Módulo de seguridad en Elastix : Restringir el acceso al Entrorno Web

Published by

jroliva

julio 2, 2012

Normalmente posteo cosas sobre inseguridad, sin embargo debido a mucha inquietud sobre Hacking VoIP y aveces desconocimiento del mismo, me anime a realizar este pequeño post … al grano entonces.

El proyecto Elastix, a parir de la versión 2.0.4, incorporo el módulo de seguridad , el cual como parte de sus funcionalidades, trae un completo gestor de FIREWALL (Iptables en background) para el manejo de puertos y servicios, es evidente que para muchos, el manejo de IPTABLES , puede ser un dolo de cabeza, sin embargo la incorporación de este feature , permitirá la administración de los puertos de acceso un poco mas amigable.

Justificación : No es novedad, que uno de los vectores mas importantes, son los ataques a nivel de aplicaciones web, ya que regularmente aparecen siempre nuevas vulnerabilidades, para ayudarnos en este tema, vamos a ver, como nos puede ayudar el modulo de seguridad y lo contextualizo en el siguiente ejemplo.

Escenario :
Restringir el acceso a la interfase web de administración de Elastix, solo desde una dirección IP especifica, digamos que sea la de nuestra maquina, ya sea interna o externa.

NOTA IMPORTANTE : El uso erróneo de la siguiente configuración puede dejarlos sin acceso completo al entorno de administración , no me responsabilizo, si no aplican bien o interpretan mal el instructivo.

PROCEDIMIENTO

1.- Activar Contrafuegos
Con el objetivo de asegurarnos, si las reglas por defecto, no van a producir algún problema, en nuestra configuración actual, tener cuidado sobre todo con las troncales SIP.

Pulsar sobre el Boton : Activar Contrafuegos

Una vez realizado esto, el firewall quedara activado como se muestra en la siguiente imagen

2.- Cambiar la configuración de la regla 12(http) y 15(https)
Cambiar las reglas que apunta a los servicios http y https que aceptan todas las conexiones de entrada (opción por default) para que ahora solo permita conexiones a nuestra dirección IP en este caso va ser la : 192.168.10.244

A) Ubicar las reglas http y https

B) Editar las reglas y cambiar el parámetro «Dirección Origen» con la dirección IP a la cual daremos acceso

Regla para HTTP

Regla para HTTPS

C) Finalmente tendrían que quedar de la siguiente forma, una vez modificadas.

3.- Aplicar las reglas del Contrafuegos

Dar click en el boton «Guardar Cambios»

Finalmente, de este modo, realizaremos lo que se conoce como filtrar por origen, en este caso, solo estamos dando acceso a una dirección IP en especifico, de igual forma, pueden aplicar el mismo proceso para los servicios SSH e inclusive SIP.

Espero les sirva la información.

Mas información sobre el modulo de seguridad de Elastix : http://www.elastix.org/index.php/es/component/content/article/67-newstest/523-elastix-launches-security-module-10012011.html

9 respuestas a “Módulo de seguridad en Elastix : Restringir el acceso al Entrorno Web”

OLAEGA

julio 2, 2012

BUENAS NOCHES

COMOSIEMPRE REALIZANDO LAS PREGUNTAS MAS DIFICLES QUE CASI NADIE DOMINA.

Estimado Sr. Juan

Sabras como Desabilitar para que mi Elastik/Asterisk no envie: Options a mi proveedor sip, o que simplemente no envie options y ya.

Explicación.

Tengo mi central Elastaik Con 10 Troncales SIP.
Los troncales son suministrados por un Proveedor y todo de marabillas.
Siempre que alguien llama desde afuera a alguno de mis troncales primero escucha un repique y luego se escucha que la llamada entra a la central.
Me percato por que uso un tono o ringback diferente al del proveedor.

«y lo que busco es que mi central atienda de insofacto en el acto en seco.» Tal como sucede cuando uno llama a un servicio 0800.

He probado desbilitando el fax, hablando con el proveedor para quitar falso ring de su lado, eliminado quaolify… en fin…

¿Por que desabilitar Options?

El proveedor me ha dicho al revisar mis trazas que el problema esta. en que mi central le envia Options = INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO ,

Y DICE QUE ESO SOLO DEBE ENVIARLO ELLOS HACIA MI (EL PROVEEDOR AL CLIENTE NO EL CLIENTE AL PROVEEDOR) (AQUI ES EL PROBLEMA)

LA SOLUCION QUE ME DAN ES:

QUE DEBO DESABILITAR OPTIONS

AQUI MI TRAZA

OPTIONS sip:server.ip.com SIP/2.0

Via: SIP/2.0/UDP my.loca.ip:5060;branch=z9hG4bK76976b02;rport

Max-Forwards: 70

From: «myusertunk» ;tag=as0ff70cdc

To:

Contact:

Call-ID: 26a3b99a3935bdad7b2eed05037f88d6@my.local.ip

CSeq: 102 OPTIONS

User-Agent: Asterisk PBX 1.6.2.13

Date: Fri, 29 Jun 2012 13:10:54 GMT

Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO

Espero que esto sirva para muchos o todos que seguro tenemos ese problema de tardanza en las llamadas entrantes con TrunkSip.

Gracias, por la colaboracion o al usuario que lo responda. he googleadop por semanas y nada.

Responder
1. jroliva
  
  julio 2, 2012
  
  Hola
  Si vi tu pregunta en la lista de desarrollo de Elastix, sin embargo, recomiendo que deberías orientar tu consulta mas en función de Asterisk, ya que justamente los métodos los implementa este ultimo.
  
  No se si ya probaste la opción qualify=xxx|no|yes la cual según voip-info (http://www.voip-info.org/wiki/view/Asterisk+sip+qualify) la cual esta dentro de sip.conf, implementa justamente el método OPTIONS
  
  Si ya lo probaste, entonces lo que yo haría, es hacer cambios a nivel de código fuente de Asterisk, la lista asterisk-dev (http://lists.digium.com/mailman/listinfo/asterisk-dev/) puede ser un buen punto de consulta.
  
  Saludos
  Juan Oliva
  
  Responder
andres

febrero 26, 2014

Como revierto estos pasos por root, es decir quiero poder desbloquear y entrar desde la web, pero desde otra ip, y no tengo acceso a la ip que esta configurada. Necesitaria hacerlo desde root… Gracias

Responder
jroliva

febrero 26, 2014

Hola Andres

Para hacerlo con iptables puro , deberías revisar este material

http://www.pello.info/filez/firewall/iptables.html

Espero te sirva
Saludos !!
Juan Oliva

Responder
Juan

noviembre 10, 2015

Buenas noches.
Tuve un problema de tipico problema de novato. Me apresure y desde la interfaz web, denegue el acceso via http y https, y ahora no puedo loguearme. Como puedo reestablecer todos los iptables a cero por linea de comando?? O alguna forma de levantar el acceso web??

Gracias 🙂

Responder
1. jroliva
  
  noviembre 10, 2015
  
  Prueba con :
  
  service iptables stop
  service iptables restart
  
  Saludos
  Juan Oliva
  
  Responder
  1. Juan
    
    noviembre 10, 2015
    
    He probado con ambos comandos y no he podido acceder via web. Para ser mas explicito. Hay un icono con un foco, yo desactive esa opcion y ahora estoy metido en este problema. Habra alguna otra solucion a mi problema?
    
    Saludos.
    Juan Ortiz
David Pastor

febrero 24, 2016

Buenas, tengo un servidor elastix al cual no puedo ingresar con usuario y password, antes lo hacia pero de un momento a otro no lo permitía. Leí en foros que el disco podía estar lleno, lo he liberado con Win SCP, pero sigue igual. No tengo idea que pudo haber pasado. Gracias por su atención

Responder
1. jroliva
  
  febrero 29, 2016
  
  Hola David
  
  Es muy complicado determinar lo que te pasó, puede ser ello o mil cosas mas, si tienes acceso físico al servidor trata de cambiar la contraseña entrando en modo single y en primera instancia recuperar el acceso, luego deberías determinar que es lo que ha pasado.
  
  Espero te sirva
  Saludos
  Juan
  
  Responder

Replica a OLAEGA Cancelar la respuesta

Juan Oliva

Consultor en Ciberseguridad con mas de 17 años de experiencia en el campo, muy involucrado en proyectos de Ethical Hacking, análisis y explotación de vulnerabilidades en infraestructura, aplicaciones web, APIs y Móviles, pruebas de ingeniería social y revisión de código.

Juan Oliva