que estamos haciendo nuestra primera configuracin detallaremos la informacin de los

siguientes campos:

o Trfico: Permite trfico, en este ejemplo permite trfico de entrada o Interface IN: Cualquier interfaz es permitida en este ejemplo o Source Address: IP de fuente, en este ejemplo estamos permitiendo el acceso a toda la red

192.168.2.0, si quisiramos que solo una mquina acceda a SSH simplemente debemos colocar la direccin IP del host y en la mscara colocamos 32.

Al concluir con la configuracin hacemos clic en Guardar. Nota: Cada vez que hacemos un cambio obtendremos el siguiente mensaje:

No es necesario guardar los cambios en este momento, eso lo haremos al final de la configuracin. Hacemos la misma configuracin para la regla 3. Al finalizar tendremos las 3 primeras reglas de la siguiente manera



9

La configuracin de las reglas 4 y 5 son similares a las reglas 2 y 3, con la diferencia que la

direccin de origen corresponde a la IP pblica del ordenador. Para crearlas hacemos clic en Nueva Regla y luego colocamos la informacin requerida. La

siguiente imagen es un ejemplo para el acceso SSH.

Al crear la regla esta se aadir al final por lo cual la colocaremos en el orden que necesitamos, es

decir 4 y 5. Al completar ambas reglas y ordenarlas debemos tener algo similar a lo siguiente

Continuamos con las siguientes 7 reglas, luego de lo cual debemos obtener algo similar a lo

siguiente

Desactivamos todas las reglas a partir de la regla 13, nicamente dejamos activada la regla de bloqueo de puertos que se muestra en la imagen



10

En el caso de este laboratorio la regla a la que hacemos referencia es la regla 23. La regla 24 que

se observa en la imagen no es relevante y tambin la desactivaremos. Una vez que hemos completado toda la configuracin, hacemos clic en Guardar Cambios. Si todo

sali bien debemos poder seguir en la interfaz.

Nota: Si en algn momento nos bloqueamos el acceso, debemos entrar a la consola Linux del servidor directamente y proceder a parar iptables que es la herramienta que usa el mdulo de seguridad de Elastix. Para hacerlo ejecutamos: service iptables stop

Para comprobar que las reglas estn aplicadas, podemos entrar a la consola Linux de nuestra

Elastix por SSH, como usuario root, y veremos las reglas aplicadas al ejecutar: iptables L n v

La configuracin realizada establece que ningn usuario de una red diferente a la 192.168.2.0 (es decir la red interna del ejemplo), puede acceder va SSH.

Si queremos restringir el acceso a SIP e IAX, podemos configurar las reglas 8 a la 10, incluyendo la

direccin interna de nuestra red en el campo direccin de origen.



11

En el caso de que necesitemos agregar un usuario remoto para acceder a esos servicios, debemos crear una regla similar (SIP o IAX), e incluir la direccin IP permitida en el campo direccin de origen.

Entre las reglas desactivadas se encuentran reglas corresponden a protocolos de correo,

mensajera instantnea, entre otras. En caso de que necesitemos utilizarlas podemos activarla encendiendo el foco y configurando la regla de acuerdo a los que accesos necesarios. En nuestro caso estamos asegurando la PBX para que use solo telefona.



12

Laboratorio 13.4: Configuracin bsica de firewall Descripcin: Permitir el acceso a una IP especfica en nuestra red. Objetivo: Habilitar el acceso a direcciones conocidas. Tiempo Mximo: 10 minutos. Instrucciones: Ahora vamos a crear una regla una IP en nuestra red. Esto permitir a un potencial administrador o

usuario el acceso a nuestro servidor. Hacemos clic en el botn Nueva Regla y colocamos los siguientes datos (En el campo Direccin

de Origen debemos colocar la IP requerida).

Hacemos clic en Guardar. Inmediatamente obtenemos el mensaje de advertencia, previo a Guardar Cambios. Antes de

hacerlo colocamos nuestra nueva regla en ante-penultimo lugar, justo antes de las dos ltimas reglas.

Lo hacemos haciendo clic en los iconos de flecha en el lado izquierdo.

Luego hacemos clic en Guardar y habremos creado la nueva regla. Cada vez que se crea una nueva regla tiene que estar antes de las dos ltimas reglas, en el caso de

este ejemplo las reglas 22 y 23, explicamos el porqu de esta condicin:



13

Lo sealado en la imagen son reglas indispensables, todas las reglas se cumplen secuencialmente

empezando desde la 1 hasta la 23 en este ejemplo. Lo que hace la regla 21 es hacer un REJECT de todas las IP que no cumplieron las condiciones

anteriores para todo el trfico INPUT Lo que hace la regla 22 es hacer un REJECT de todas las IP que no cumplieron con las condiciones

anteriores para todo el trfico FORWARD Esta es la razn de que las reglas deben estar antes, ya que si son creadas posteriormente no

tendr ningn efecto. Probemos la configuracin ingresando a la direccin de su servidor Elastix desde una mquina con

diferente IP a la registrada en la regla de firewall.



14

Laboratorio 13.5: Configuracin bsica de firewall Descripcin: Restringir el acceso UDP y SIP a direcciones IP no autorizadas. Objetivo: Restringir el acceso a direcciones IP vinculadas a una extension. Tiempo Mximo: 10 minutos. Instrucciones: A continuacin mostraremos un ejemplo de cmo bloquear las direcciones IP que son de alto riesgo

para nuestro equipo. Al ser un ejemplo bloquearemos la direccin IP asociada a un interno o extensin dentro de nuestra

red privada, para que no pueda recibir ni realizar llamadas. Editamos el protocolo UDP SIP que es el que est vinculado con las llamadas SIP de alguna

extension que hayamos creado. La regla la editaremos como muestra la figura

Una vez configurado presionamos guardar. Al salir aparecer un mensaje que pide nuevamente guardar pero esta vez se guardar en la tabla

de Iptables y se asentarn las reglas modificadas.



15

Procedemos a abrir un terminal ssh y escribimos iptables L

Podemos observar todas las reglas habilitadas y modificadas, en este momento la extension

asociada a la direccin IP que restringimos no debe estar registrada, podemos intentar llamando a la extension que est asociada a esa IP, como resultado ninguna llamada se concretar.

Veamos que paso con la extensin asociada a esa IP, escribimos: asterisk rx sip show peers

Para este ejemplo la direccin IP 192.168.5.33 que aadimos a la regla de firewall desde la interfaz

Elastix est asociada a la extension 1002 y como se puede apreciar esta deshabilitada.



16

El contenido de este libro est sujeto a mejoramiento. Si usted encuentra errores, por favor enve un email a [email protected] y recibir una actualizacin gratis en la siguiente edicin.

ece - laboratorios cap13

Documents