Módulo de seguridad en Elastix : Restringir el acceso al Entrorno Web
Normalmente posteo cosas sobre inseguridad, sin embargo debido a mucha inquietud sobre Hacking VoIP y aveces desconocimiento del mismo, me anime a realizar este pequeño post … al grano entonces.
El proyecto Elastix, a parir de la versión 2.0.4, incorporo el módulo de seguridad , el cual como parte de sus funcionalidades, trae un completo gestor de FIREWALL (Iptables en background) para el manejo de puertos y servicios, es evidente que para muchos, el manejo de IPTABLES , puede ser un dolo de cabeza, sin embargo la incorporación de este feature , permitirá la administración de los puertos de acceso un poco mas amigable.
Justificación : No es novedad, que uno de los vectores mas importantes, son los ataques a nivel de aplicaciones web, ya que regularmente aparecen siempre nuevas vulnerabilidades, para ayudarnos en este tema, vamos a ver, como nos puede ayudar el modulo de seguridad y lo contextualizo en el siguiente ejemplo.
Escenario :
Restringir el acceso a la interfase web de administración de Elastix, solo desde una dirección IP especifica, digamos que sea la de nuestra maquina, ya sea interna o externa.
NOTA IMPORTANTE : El uso erróneo de la siguiente configuración puede dejarlos sin acceso completo al entorno de administración , no me responsabilizo, si no aplican bien o interpretan mal el instructivo.
PROCEDIMIENTO
1.- Activar Contrafuegos
Con el objetivo de asegurarnos, si las reglas por defecto, no van a producir algún problema, en nuestra configuración actual, tener cuidado sobre todo con las troncales SIP.
Pulsar sobre el Boton : Activar Contrafuegos
Una vez realizado esto, el firewall quedara activado como se muestra en la siguiente imagen
2.- Cambiar la configuración de la regla 12(http) y 15(https)
Cambiar las reglas que apunta a los servicios http y https que aceptan todas las conexiones de entrada (opción por default) para que ahora solo permita conexiones a nuestra dirección IP en este caso va ser la : 192.168.10.244
A) Ubicar las reglas http y https
B) Editar las reglas y cambiar el parámetro «Dirección Origen» con la dirección IP a la cual daremos acceso
Regla para HTTP
Regla para HTTPS
C) Finalmente tendrían que quedar de la siguiente forma, una vez modificadas.
3.- Aplicar las reglas del Contrafuegos
Dar click en el boton «Guardar Cambios»
Finalmente, de este modo, realizaremos lo que se conoce como filtrar por origen, en este caso, solo estamos dando acceso a una dirección IP en especifico, de igual forma, pueden aplicar el mismo proceso para los servicios SSH e inclusive SIP.
Espero les sirva la información.
Mas información sobre el modulo de seguridad de Elastix : http://www.elastix.org/index.php/es/component/content/article/67-newstest/523-elastix-launches-security-module-10012011.html
Juan Oliva 
BUENAS NOCHES
COMOSIEMPRE REALIZANDO LAS PREGUNTAS MAS DIFICLES QUE CASI NADIE DOMINA.
Estimado Sr. Juan
Sabras como Desabilitar para que mi Elastik/Asterisk no envie: Options a mi proveedor sip, o que simplemente no envie options y ya.
Explicación.
Tengo mi central Elastaik Con 10 Troncales SIP.
Los troncales son suministrados por un Proveedor y todo de marabillas.
Siempre que alguien llama desde afuera a alguno de mis troncales primero escucha un repique y luego se escucha que la llamada entra a la central.
Me percato por que uso un tono o ringback diferente al del proveedor.
«y lo que busco es que mi central atienda de insofacto en el acto en seco.» Tal como sucede cuando uno llama a un servicio 0800.
He probado desbilitando el fax, hablando con el proveedor para quitar falso ring de su lado, eliminado quaolify… en fin…
¿Por que desabilitar Options?
El proveedor me ha dicho al revisar mis trazas que el problema esta. en que mi central le envia Options = INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO ,
Y DICE QUE ESO SOLO DEBE ENVIARLO ELLOS HACIA MI (EL PROVEEDOR AL CLIENTE NO EL CLIENTE AL PROVEEDOR) (AQUI ES EL PROBLEMA)
LA SOLUCION QUE ME DAN ES:
QUE DEBO DESABILITAR OPTIONS
AQUI MI TRAZA
OPTIONS sip:server.ip.com SIP/2.0
Via: SIP/2.0/UDP my.loca.ip:5060;branch=z9hG4bK76976b02;rport
Max-Forwards: 70
From: «myusertunk» ;tag=as0ff70cdc
To:
Contact:
Call-ID: 26a3b99a3935bdad7b2eed05037f88d6@my.local.ip
CSeq: 102 OPTIONS
User-Agent: Asterisk PBX 1.6.2.13
Date: Fri, 29 Jun 2012 13:10:54 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO
Espero que esto sirva para muchos o todos que seguro tenemos ese problema de tardanza en las llamadas entrantes con TrunkSip.
Gracias, por la colaboracion o al usuario que lo responda. he googleadop por semanas y nada.
Hola
Si vi tu pregunta en la lista de desarrollo de Elastix, sin embargo, recomiendo que deberías orientar tu consulta mas en función de Asterisk, ya que justamente los métodos los implementa este ultimo.
No se si ya probaste la opción qualify=xxx|no|yes la cual según voip-info (http://www.voip-info.org/wiki/view/Asterisk+sip+qualify) la cual esta dentro de sip.conf, implementa justamente el método OPTIONS
Si ya lo probaste, entonces lo que yo haría, es hacer cambios a nivel de código fuente de Asterisk, la lista asterisk-dev (http://lists.digium.com/mailman/listinfo/asterisk-dev/) puede ser un buen punto de consulta.
Saludos
Juan Oliva
Como revierto estos pasos por root, es decir quiero poder desbloquear y entrar desde la web, pero desde otra ip, y no tengo acceso a la ip que esta configurada. Necesitaria hacerlo desde root… Gracias
Hola Andres
Para hacerlo con iptables puro , deberías revisar este material
http://www.pello.info/filez/firewall/iptables.html
Espero te sirva
Saludos !!
Juan Oliva
Buenas noches.
Tuve un problema de tipico problema de novato. Me apresure y desde la interfaz web, denegue el acceso via http y https, y ahora no puedo loguearme. Como puedo reestablecer todos los iptables a cero por linea de comando?? O alguna forma de levantar el acceso web??
Gracias 🙂
Prueba con :
service iptables stop
service iptables restart
Saludos
Juan Oliva
He probado con ambos comandos y no he podido acceder via web. Para ser mas explicito. Hay un icono con un foco, yo desactive esa opcion y ahora estoy metido en este problema. Habra alguna otra solucion a mi problema?
Saludos.
Juan Ortiz
Buenas, tengo un servidor elastix al cual no puedo ingresar con usuario y password, antes lo hacia pero de un momento a otro no lo permitía. Leí en foros que el disco podía estar lleno, lo he liberado con Win SCP, pero sigue igual. No tengo idea que pudo haber pasado. Gracias por su atención
Hola David
Es muy complicado determinar lo que te pasó, puede ser ello o mil cosas mas, si tienes acceso físico al servidor trata de cambiar la contraseña entrando en modo single y en primera instancia recuperar el acceso, luego deberías determinar que es lo que ha pasado.
Espero te sirva
Saludos
Juan