Implementando Elastix SIP Firewall
Contents
1. 17 8 Bloqueo de Intentos de ataques de SIP Cross Site Scripting 18 8 1 Desarrollando ataques de SIP Cross Site Scripting 18 8 2 Deteccion del Ataque aii 19 9 Configuraci n de listas negra din mica para amenazas VolP 20 9 1 Cambrando la direccion Pei 20 9 2 Probando el bloqueo pro activo mediante listas negras 21 9 2 1 Verificando conectividad desde el atacante ccocooonnonooooononoccnnncnnnnnnonnnnnnnonoss 21 9 2 2 Realizando un ataque de SIP BRUTE FORCE ATTACK 21 9 2 3 Verificando el bloqueo en SIP FIREWALL occccnnnnnnnonnccnnnnnnnnonononoccnnnnnnnnnnnnos 22 10 Configuraci n de reglas de Blacklist y Whitelist ococoooooommmmmmm 23 10 1 Aeresando direcciones IP al Blacks 23 10 2 Agregando direcciones IP al Whitelist coccccccccnncnonononononnnnnnnnnncnonoss 26 11 Configuraci n de bloqueo por ubicaci n 27 12 Configuraci n de acceso a la administraci n del dispositivo a una IP red SS Pe CMC MM NT EA 28 12 1 Ingresar a Device Management Access y editar la regla DefaultAllAccess 28 122 Establecer la direcci n IP para 1 28 13 Configuraci2. Security Alerts O Log Viewer Settings i 300 Update Refresh Interval Refresh Download Logs E mail Server Settings Search Tine De category Category Name e Messages SciP Protocole Acton 01 01 4 40 22 70040001 7004 Sip Dos Attacks Sig INVITE flood 192 168 10 136 9 192 168 10 50 5060 UDP Blacklist 01 01 4 40 22 70040003 7004 Sip Dos Attacks Sig INVITE flood 192 168 10 136 9 192 168 10 50 5060 UDP Blacklist 16 7 Bloqueo de Intentos de obtenci n de contrase as o password cracking 7 1 Desarrollando ataques de password cracking svcrack u104 192 168 10 50 d dictionary txt Veremos que la respuesta de la herramienta es la siguiente svcrack ul04 192 168 10 50 d dictionary txt ERROR ASipO0OfRedWine no server response WARNING root found nothing E 7 2 Detecci n del Ataque El dispositivo Elastix SIP FIREWALL detecta el ataque ingresar a Security Alerts Security Alerts Security Alerts O Log Viewer Settings i 300 Update Refresh Interval Refresh Download Logs E mail Server Settings Search Tine De Category Category Name Messages DstiPe Protocol e Acton 01 01 70020001 7002 Sip Devices Sig SIP Devices 00 26 16 Scanning Identification Attempt 192 168 10 136 5060 192 168 10 50 5060 UDP Blacklist 17 8 Bloqueo de
3. Network Status m Network Info Device IP 10 0 0 1 LAN MAC 00 17 F7 00 9C 06 WAN MAC 00 17 F7 00 9C 07 Gateway 10 0 0 2 3 2 Device General Settings Configuraci n de la direcci n IP del dispositivo General Settings Q The UI connectivity may be lost after changing the device IP Please login with the new IP Address again Refer to the user manual Device gt General Settings Device Settings i Time Settings Host Name sip_secure Management Access IP Configuration EU Signature Update IP Addr Mask 10 0 0 1 255 255 255 0 Logging Gateway 10 0 0 2 Security Settings Dns Server 10 0 0 2 Security Alerts eem SSH Port 22 Allow ICMP Y Mgmt Addr Mask 192 168 100 1 255 255 255 0 Save Cancel Date Time Settings configuraci n de la hora y zona horaria esta configuraci n es muy importante para la correcta correlaci n de los eventos Dashboard Date Time Settings O Device Date Time Settings i Configuration Type NTP v General Settings 5 Time Settings Management Access Date Time oo 45 O1 O1 2000 Signature Update Time Zone America Bogota M Logging NTP Server Add Security Settings 3 in pool ntp org 4 in pool ntp org Delete Security Alerts Tools Apply Cancel Management Access Permite crear reglas que restringen el acceso a los servicios WEB y SSH del SIP FIREWALL Manageme
4. Oelastix elastix SIP Z implementando Elastix SIP Firewall Juan Oliva IMPLEMENTANDO ELASTIX SIP FIREWALL Manual de instalacion y pruebas de aseguramiento JUAN OLIVA jroliva PRIMERA EDICION Copyright c 2015 Juan Oliva Esta obra est licenciada bajo la Licencia Creative Commons Atribuci n NoComercial CompartirIgual 3 0 Unported Para ver una copia de esta licencia visite http creativecommons org licenses by nc sa 3 0 Si luego de leerla todavia tiene alguna duda acerca de esta licencia envie una carta a Creative Commons 171 2nd Street Suite 300 San Francisco California 94105 USA Primera Edicion Dedicado para Ang lica y Sebasti n 1 Agradecimiento La telefon a IP VoIP Linux y la seguridad inform tica siempre ha sido y ser mi pasi n sin embargo el desarrollo de estas capacidades no necesariamente hubieran sido posibles sin el apoyo y confianza de Edgar Landivar CEO y creador de Elastix por permitirme ser parte del equipo de colaboradores de Elastix Paul Estrella Project Manager de Elastix el cual siempre me impulsa a desarrollar nuevas ideas y proyectos A mi esposa que gracias a su paciencia y cari o me brinda la inspiraci n para seguir adelante 2 Acerca del autor Juan Oliva C rdova jroliva http jroliva wordpress com Es consultor de seguridad informatica y Telefonia IP con mas de 15 anos de experiencia en el campo Esta muy involucrado en proyec
5. P p 192 168 1 15 Puerto Wan ELASTIX SIP FIREWALL Puerto lan eth0 192 168 1 251 ELASTIX PBX Ingresando a la interface de administraci n de Elastix SIP FIREWALL SIP FIREWALL viene configurado con la direcci n IP 192 168 100 1 255 255 255 0 por lo cual ser necesario estar en el mismo segmento 192 168 100 0 24 luego ingresar a la interface web en la siguiente URL https 192 168 100 1 como se muestra a continuaci n Elastin SIP Ferowal H x beeps 192 168 100 1 El usuario y contrase a por defecto es admin As mismo tambi n deber amos poder tener conectividad hacia nuestra plataforma Elastix es decir hacer ping e ingresar a la interface web de manera transparente pasando por Elastix SIP FIREWALL 3 Revisi n de funcionalidades 3 1 Dashboard System Status Rendimiento de la memoria RAM almacenamiento y consumo del CPU Network Status Direcci n IP de escucha direcciones MAC Sig Update Version Versi n de firmas DPI Status Estado de DPI Security Alert Summary Last 10 Alerts ultimas 10 alertas detectadas a Dashboard O Device Security Alerts Up Time Elastix SIP Firewall Signatures 1 0 00 O Enabled O Running j Tools __ 2min E mme e L w Top 10 Signatures Top 10 Categories Flash Usage Flash Size 16MB Top Src Top Dest F 7o CPU Usage Last 10 Alerts HEN gt
6. ANY ANY any 53 Allow x ICMP Access ANY ANY 0 Allow Xx NTP Access ANY ANY udp 123 Allow x SSH Access ANY ANY top 22 Allow Y SX Telnet Access ANY ANY tcp 23 Allow xX Web Access ANY ANY top 80 443 8080 8088 Allow fx Add New FIREWALL Settings Firewall Settings O Device Security Settings gt SIP Attacks Detection TCP Syn Flood Rate 1024 SIP Protocol TCP Syn Flood Burst 128 Compliance TCP Flood Rate 4096 Firewall Rules TCP Flood Burst 96 gt Firewall Settings UDP Flood Rate 8192 Whitelist IP Addresses UDP Flood Burst 198 Blacklist IP Addresses ICMP Flood Rate 128 Dynamic Blacklist IP Addresses ICMP Flood Burst 64 Geo IP Filters Security Alerts Save Cancel Tools Whitelist IP Addresses Permite configurar las direcciones IP a la cual se conf a desde la red WAN Whitelist IP Addresses JS Whitelet Hide Pn Precede vt IP Hou Comments e Enabled e pm No data available Add New WAN Blacklist IP Addresses 9 fa Name Pye mx ECO Options No data available Add New Dynamic Blacklist IP Adresses Son reglas de bloqueo a adidas por el motor de inspecci n de paquetes de Elastix SIP FIREWALL Dynamic Blacklist IP Addresses O Device Security Settings gt Search SIP Protocol No data available Compliance Firewall Rules Firew
7. Intentos de ataques de SIP Cross Site Scripting Elastix SIP FIREWALL para el caso de detecci n de ataques Cross Site Scripting o tambi n llamados XSS hace uso del motor de inspecci n de paquetes para detectar c digos maliciosos que viajen v a el servicio protocolo SIP es importante referir esto porque los ataques XSS tambi n pueden realizarse hacia servicios como HTTP o HTTPS inclusive 8 1 Desarrollando ataques de SIP Cross Site Scripting Para desarrollar esta prueba de concepto es necesario descargar el archivo asterisk cdr sqlinjection pl ubicado en la siguiente direcci n url http securityvulns ru files asterisk sglinjection pl Una vez descargado en nuestro sistema Kali Linux procedemos a configurar el script de la siguiente forma asterisk sqlinjection pl 204 192 168 10 251 5060 101 192 168 10 136 5060 Donde 204 Extensi n de la central PBX Elastix 192 168 10 251 Direcci n IP de la central PBX Elastix 5060 Puerto del protocolo SIP 101 Extensi n ficticia del atacante 192 168 10 136 Direcci n IP de Kali Linux Veremos que la respuesta de la herramienta es la siguiente dr sqlinjection pl 204 192 168 10 251 5060 101 192 168 10 136 5060 18 8 2 Detecci n del Ataque El dispositivo Elastix SIP FIREWALL detecta el ataque ingresar a Security Alerts Security Alerts Security Alerts O Log Viewer Settings i 300 Update Refresh Interval Refresh Download Logs E m
8. Shutdown Traceroute Cantey Backup Troubleshootin g Select configuration file Choose File No file chosen Config Restore Requires Reboot Firmware Upgrade Ping Logs Archive Diagnostics Permite realizar un test de funcionamiento de Elastix SIP FIREWALL Diagnostics O Device Security Settings Run Diagnostics Get Report Security Alerts Tools Administration Diagnostics Ping Traceroute Troubleshooting Firmware Upgrade Logs Archive Ping Permite realizar un ping a un host o domino Dashboard Ping O Device Security Settings Host Count 1 Y Security Alerts Tools Ping Reset Administration Diagnostics gt Ping Traceroute Troubleshooting Firmware Upgrade Logs Archive 11 Traceroute Permite realzar una traza a un host Dashboard Traceroute O Security Settings Host Security Alerts Hop Count ICMP Traceroute Reset Administration Diagnostics Ping gt Traceroute Troubleshooting Firmware Upgrade Logs Archive Troubleshooting Permite habilitar o deshabilitar DPI Troubleshooting Administration Diagnostics Ping Traceroute Troubleshooting Firmware Upgrade Logs Archive 12 Upgrade Firmware Permite actualizar el firmware del dispositivo Upgrade Firmware 9 Device security Se
9. Y KOREA REPUBLIC OF Y Y UKRAINE Y ALGERIA Y Luego hacer clic en APPLY CHANGES ubicado en la parte superior derecha elastix Red 7 FIREWALL 30 November 14 08 24 14 pm SIPFW 1 0 00 Mon Sep 29 13 51 33 IST 2014 Welcome admin tor 27 12 Configuraci n de acceso a la administraci n del dispositivo a una IP red espec fica Es posible configurar que solo sea sea posible ingresar a ELASTIX SIP FIREWALL desde una direcci n IP en espec fico como lo veremos a continuaci n 12 1 Ingresar a Device Management Access y editar la regla DefaultAllAccess Management Access O Search CCE Enabled e Options _ DefaultAllAccess ANY Default rule that al f X MgmtVlanAccess IP NETWORK 192 168 100 0 24 Access from Mgmt Vla 0X 12 2 Establecer la direcci n IP para administraci n Edit Management Access Rule X Name DefaultAllAccess IP Type IP HOST v Address 192 168 10 5 Enable Y Comments Default rule that allows access to the device from anywhere 28 Por defecto la regla est establecida para brindar acceso a cualquier direcci n IP en este caso cambiando el valor de IP Type a IP HOST es posible establecer la direcci n 192 168 10 5 que ser la nica direcci n IP en la RED LAN desde la cual ser posible ingresar al dispositivo Tambi n es posible establecer el acceso seg n los valores en el p
10. a nivel de Direcci n IP IP HOST segmento de RED IP NETWORK Rango de IP IP RANGE Direcci n MAC MAC ADDR Address Direcci n IP a bloquear Enable Establecer si la regla va estar activa o no Comentario Comentario descriptivo de la regla Una vez creada la regla hacer clic sobre el bot n APPLY CHANGES ubicado en la parte superior derecha como se muestra a continuaci n elastix E22 7 FIREWALL 192 168 10 141 IP_HOST SIP Protocol Compliance Firewall Rules Firewall Settings Whitelist IP Addresses Blacklist IP Addresses Dynamic Blacklist IP Addresses Geo IP Filters Max Security Alerts 192 168 10 141 Di 30 November 14 06 45 46 pm SIPFW 1 0 00 Mon Sep 29 13 51 33 IST 2014 Q Welcome admin x5 Blacklist IP Addresses 9 Device Security Settings gt Search reccion IP del ata X Cuando la regla est grabada correctamente no ser posible establecer conectividad desde la IP bloqueada hacia la direcci n IP de ELASTIX PBX como se muestra a continuaci n ifconfig ethoO Link encap Ethernet HWadd inet addr 192 168 10 141 inet6 addr fe80 a00 UP BROADCAST RUNNING MULTICA RX packets 10325 errors 0 TX packets 1504 errors 0 collisions 0 txqueuelen RX bytes O r SES NJ sy h h 7 MN 09 DO UU 1000 1 5 MiB 1669071 TX T tr tr Ping 192 168 10 PING 1
11. n de servidor SYSLOG remoto para registro de eventos 30 13 1 Instalaci n y configuraci n de SYSLOG 30 13 2 Configuraci n un servidor de SYSLOG externo en Elastix SIP FIREWALL 36 13 3 Probar la integraci n de Elastix SIP FIREWALL y Servidor SYSLOG externo ELASTIX SIP FIREWALL 1 Esquema de funcionamiento El SIP FIREWALL es dispositivo totalmente agn stico a la red donde est posicionado el servidor Elastix PBX ya que funciona en modalidad mirror De tal forma que no es necesario realizar ninguna configuraci n del lado de la central Elastix A Configuraci n de SIP FIREWALL cuando Elastix PBX tiene una sola tarjeta de red LAN SIP FIREWALL ESQUEMA LAN FIREWALL PERIMETRO ELASTIX SIP FIREWALL B Configuraci n de SIP FIREWALL cuando Elastix PBX tiene dos tarjetas de red LAN y WAN lt lt SIP FIREWALL ESQUEMA WAN SIP FIREWALL Se TELEFONOS IP 2 Configuraci n e integraci n con Elastix 2 5 2 1 Configuraci n inicial Como se indic el en el punto anterior Elastix SIP FIREWALL se configura de manera transparente con respecto a la PBX de la siguiente forma Puerto LAN de SIP FIREWALL conectado al puerto LAN de Elastix PBX Puerto WAN de SIP FIREWALL conectado al SWITCH o al FIREWALL de per metro seg n sea el caso ELASTIX SIP FIREWALL INTEGRACION CON ELASTIX PBX
12. una regla para evitar el bloqueo de todas las direcciones IP de la red LAN Create Whitelist Rule Name RED_LAN Ip Type IP_NETWORK Address 192 168 10 0 24 Enable Y Comments regla para evitar bloqueo de la red lanl SAVE CANCEL Whitelist IP Addresses O Whitelist IP Rules Precedes over Blacklist IP Rules Search Name PT a a RED_LAN IP_NETWORK 192 168 10 0 24 regla para evitar bl 26 11 Configuraci n de bloqueo por ubicaci n geogr fica El bloqueo por ubicaci n geogr fica se encuentra en la secci n Security Settings Geo IP Filters como se muestra a continuaci n Geo IP Filters O Allow All Countries Block All Countries Update Geo IP Search Country Name towed Options RUSSIAN FEDERATION Y eg SYRIAN ARAB REPUBLIC Y SUDAN Y Y 9 KOREA REPUBLIC OF Y UKRAINE Y eg ALGERIA Y Por defecto ELASTIX SIP FIREWALL permite todos los pa ses pre configuraros en esta secci n Para bloquear las direcciones IP de todo un pa s basta con desactivar la opci n Allowed Por ejemplo si deseamos bloquear todas las direcciones IP de RUSIA como se muestra a continuaci n Geo IP Filters O Allow All Countries Block All Countries Update Geo IP Search Country Name Allowed Options RUSSIAN FEDERATION SYRIAN REPUBLIC Y SUDAN Y NIGERIA
13. 2 Siete dentification Attempt 192 168 10 141 5060 192 168 10 251 5060 UDP Blacklist Es importante poder identificar el nombre de la categoria con el cual el ataque ha sido identificado Adicionalmente no es posible hacer conectividad desde el host atacante hacia la direcci n IP de Elastix PBX como lo vemos a continuaci n d dictionary txt OR ASipO NING root found nothing ME ERR WAR ping 192 10 251 1 TT TT Qt Tr i tr tr 8 22 10 Configuraci n de reglas de Blacklist y Whitelist El objetivo de estas funcionalidades es poder realizar bloqueo manual de direcciones IP de atacantes Blacklist o seg n sea el caso agregar direcciones IP que est n siendo detectadas como atacantes en el SIP FIREWALL pero en realidad no lo son llamados tambi n falsos positivos 10 1 Agregando direcciones IP al Blacklist Ingresar a Security Settings Whitelist IP Addresses y hacer clic en el bot n Add New Blacklist IP Addresses O Search tomes Pyne Options No data available Add New Delete Selected Luego ingresar los parametros de la siguiente forma Create Blacklist Rule x Name 192 168 10 141 IP Type IP HOST v Address 192 168 10 141 Enable Y Comments Direcci n IP de atacantel SAVE CANCEL 23 Name Nombre descriptivo para la regla IP Type Es posible realizar bloqueos
14. 92 168 10 251 192 231 168 10 251 192 168 10 251 packets transmi nu ping 13 tted 56 84 0 packet O DN 60 e 10 2 Scop co NN A pa O gt 0 w 00 overruns bytes 239951 bytes of Loss 255 AE e T Metric verruns 0 frame 0 carrier 0 234 3 KiB time Mask 2 nk 1 data 0 11999ms ns d 24 Tener en cuenta que es una regla de bloqueo permanente hasta que se desactive o elimine la regla seg n se requiera de la siguiente forma Blacklist IP Addresses O Search COC AX 192 168 10 141 IP_HOST 192 168 10 141 Direccion IP del ata 2d 7 Luego es necesario hacer clic en el bot n APPLY CHANGES elastix M S 7 FIREWALL ore CHANGES CHANGES 30 November 14 06 56 55 pm SIPFW 1 0 00 Mon Sep 29 13 51 33 IST 2014 Q Welcome admin Finalmente en el bot n como se muestra a continuaci n Blacklist IP Addresses 9 Search IT All the configuration files are successfully updated OK Add New Delete Selected Finalmente probar si la conectividad se restableci en el host bloqueado 25 10 2 Agregando direcciones IP al whitelist Las listas blancas tienen funcionamiento opuesto a las listas negras y son prioritarias con respecto a las listas din micas inclusive Ejemplo crear
15. ail Server Settings Search nun Sig XSS 12 16 13 08 14 70060011 7006 site scripting injection 192 168 10 136 5060 192 168 10 251 5060 UDP Blacklist attempt 19 9 Configuraci n de listas negra din mica para amenazas VoIP La funcionalidad Dinamic Blacklist IP Address permite el bloqueo pro activo de amenazas a nuestra plataforma Elastix PBX Para que est funcionalidad funcione adecuadamente es necesario configurar SIP FIREWALL en el mismo segmento de red donde reside Elastix PBX para que pueda realizar el bloqueo adecuadamente 9 1 Cambiando la direcci n IP Ingresar a Device General Settings y establecer la direcci n IP seg n el segmento de red que corresponda hacer clic en el bot n Save y luego en el bot n Apply Changes Host Name sip_secure IP Configuration Static Y IP Addr Mask 192 168 10 252 255 255 255 0 Gateway 192 168 10 1 Dns Server 8 8 8 8 Enable SS Y SSH Port 22 Allow ICMP Y Mgmt Vian Addr Mask 192 168 100 1 255 255 255 0 Save Cancel Una vez establecida la direcci n IP ingresar nuevamente desde la nueva direcci n 20 9 2 Probando el bloqueo pro activo mediante listas negras din micas 9 2 1 Verificando conectividad desde el atacante Realizar pruebas de ping desde el atacante hacia la direcci n IP de Elastix PBX ping 192 168 10 251 PING 192 168 10 251 192 168 10 251 56 84 bytes of data 64 b
16. all Settings Whitelist IP Addresses Blacklist IP Addresses Dynamic Blacklist IP Addresses Geo IP Filters Security Alerts Tools u CE Geo IP Filters Permite bloquear el tr fico de pa ses en espec fico hacia la red SIP protegida Geo IP Filters O Device Security Settings gt Allow All Countries Block All Countries Update Geo IP SIP Attacks Detection Search SIP Protocol Compliance RUSSIAN FEDERATION Y di o SYRIAN ARAB REPUBLIC Firewall Settings SUDAN Y Whitelist IP Addresses NIGERIA 4 Blacklist IP Addresses KOREA REPUBLIC OF y Dynamic Blacklist IP CHINA Addresses UKRAINE 2 Security Alerts Tools Country Name Allowed Options O IA m m 3 3 Security Alerts Security Alerts Muestra las alertas detectadas La tabla muestra Hora ID Categor a Mensaje IP de origen y el n mero de puerto IP destino puerto y tipo de protocolo Dashboard Security Alerts O Device Log Viewer Settings i Security Alerts gt 300 Update Refresh Interval Refresh Download Logs E mail Server Settings Security Settings Security Alerts Search 10 3 4 Tools Administration Permite realizar diversas funciones como restauraci n de f brica reinicio del sistema reinicio apagado backup y restauraci n del dispositivo Dashboard Administration O Device Security Alerts Tools Diagnostics
17. ar metro IP Type IP NETWORK Segmento de RED IP RANGE Rango de direcciones IP MAC ADDR Direcci n MAC 29 13 Configuraci n de servidor SYSLOG remoto para registro de eventos Elastix SIP FIREWALL permite el env o de los eventos a un servidor de SYSLOG externo esto es muy importante ya que la correcta monitorizaci n de los eventos es un punto vital en la seguridad 13 1 Instalaci n y configuraci n de SYSLOG Server Sistema Operativo Centos 6 X Instalaci n b sica A Configuraci n de Sistema Operativo vim etc selinux config SELINU X disabled chkconfig iptables off reboot B Instalacion de servicios yum y install vim wget httpd mysql mysql server php php mysql rSYSLOG skip broken chkconfig httpd on chkconfig mysqld on chkconfig rSY SLOG on service httpd start Zservice mysqld start service rSY SLOG start C Configuraci n de base de datos mysqladmin u root password 123456 mysql u root p lt usr share doc rS Y SLOG mysql 5 8 10 createDB sql mysql u root p SYSLOG gt GRANT ALL ON SYSLOG TO rSYSLOGuser localhost IDENTIFIED BY tucontrasena gt FLUSH PRIVILEGES gt exit mysql u rSYSLOGuser p SYSLOG gt show tables gt exit 30 D Configuraci n de SYSLOG Server Des comentar los siguiente par metros vim etc rS YSLOG conf ModLoad imudp UDPServerRun 514 Provides TCP SYSLOG reception ModLoad
18. arch filter mple facility localO severity warning Search I d like to feel sad Reset search Highlight gt gt Recent syslog messages gt Select Exportformat Y 5 Page 1 Set auto reload Auto reload d Y Total records found 12 Facility Severity CN O a Y 192 168 10 252 snort 901 02 70020001 1 Sig SIP Devices Identification Attempt Classification Si D user Today 12 07 23 Today 12 01 01 it Details for Syslogmessage with ID ur o a oom Date 12 07 23 ay 12 01 01 Denon monitor anacron 1556 Facility Juser Today 12 01 01 E cron LETTER monitor D anacron 1556 Severity ALERT p 92 168 10 252 Today 12 01 01 3 CRON NOTICE monitor run parts etc cron hourty 15 2 158 201 Today 12 01 01 a CRON monitor D anacron 1556 snort 3 Today 12 01 01 3 CRON amp NOTICE monitor E anacron 1556 Sysiog_ Today 12 01 01 d CRON NOTICE monitor run parts etc cron hourly 15 U 002 20001 1 Sig SIP De s Ider tifi ation Attempt Class Sif Devices Scanni Pri 214 JOP Today 12 01 01 monitor A essage i D cron 192 168 10 1489 5060 gt 192 168 10 251 9 5060 Today 11 46 36 user monitor vumr1481 vpsv Today 11 46 00 Gy svs oc monitor GN reystogd Syslog D gin software rsysiogd swVersion 5 8 10 x pid 1471 x info http www Today 11 46 00 A KERN d monitor D aes Syslog iD imklog 5 8 10 log sour
19. ce proc kmsg started Made by Adiscon GmbH 2008 2012 Adiscon LogAnalyzer Version 3 6 5 Partners Rsyslo WinSysl Page rendered in 0 0931 seconds 8 queries 11 GZIP enabled yes Sonpt Timeout seconds 9 ysiog Como vemos se gener un evento de tipo ALERT desde la direcci n IP de Elastix SIP FIREWALL 37
20. cks Block 1800 Sip DDos Attacks Block 1800 E Sip Cross site scripting Attacks Block 1800 Y Buffer overflow Attacks Block 1800 v SIP Protocols Compilance El motor de inspecci n de paquetes SIP permite detectar anomal as en las cabeceras SIP para identificar fallas en el protocolo y tomar una acci n seg n lo configurado SIP Protocol Com pliance O Please make sure to refer to the user manual before making changes in this configuration page SIP Protocol Compliance Settings i SIP MEDIA Ports Configuration i SIP Methods Headers 177 Security Alerts Save Cancel Max Sessions 40000 SIP Transport any Y Max Dialogs per session 4096 A 5060 5061 Media Transport udp X Fi wall Rol Max URI length 256 irewall Rules Media Ports 1024 65535 Max Call ID length 80 Firewall Settings Max Request name length 20 Whitelist IP Addresses Max From length 256 Blacklist IP Addresses Max To length 256 Dynamic Blacklist IP Addresses Max Via length 1024 Geo IP Filters Max Contact length 1024 z Max Content length 2048 FIREWALL Rules Permite al administrador configurar el tr fico que permite o deniega desde la red WAN a la cual protege en la PBX IP Firewall Rules security Settings gt CE Name Src Type Src Addr Dst Type Dst Addr Protocol CE Action Enabled E Options ANY Dhcp Access ANY udp 67 68 Allow x Dns Access
21. ction has been successfully verified The next step will be to create the necessary database tables used by the LogAnalyzer User System This might take a while WARNING if you have an existing LogAnalyzer installation in this database with the same tableprefix all your data will be OVERWRITTEN Make sure you are using a fresh database or you want to overwrite your old LogAnalyzer database Click on Next to start the creation of the tables A ms Made by Adiscon GmbH 2008 2012 Adiscon LogAnalyzer Version 3 6 5 Partners Rsyslog WinSyslog 33 Una vez creadas las tablas correctamente hacer clic en el bot n Next para continuar LogAnal Zere LOBA amp A yz ING Step 5 Check SQL Results Tables have been created Check the List below for possible Error s Successfully executed statements 23 aa Failed statements 0 You can now proceed to the next step adding the first LogAnalyzer Admin User Made by Adiscon GmbH 2008 2012 Adiscon LogAnalyzer Version 3 6 5 Partners Rsyslog WinSyslog Ahora indicar el usuario con el cual se acceder a la interface web de LogAnalizer luego hacer clic para continuar el proceso ep 6 Creating the Main Useraccount are now about to create the initial LogAnalyzer User Account Will be the first administrative user which will be needed to login into LogAnalyzer and access the Admin Cent
22. er Create User Account e eeccce E o d ee Made by Adiscon GmbH 2008 2012 Adiscon LogAnalyzer Version 3 6 5 Partners 34 Ahora crear el origen de mensajes para el servidor configurar los valores de la siguiente forma y hacer clic en Next Successfully created User admin source for syslog messages First Syslog Source Syslog Sou Adiscon LogAnalyzer Version 3 6 5 Una vez creado el origen de mensajes hacer clic en el bot n Next para finalizar la instalaci n Step 8 Done pree Congratulations You have successfully installed LogAnalyzer Click here to go to your installation Made by Adiscon GmbH 2008 2012 Adiscon LogAnalyzer Version 3 6 5 Partners Rsyslog WinSyslog Page rendered In 0 0125 seconds DB queries 85 GZIP 35 Luego ingresar con las credenciales creadas previamente como se muestra a continuaci n Adiscon LogAnalyzer x Q 192 168 10 141 l0ganalyzer login ph LogAnalyzerg ANALYSIS amp REPOR NS a Made by Adiscon GmbH 2008 2012 Adiscon LogAnalyzer Version 3 6 5 elere 7o Use this form to login into LogAnalyzer Login Partners Select Language Select a Style y Syslog Source 8 gt gt I Select View Username Password Rsyslog WinSyslog Page re
23. imtcp InputTCPServerRun 514 Agregar los siguientes m dulos en el mismo archivo ModLoad ommysql ommysql 127 0 0 1 S YSLOG rSYSLOGuser tucontrasena E Verificar la integraci n de SYSLOG server y Mysql Zservice rSY SLOG restart mysql u rsYSLOGuser p SYSLOG mysql gt select count from SystemEvents a count T zs 2 T T F Instalaci n de LogAnalizer Hed usr src wget http download adiscon com loganalyzer loganalyzer 3 6 5 tar gz tar zxvf loganalyzer 3 6 5 tar gz cp r loganalyzer 3 6 5 src var www html loganalyzer cp r loganalyzer 3 6 5 contrib var www html loganalyzer Hed var www html loganalyzer chmod x configure sh secure sh configure sh 31 G Configuraci n de LogAnalizer v a web Ingresar desde una navegador web a la direcci n http IPCENTOS loganalyzer y hacer clic en here como se muestra a continuaci n Adiscon LogAnalyzer x 9 192 168 10 141 l0ganalyzer Critical Error occured Error main configuration file is missing Click here to Install Adiscon LogAnalyzer Luego hacer clic en el bot n Next para iniciar el proceso LogAnalyzerg YSIS amp REPOR Installing LogAnalyzer Version 3 6 5 Step 1 Step 1 Prerequisites Before you start installing LogAnalyzer the Installer setup has to check a few things first Yo
24. ndered In 0 0064 seconds DB queries 7 GZIP enabled yes Script Timeout 30 seconds 13 2 Configuraci n un servidor de SYSLOG externo en Elastix SIP FIREWALL Ingresar a Device Logging y establecer la direcci n IP del servidor externo de la siguiente forma Logging O Save Cancel Syslog server Logging i Remote Logging Y 192 168 10 141 Finalmente aplicar los cambios con el bot n APPLY CHANGES como se muestra a continuaci n elastix Red A FIRE WALL 01 December 14 11 57 59 am APPLY IGNORE CHANGES CHANGES Welcome admin SIPFW 1 0 00 Mon Sep 29 13 51 33 IST 2014 Q 36 13 3 Probar la integraci n de Elastix SIP FIREWALL y Servidor SYSLOG externo Para probar que los eventos del SIP FIREWALL es enviado al servidor SYSLOG realizar un ataque contra la direcci n IP de Elastix PBX de la siguiente forma svcrack ul04 192 168 10 251 d dictionary txt RROR ASipOfRedWine no server response NARNING root found nothing Luego en el Servidor SYSLOG se generar un evento de la siguiente forma Source My Syslog Sou x Elastix SIP Firewall H 192 168 10 141 English d Lo gAnalyzers CTI m ETT My Sysi0g Source J navia ET Search Show Events Statistics Reports Help Search in Knowledge Base Y Admin Center P Logoff Logged in as admin gt hr minor Se
25. nt Access Management Access DefaultAllAccess ANY Default rule that al X MgmiVianAccess NETWORK 192 168 100 0 24 Access from Mart Via X Add New Signature Update Permite programar la actualizacion de firmas del sistema Signature Update O Device Time Settings Enable Update Y Management Access Time Schedule 2 00 AM Y Daily v Sunday 1 Signature Update Logging Apply Cancel Update Signatures now Security Settings Security Alerts Tools Logging permite la configuraci n de un servidor de LOG remoto Dashboard Logging O Device gt Logging 7 Time Settings Remote Logging General Settings Management Access Syslog server Signature Update Logging Save Cancel Security Settings Security Alerts Tools 3 2 Security Settings SIP Attacks Detection Permite la inspecci n y an lisis de paquetes SIP es posible habilitar y la Inspecci n para una particular categor a o regla SIP Attacks Detection ET Action Blocking Duration seconds Enabled Options Reconnaissance Attacks Log none Sip Devices Scanning Block 120 Extensions Discovery Block 120 F Multiple Authentication Failures Bruteforce password cracking Attempt Block 1800 Y Ghost calls Attempt Block 1800 SIP Protocol Compliance Log none F Sip Anomaly Attacks Block 1800 Sip Dos Atta
26. rial cubre los aspectos m s importantes de la protecci n de amenazas usando Elastix SIP FIREWALL Juan Oliva Mjroliva ndice de Contenidos IU tes 4 del 4 Tritt odUuCC IOTl cud sash DN a 5 1 Esquema de funcionamiento ais 1 2 Configuraci n e integraci n con Elastix 2 5 2 2l COU UEO Uae bti C 3 Revisi n de funcionalidades 4 3 1 DD Lr 4 312 td 5 3 2 SC CLIT OS ir lr DEA 7 3 3 SECULAR e 10 3 4 A 11 4 Configuraci n y detecci n de prevenci n de ataques de Fingerprinting 14 4 1 Desarrollando ataque de fingerprint esses 14 4 2 Deteccion del ALA UG aaa 14 5 Configuraci n y detecci n de ataques de enumeraci n de usuarios 15 5 1 Desarrollando ataques de 1 15 9 2 Deteccion del 1 15 6 Configuraci n y bloqueo de Ataques DOS cccccccnnnnnncnnnnnnnonocccnnccnnonnnnnonnnnnnss 16 6 1 Desarrollando ataques de DOS 16 6 2 Deteccion del dida 16 7 Bloqueo de Intentos de obtenci n de contrase as o password cracking 17 7 1 Desarrollando ataques de password cracking 17 1 2 Detecci n del Ataque
27. ro Sereno ostie OstPort Protocol e Acton e 01 02 Sip Devices Sig SIP Devices 02 10 17 70020001 7002 Scanning Identification Attempt 192 168 10 136 5060 192 168 10 50 5060 UDP Blacklist 14 5 Configuraci n y detecci n de ataques de enumeraci n de usuarios 5 1 Desarrollando ataques de enumeraci n svwar m INVITE force 192 168 10 50 Veremos que la respuesta de la herramienta es la siguiente svwar m INVITE force 192 168 10 50 WARNING TakeASip using an INVITE scan an endpoint i e SIP phone may cause it to ring and wa ke up people in the middle of the night ERROR TakeASip socket error timed out WARNING root found nothing 8 5 2 Detecci n del Ataque El dispositivo Elastix SIP FIREWALL detecta el ataque ingresar a Security Alerts Security Alerts Security Alerts O 300 Update Refresh Interval Refresh Download Logs E mail Server Settings Search 01 02 07601 70020001 7002 Sip Devices Sig SIP Devices 192 168 10 136 5060 192 168 10 50 5060 UDP Blacklist Scanning Identification Attempt 15 6 Configuraci n y bloqueo de Ataques DoS 6 1 Desarrollando ataques de DOS VoIP inviteflood ethO 500 192 168 10 136 192 168 10 50 1000000 a hacker v 6 2 Detecci n del Ataque El dispositivo Elastix SIP FIREWALL detecta el ataque ingresar a Security Alerts Security Alerts
28. tos de pruebas de penetraci n an lisis y explotaci n de vulnerabilidades entre otras tareas de la seguridad inform tica Tambi n desarrolla proyectos de implementaci n y aseguramiento de plataformas de telefon a IP basadas en Elastix proyectos de CallCenter soluciones Softswitch y hosted PBX 3 Introducci n Es innegable que el mundo de la VoIP desde sus inicios siempre ha estado rodeado de los ataques inform ticos es as que a lo largo del tiempo las t cnicas para comprometer las plataformas han cambiado y suelen ser en la actualidad muy sofisticadas As mismo tambi n la aparici n de herramientas que ayudan a la protecci n de las plataformas VoIP ha ayudado a minimizar muchos los riesgos de seguridad que involucra el uso este tipo de tecnol gica la cual brinda muchos beneficios sin embargo en la b squeda de la simplicidad eficiencia y la herramienta perfecta los errores de configuraci n o la carencia de conocimientos para poder validar la seguridad adecuadamente suelen pasar factura a la hora de protegerla Es as que el presente libro no solo cubre aspectos que involucran la correcta y adecuada configuraci n de Elastix SIP FIREWALL si no tambi n las pruebas que todo profesional del rea de la VoIP tendr a que realizar para poder validar y comprobar la protecci n y aseguramiento de su plataforma VoIP es la adecuada Teniendo en cuenta que las amenazas en el rea de VoIP cambian constantemente el mate
29. ttings Current Firmware Version SIPFW 1 0 00 Mon Sep 29 13 51 33 IST 2014 Security Alerts Choose the filepath of the new firmware Tools Filename Choose File No file chosen Need Reboot Administration Diagnostics Upgrade Ping Traceroute Troubleshooting gt Firmware Upgrade Logs Archive Logs Archive Permite almacenar los registros en un dispositivo USB Logs Archive O Logs Archive Summary No USB media found for logs archive Security Settings Security Alerts Administration Diagnostics Ping Traceroute Troubleshooting Firmware Upgrade Logs Archive 4 Configuraci n y detecci n de prevenci n de ataques de Fingerprinting Para probar si Elastix SIP FIREWALL detecta ataques de Fingerprinting se desarrollaran ataques con diferentes herramientas y ver si finalmente el dispositivo bloquea los mismos 4 1 Desarrollando ataque de fingerprint 192 168 10 50 Veremos que la respuesta de la herramienta es la siguiente svmap 192 168 10 50 WARNING root found nothing 1 T dii 4 2 Detecci n del Ataque El dispositivo Elastix SIP FIREWALL detecta el ataque ingresar a Security Alerts Security Alerts Security Alerts O 300 Update Refresh Interval Refresh Download Logs E mail Server Settings Search Tine De category Category Name gt Messages Si
30. u may have to correct some file permissions first Click on Next to start the Test Install Progress Made by Adiscon GmbH 2008 2012 Adiscon LogAnalyzer Version 3 6 5 Partners Rsyslog WinSyslog Hacer clic en el bot n Next para continuar el proceso LogAnalyzera ANALYSIS amp REPORTING Installing LogAnalyzer Version 3 6 5 Step 2 Step 2 Verify File Permissions The following file permissions have been checked Verify the results below You may use the configure sh script from the contrib folder to set the permissions for you file config php i Writeable RR Made by Adiscon GmbH 2008 2012 Adiscon LogAnalyzer Version 3 6 5 Partners Rsyslog WinSyslog 32 Configurar el uso de base de datos y luego hacer clic en el bot n Next de la siguiente forma Frontend Options User Database Options Yes N A MYSQL database Server is required for this feature Other database engines are not supported for the User Database System However for logsources there is support for other database systems A direnn l ae lnrrinn 2 E Hacer clic en el bot n Next la creaci n de las tablas de la siguiente forma LogAnalyzer ANALYSIS REPORTING Step 4 Create Tables If you reached this step the database conne
31. ytes from 192 168 10 251 icmp req 1 ttl 64 time 1 60 ms 64 bytes from 192 168 10 251 icmp req 2 ttl 64 time 0 926 ms 64 bytes from 192 168 10 251 icmp req 3 ttl 64 time 0 759 ms 64 bytes from 192 168 10 251 icmp req 4 ttl 64 time 0 790 ms 64 bytes from 192 168 10 251 icmp req 5 ttl 64 time 0 829 ms 4 bytes from 192 168 10 251 icmp r ttl 64 time 0 935 ms 192 168 10 251 ping statistics 6 packets transmitted 6 received 0 p q loss time 5008ms rtt min avg max mdev I8 0 292 ms baa tr Como vemos existe conectividad completa 9 2 2 Realizando un ataque de SIP BRUTE FORCE ATTACK svcrack ul04 192 168 10 251 d dictionary txt ERROR ASipOfRedWine no server response WARNING root found nothing ff Tf 11 8 Despu s de unos segundos de realizar el ataque la herramienta genera un error de conectividad 9 2 3 Verificando el bloqueo en SIP FIREWALL Ingresar a Security Settings Dynamic Blacklist IP Address Dynamic Blacklist IP Addresses O Search A o 192 168 10 141 X Veremos que la direcci n IP del host atacante en la lista En la secci n de Security Alerts veremos tambi n el evento generado Security Alerts O 300 Update Refresh Interval Refresh Download Logs E mail Server Settings Search Time iD o Category Category Name Message o StcIPo SrePorte DstiPe DstPorte Protocole Action 11 30 Sip Devi Sig SIP Devi issia 70020001 700
Download Pdf Manuals
Related Search