Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SeguridadenServidores0 8 7
SeguridadenServidores0 8 7
Rodrigo A. Martin
Este artculo se distribuye bajo la licencia Attribution 3.0 de Creative Commons, ms informacin:
http://creativecommons.org/licenses/by/3.0/
El presente documento tiene solo fines informativos y su contenido est sujeto a cambios sin notificacin
alguna.
Tabla de contenido
Introduccin .................................................................................................................................. 3
Firewall-Iptables ............................................................................................................................ 3
Asegurando SSH en su sistema ..................................................................................................... 5
Fail2ban ......................................................................................................................................... 7
Port-knocking o Golpeo de Puertos: Llamar antes de entrar ................................................... 11
Buenas Prcticas en nuestro Servidor ......................................................................................... 16
Siete pasos para mejorar la seguridad SIP en Asterisk ............................................................... 16
Backdoor detectado en FreePBX (hasta la versin 2.0.1 de Elastix - Agosto 2010) ................... 18
Introduccin
Antes de comenzar el desarrollo del presente, debo aclarar que no se trata de un
manual que cubre todos los aspectos de seguridad a tener en cuenta al poner un
servidor elastix en produccin, sino, ciertas recomendaciones y configuraciones
bsicas del S.O junto con otros aplicativos, extradas de libros, manuales y
experiencias personales que nos ayudaran a mantenerlo seguro y ms si este, no
est dentro de una VPN o atrs de un Firewall fsico (que sera lo ideal).
Mi recomendacin inicial es cambiar todos los passwords que trae elastix por
defecto, esto lo podemos encontrar en el libro Elastix a Ritmo de Merengue
captulo 12, (desde la versin 2.0 en Elastix se solicita que se carguen los
passwords al final de la instalacin) otra observacin importante es que realicen
todo este tipo de pruebas y configuraciones sobre servidores en laboratorio (un
excelente aliado para esto es la Virtualizacin) y as comprender realmente lo que
se esta haciendo permitindonos equivocarnos o inclusive mejorar las mismas,
dicho esto, comencemos:
Firewall-Iptables
Iptables es el firewall que trae instalado nuestro CentOS , este es muy popular y
uno de los ms utilizados en distribuciones Linux por su robustez y estabilidad. Lo
ideal es que el firewall sea un componente independiente separado de los dems
servidores, pero si no tenemos dicho dispositivo, podemos aplicar estas reglas
directamente sobre nuestro servidor y as establecer polticas con los puertos de
red del mismo.
Lo que haremos por medio de esta herramienta ser habilitar o abrir solo los
puertos que estamos utilizando y cerrar todos los dems brindando as mayor
proteccin al servidor. Es importante el orden de ingreso de las reglas, ya que
iptables va macheando por estas desde la primera que se ingresa, hasta llegar a
la ltima, si no encuentra ninguna coincidencia, la ltima regla que escribiremos
ser cerrar todos los dems puertos, as que si no coincide con los especificados al
principio, no podr gestionar alguna conexin por dicho puerto.
En el ejemplo tomamos que la tarjeta de red por defecto es eth0
Permitir acceso total desde la LAN (suponiendo que estamos en la red 192.168.0.0,
deber modificar este parametro dependiendo de su red)
# iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
Aceptando el trfico SIP:
# iptables -A INPUT -p udp -m udp -i eth0 --dport 5060 -j ACCEPT
Aceptando el trfico IAX2:
# iptables -A INPUT -p udp -m udp -i eth0 --dport 4569 -j ACCEPT
Si usted necesita acceder como root, acceda como un usuario normal y use el
comando su -.
3. Deshabilitar el protocolo 1
SSH posee dos protocolos que se pueden usar, protocolo 1 y protocolo 2. El viejo
protocolo 1 es menos seguro y debe estar deshabilitado, a menos que usted lo
requiera para algo especfico. Busque la siguiente lnea en el fichero
/etc/ssh/sshd_config, descomntela y modifquela como sigue:
# Protocol 2,1
Protocol 2
Reinicie el servicio sshd.
4. Usar un Puerto No-Estndar
Por defecto, ssh escucha las conexiones entrantes en el puerto 22. Para que un
hacker determine si ssh se est ejecutando en su mquina, lo ms probable es que
escanee el puerto 22. Un mtodo efectivo es ejecutar ssh en un puerto noestndar. Cualquier puerto sin usar funcionar, pero es preferible usar uno por
encima del 1024.
Muchas personas escogen el 2222 como un puerto alternativo (porque es fcil de
recordar), de la misma forma que el 8080 es conocido, a menudo, como un puerto
HTTP alternativo. Por esta razn, probablemente esta no es la mejor opcin. De la
misma forma que cualquier hacker escanear el puerto 22, seguramente tambin
escanear el puerto 2222 solo como buena medida. Es mejor escoger cualquier
puerto alto al azar que no sea usado por ningn servicio conocido.
Para hacer los cambios, aada una lnea como esta a su fichero
/etc/ssh/sshd_config:
Fail2ban
Fail2Ban es un analizador de logs que busca intentos fallidos de registro y bloquea
las IPs de donde provienen estos intentos. Se distribuye bajo la licencia GNU y
tpicamente funciona en todos los sistemas que tengan interfaz con un sistema de
control de paquetes o un firewall local.
Fail2Ban tiene una gran configuracin pudiendo, adems, crear reglas para
programas propios o de terceros.
Instalacin y Configuracin
Debemos de Instalar python en nuestro servidor, para ello ejecutamos
[root@elastix]# yum install python*
Descargamos Fail2ban en la carpeta /usr/src desde su pgina en sourceforge
[root@elastix]# cd /usr/src
[root@elastix src]# wget
http://sourceforge.net/projects/fail2ban/files/fail2banstable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2/download
Descomprimimos e instalamos Fail2Ban
[root@elastix src]# tar xvf fail2ban-0.8.4.tar.bz2
[root@elastix src]# cd fail2ban-0.8.4
[root@elastix fail2ban-0.8.4]# python setup.py install
= true
= sshd
= iptables[name=SSH, port=22, protocol=tcp]
sendmail-whois[name=SSH, dest=miMail@mail.com,
sender=fail2ban@mail.com]
logpath = /var/log/secure #indicamos que log controlar
maxretry = 3 #le damos solo tres intentos
bantime = 36000 #tiempo de baneo expresado en segundos
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is
ignored.
# Values: TEXT
#
ignoreregex =
Con esto le decimos a fail2ban que tiene que controlar eventuales accesos
indeseados en el archivo de registro de Asterisk.
Ahora tenemos que modificar el archivo de configuracin de fail2ban
# cd /etc/fail2ban
# vim jail.conf
y aadimos al final del archivo de texto estas lneas
[asterisk-iptables]
enabled
filter
action
= true
= asterisk
= iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root@localhost,
sender=fail2ban@pbx.dyndns.org]
logpath = /var/log/asterisk/full
maxretry = 4
bantime = 18000
Para que funcione tenemos que chequear la configuracin del los archivos de
registro de Asterisk:
# vim /etc/asterisk/logger.conf
y averiguar que la lnea messages tenga el parmetro que aparece en negrita
messages => notice,debug
Terminamos con la configuracin del script de arranque:
# cd /usr/src/fail2ban-0.8.4/files/
Indetics Ingeniera en Soluciones IT
Mayor Arruabarrena 1715 PA (C.P: 5000) - Crdoba Argentina
+54 9 351 5903033 | info@indetics.com | www.indetics.com
Para probar si nuestro fail2ban tiene bien configurados las expresiones regulares
para los correspondientes macheos podemos ejecutar el siguiente comando, donde
indicamos el archivo de log a examinar y el archivo de filtro de fail2ban, para
asterisk por ejemplo:
# fail2ban-regex /var/log/asterisk/full
/etc/fail2ban/filter.d/asterisk.conf
[options]
logfile = /var/log/knockd.log
[openSSH]
sequence
seq_timeout
tcpflags
command
ACCEPT
=
=
=
=
7000,8000,9000
5
syn
iptables -A INPUT -s %IP% -p tcp --dport 22 -j
[closeSSH]
sequence
seq_timeout
tcpflags
command
ACCEPT
=
=
=
=
9000,8000,7000
5
syn
iptables -D INPUT -s %IP% -p tcp --dport 22 -j
[openHttps]
sequence
seq_timeout
tcpflags
command
ACCEPT
=
=
=
=
7001,8001,9001
5
syn
iptables -I INPUT -s %IP% -p TCP --dport 443 -j
[closeHtttps]
sequence
seq_timeout
tcpflags
command
ACCEPT
=
=
=
=
9001,8001,7001
5
syn
iptables -D INPUT -s %IP% -p TCP --dport 443 -j
else
echo_failure
fi
else
echo_failure
fi
echo
return $RETVAL
}
# See how we were called.
case "$1" in
start)
start
;;
stop)
stop
;;
status)
getpid
if [ -n "$pid" ]; then
echo "knockd (pid $pid) is running..."
#$KNOCKD status
else
RETVAL=1
echo "knockd is stopped"
fi
;;
restart)
stop
sleep 2
start
;;
*)
echo $"Usage: $0 {start|stop|status|restart}"
exit 1
;;
esac
exit $RETVAL
Para probar el port-knocking debemos tener cerrados los puertos involucrados por
defecto desde Iptables.
Desde Linux en un equipo remoto hacemos el golpeo de puertos para abrir por
ejemplo el puerto https de la siguiente manera:
# telnet ip.del.server.elastix 7001 ; telnet ip.del.server.elastix
8001 ; telnet ip.del.server.elastix 9001
Luego presionamos Ctrl+C 4 veces y nuestro servidor abrir el puerto indicado para
nuestra ip; podemos cerrarlo ingresando la otra combinacin.
Si necesitamos golpear desde Windows podemos llevarlo a cabo con la aplicacin
knock-win32-port (para 32 bits). Ampliar en: http://www.zeroflux.org/projects/knock
Utilizar un firewall.
Fuentes:
Comunicaciones Unificadas con Elastix, vol. 1 y 2 Edgar Landivar
Elastix a Ritmo de Merengue Alfio Muoz
wiki.centos.org/es/HowTos/Network/SecuringSSH
blogs.digium.com/2009/03/28/sip-security/
www.fail2ban.org
www.sinologic.net
blogs.elastix.org/es/2010/01/14/instalacion-de-fail2ban/
www.voztovoice.org/?q=node/135
http://www.zeroflux.org/projects/knock
http://elmampano.wordpress.com/2011/05/24/port-knocking/
Indetics Ingeniera en Soluciones IT
Mayor Arruabarrena 1715 PA (C.P: 5000) - Crdoba Argentina
+54 9 351 5903033 | info@indetics.com | www.indetics.com