Extendiendo la seguridad en Elastix con Snort IDS/IPS
Upcoming SlideShare
Loading in...5
×
 

Extendiendo la seguridad en Elastix con Snort IDS/IPS

on

  • 1,407 views

Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. ...

Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.

Conferencista: Juan Oliva

Statistics

Views

Total Views
1,407
Views on SlideShare
1,407
Embed Views
0

Actions

Likes
3
Downloads
59
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Extendiendo la seguridad en Elastix con Snort IDS/IPS Extendiendo la seguridad en Elastix con Snort IDS/IPS Presentation Transcript

  • Extendiendo la Seguridad de Elastix con Snort
  • JUAN OLIVA @jroliva A que me dedico ? Proyectos de Voz sobre IP con ELASTIX Servicios de Ethical Hacking Certificaciones ECE, dCAA, LPIC-1, Novell CLA, C|EH , CPTE Instructor / Training ELASTIX 101, ECE, ESM, LPIC-1 Cursos de Ethical Hacking Ethical hacking para VoIP , Callcenter Y cuando tengo tiempo mantengo un blog : http://jroliva.wordpress.com
  • ¿Qué es Snort? Es un IDS / IPS muy flexible y a la vez complejo, que se ha convertido en el estandar en en campo de la seguridad : •Alto nivel de personalización •Análisis de paquetes •Diferentes modos de ejecución •Base de reglas de alto alcance •Diferente tipos de almacenamiento
  • Modos de funcionamiento - Pasivo / Snifer Sniffer de paquetes entrantes y salientes en consola - Logger Captura de paquetes E/S guardados en un log
  • Modos de funcionamiento - IDS / NIDS Sniffer de paquetes entrantes y salientes con generación de alertas , para un host o para todo un segmento de red - IPS llamado “inline” , es el modo de preventor de intrusos y funciona en colaboración con IPTABLES
  • Posicionamiento en la red
  • NIDS
  • IDS/IPS PERIMETRAL - outside sss
  • IDS/IPS PERIMETRAL – inside DMZ sss
  • En modo mirrored
  • Funcionamiento interno
  • Entendiendo el funcionamiento interno Tres componentes basicos •Reglas •Preprocesors •Plugins de salida
  • Funcionamiento interno (1) - Reglas por defecto – Reglas personalizadas Base de datos de ataques que sirven para Detección de Amenazas y Generación de Alarmas
  • Funcionamiento interno (2) - Preprocesors Realiza análisis de paquetes entrantes y salientes justo antes de que el motor de detección se ejecute (reglas) y justo después de que el paquete ha sido recibido y decodificado. * SfPort scan * Frag3 * HttpInspect
  • Funcionamiento interno (3) - Plugins de Salida Formato en que presentará la información procesada * Motor de base de datos (Mysql, Postgresql) * Syslog * tcpdump
  • Funcionamiento interno (1)
  • Modos de ejecución
  • Modos de ejecución - IDS /usr/local/bin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0 - D: En modo servicio - u : Usuario de ejecución - g : Grupo de ejecución - c : Archivo central de configuración - i : Interfase de escucha en modo promiscuo
  • Modos de ejecución - IPS snort -D --daq afpacket -Q -u snort -g snort -c /etc/snort/snort.conf -i eth0:eth1 - D: En modo servicio - daq afpacket : Condigura daq en modo inline - Q : Modo IPS - i etho:eth1: Necesita dos interfases en modo IPS
  • Pero donde está la información?? La interfase gráfica ??? Hablemos de almacenamiento ...
  • Almacenamiento en logs tail -f /var/log/snort/alerts
  • Almacenamiento en Base de datos Habilitar en la instalación hasta la 2.9.2 – luego barnyard2 ./configure --with-mysql –enable-dynamicplugin Configurar en /etc/snort/snort.conf output database: alert, mysql, user=root password=passwd dbname=snort host=localhost output database: log, mysql, user=root password=passwd dbname=snort host=localhost
  • Interfase gráfica - Base
  • Interfase gráfica - Snorby
  • De qué me sirve todo esto para proteger Elastix ??
  • Posicionamiento en la red con Elastix
  • Elastix con IP Publica + estática sss
  • Elastix en la nube sss
  • Recordemos un poco de tipos de ataques .....
  • Los de siempre , ataques externos
  • Ataques internos, los de revancha
  • Los que nos hacemos nosotros.......
  • Detectando ataques hacia Elastix Cuando fail2ban no basta..
  • Detectando ataques hacia Elastix Tres tipos clasicos •Enumeracion y passwod cracking SIP •Vulnerabilidades y Discovery Web •Denial of services
  • Detectando ataques hacia Elastix alert udp $EXTERNAL_NET any -> $HOME_NET 5060 (msg:"ET SCAN Sipvicious User-Agent Detected (friendly-scanner)"; content:"|0d 0a|User-Agent|3A| friendly-scanner"; classtype:attempted-recon; reference:url,code.google.com/p/sipvicious/; reference:url,blog.sipvicious.org/; reference:url,doc.emergingthreats.net/2011716; reference:url,www.emergingthreats.net/cgibin/cvsweb.cgi/sigs/SCAN/SCAN_Sipvicious; sid:2011716; rev:2;)
  • Detectando ataques hacia Elastix usando SNORT DEMO
  • Snort en modo IPS TIPS(1) : Tener las librerias completas de DAQ ./snort --daq-list Available DAQ modules: pcap(v3): readback live multi unpriv ipfw(v2): live inline multi unpriv dump(v1): readback live inline multi unpriv afpacket(v4): live inline multi unpriv
  • Snort en modo IPS TIPS(2) : Contar con dos interfase de red - No misma mac - Dos interfaces distintas
  • Snort en modo IPS TIPS(3) : Levantar snort en el modo correcto - daq afpacket : Condigura daq en modo inline - Q : Modo IPS - i etho:eth1: Necesita dos interfases en modo IPS
  • Snort como IPS TIPS(4) : Hacer que IPTABLES colabore con Snort iptables iptables iptables iptables iptables iptables iptables -I -I -I -I -I -I -I INPUT -i lo -j ACCEPT INPUT -p tcp --dport 80 -j NFQUEUE OUTPUT -p tcp --sport 80 -j NFQUEUE INPUT -p tcp --dport 443 -j NFQUEUE OUTPUT -p tcp --sport 443 -j NFQUEUE INPUT -p udp --dport 5060 -j NFQUEUE OUTPUT -p udp --sport 5060 -j NFQUEUE
  • Instalación de Snort en Elastix URL: http://jroliva.wordpress.com/
  • Gracias ElastixWorld !! Juan Oliva Consultor en Ethical Hacking y VoIP ECE®, dCAA®, C|EH™, C)PTE™, OSEH, BNS, LPIC-1™, Novell CLA® Correo : joliva@silcom.com.pe gtalk : jroliva@gmail.com Twiter : @jroliva Blog : http://jroliva.wordpress.com/