extendiendo la seguridad en elastix con snort ids/ips
DESCRIPTION
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort. Conferencista: Juan OlivaTRANSCRIPT
![Page 1: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/1.jpg)
Extendiendo la Seguridad de Elastix
con Snort
![Page 2: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/2.jpg)
JUAN OLIVA @jroliva
A que me dedico ?Proyectos de Voz sobre IP con ELASTIXServicios de Ethical Hacking
CertificacionesECE, dCAA, LPIC-1, Novell CLA, C|EH , CPTE
Instructor / TrainingELASTIX 101, ECE, ESM, LPIC-1Cursos de Ethical HackingEthical hacking para VoIP , Callcenter
Y cuando tengo tiempo mantengo un blog :
http://jroliva.wordpress.com
![Page 3: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/3.jpg)
¿Qué es Snort?
Es un IDS / IPS muy flexible y a la vez complejo, que se ha convertido en el estandar en en campo de la seguridad :
•Alto nivel de personalización
•Análisis de paquetes
•Diferentes modos de ejecución
•Base de reglas de alto alcance
•Diferente tipos de almacenamiento
![Page 4: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/4.jpg)
Modos de funcionamiento
- Pasivo / Snifer
Sniffer de paquetes entrantes y salientes en consola
- Logger
Captura de paquetes E/S guardados en un log
![Page 5: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/5.jpg)
Modos de funcionamiento
- IDS / NIDS
Sniffer de paquetes entrantes y salientes con generación de
alertas , para un host o para todo un segmento de red
- IPS
llamado “inline” , es el modo de preventor de intrusos y
funciona en colaboración con IPTABLES
![Page 6: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/6.jpg)
Posicionamiento en la red
![Page 7: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/7.jpg)
NIDS
![Page 8: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/8.jpg)
sss
IDS/IPS PERIMETRAL - outside
![Page 9: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/9.jpg)
sss
IDS/IPS PERIMETRAL – inside DMZ
![Page 10: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/10.jpg)
En modo mirrored
![Page 11: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/11.jpg)
Funcionamiento interno
![Page 12: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/12.jpg)
Entendiendo el funcionamiento interno
Tres componentes basicos
•Reglas
•Preprocesors
•Plugins de salida
![Page 13: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/13.jpg)
Funcionamiento interno (1)
- Reglas por defecto – Reglas personalizadas
Base de datos de ataques que sirven para Detección de
Amenazas y Generación de Alarmas
![Page 14: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/14.jpg)
Funcionamiento interno (2)
- Preprocesors
Realiza análisis de paquetes entrantes y salientes justo
antes de que el motor de detección se ejecute (reglas) y
justo después de que el paquete ha sido recibido y
decodificado.
* SfPort scan
* Frag3
* HttpInspect
![Page 15: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/15.jpg)
Funcionamiento interno (3)
- Plugins de Salida
Formato en que presentará la información procesada
* Motor de base de datos (Mysql, Postgresql)
* Syslog
* tcpdump
![Page 16: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/16.jpg)
Funcionamiento interno (1)
![Page 17: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/17.jpg)
Modos de ejecución
![Page 18: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/18.jpg)
/usr/local/bin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0
- D: En modo servicio- u : Usuario de ejecución- g : Grupo de ejecución- c : Archivo central de configuración- i : Interfase de escucha en modo promiscuo
Modos de ejecución - IDS
![Page 19: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/19.jpg)
snort -D --daq afpacket -Q -u snort -g snort -c /etc/snort/snort.conf -i eth0:eth1
- D: En modo servicio- daq afpacket : Condigura daq en modo inline- Q : Modo IPS- i etho:eth1: Necesita dos interfases en modo IPS
Modos de ejecución - IPS
![Page 20: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/20.jpg)
Pero donde está la información?? La interfase gráfica ???
Hablemos de almacenamiento ...
![Page 21: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/21.jpg)
tail -f /var/log/snort/alerts
Almacenamiento en logs
![Page 22: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/22.jpg)
Habilitar en la instalaciónhasta la 2.9.2 – luego barnyard2./configure --with-mysql –enable-dynamicplugin
Configurar en /etc/snort/snort.confoutput database: alert, mysql, user=root password=passwd dbname=snort host=localhostoutput database: log, mysql, user=root password=passwd dbname=snort host=localhost
Almacenamiento en Base de datos
![Page 23: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/23.jpg)
Interfase gráfica - Base
![Page 24: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/24.jpg)
Interfase gráfica - SnorbyInterfase gráfica - Snorby
![Page 25: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/25.jpg)
De qué me sirve todo esto para proteger Elastix ??
![Page 26: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/26.jpg)
Posicionamiento en la red con Elastix
![Page 27: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/27.jpg)
sss
Elastix con IP Publica + estática
![Page 28: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/28.jpg)
sss
Elastix en la nube
![Page 29: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/29.jpg)
Recordemos un poco de tipos de ataques .....
![Page 30: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/30.jpg)
Los de siempre , ataques externos
![Page 31: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/31.jpg)
Ataques internos, los de revancha
![Page 32: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/32.jpg)
Los que nos hacemos nosotros.......
![Page 33: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/33.jpg)
Detectando ataques hacia Elastix
Cuando fail2ban no basta..
![Page 34: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/34.jpg)
Detectando ataques hacia Elastix
Tres tipos clasicos
•Enumeracion y passwod cracking SIP
•Vulnerabilidades y Discovery Web
•Denial of services
![Page 35: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/35.jpg)
Detectando ataques hacia Elastix
alert udp $EXTERNAL_NET any -> $HOME_NET 5060 (msg:"ET SCAN Sipvicious User-Agent Detected (friendly-scanner)"; content:"|0d 0a|User-Agent|3A| friendly-scanner"; classtype:attempted-recon; reference:url,code.google.com/p/sipvicious/; reference:url,blog.sipvicious.org/; reference:url,doc.emergingthreats.net/2011716; reference:url,www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/SCAN/SCAN_Sipvicious; sid:2011716; rev:2;)
![Page 36: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/36.jpg)
Detectando ataques hacia Elastix usando SNORT
DEMO
![Page 37: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/37.jpg)
Tener las librerias completas de DAQ
./snort --daq-list
Available DAQ modules:
pcap(v3): readback live multi unpriv
ipfw(v2): live inline multi unpriv
dump(v1): readback live inline multi unpriv
afpacket(v4): live inline multi unpriv
Snort en modo IPS TIPS(1) :
![Page 38: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/38.jpg)
Contar con dos interfase de red
- No misma mac- Dos interfaces distintas
Snort en modo IPS TIPS(2) :
![Page 39: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/39.jpg)
Levantar snort en el modo correcto
- daq afpacket : Condigura daq en modo inline
- Q : Modo IPS
- i etho:eth1: Necesita dos interfases en modo IPS
Snort en modo IPS TIPS(3) :
![Page 40: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/40.jpg)
Hacer que IPTABLES colabore con Snort
iptables -I INPUT -i lo -j ACCEPTiptables -I INPUT -p tcp --dport 80 -j NFQUEUEiptables -I OUTPUT -p tcp --sport 80 -j NFQUEUEiptables -I INPUT -p tcp --dport 443 -j NFQUEUEiptables -I OUTPUT -p tcp --sport 443 -j NFQUEUEiptables -I INPUT -p udp --dport 5060 -j NFQUEUEiptables -I OUTPUT -p udp --sport 5060 -j NFQUEUE
Snort como IPS TIPS(4) :
![Page 41: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/41.jpg)
Instalación de Snort en Elastix
URL: http://jroliva.wordpress.com/
![Page 42: Extendiendo la seguridad en Elastix con Snort IDS/IPS](https://reader035.vdocumento.com/reader035/viewer/2022081502/556590c0d8b42a093a8b48b2/html5/thumbnails/42.jpg)
Gracias ElastixWorld !!
Juan OlivaConsultor en Ethical Hacking y VoIPECE®, dCAA®, C|EH™, C)PTE™, OSEH, BNS, LPIC-1™, Novell CLA®
Correo : [email protected] : [email protected] : @jrolivaBlog : http://jroliva.wordpress.com/