Académique Documents
Professionnel Documents
Culture Documents
Seguridad
Elastix ECE Training
Prctica Recomendada
Laboratorio 13.1: Gestin de contraseas
Descripcin: En este laboratorio aprenderemos a cambiar las claves de las principales aplicaciones de
Elastix.
Objetivo: Cambiar las contraseas de Elastix para asegurar nuestro servidor
Tiempo Mximo: 15 minutos.
Instrucciones:
Ir a:
Sistema Usuarios
Contrasea de FreePBX
Luego colocamos este mismo valor en el campo Confirmacin de la contrasea y hacemos clic en
botn Guardar.
Al hacer esto, el equipo nos solicitar la contrasea nueva, la ingresamos y presionamos enter.
Presionamos la tecla enter y si todo sali bien obtendremos nicamente una nueva lnea.
mysql -u root p
Cambiar la clave remplazando la cadena de texto luego del signo "=" , como se muestra a
continuacin:
FOPPASSWORD=nuevaclave
Ingresamos a la consola de Elastix como usuario root. Una vez en la consola ejecutamos
las siguientes lneas:
Una vez que hemos ingresado todas las lneas, grabamos la configuracin con el siguiente
comando:
iptables-save > /etc/sysconfig/iptables
Ir a:
Seguridad Cortafuegos Regla Cortafuegos
Al hacer esto, el Cortafuegos activa todas las reglas y habilita la edicin de opciones en cada una de
ellas.
a)
El primero en el cual permitimos trfico entrante y saliente siguiente, y que el administrador bloquee
puertos de acuerdo a su criterio.
En el segundo se niegan todos los accesos de entrada y el administrador abre los puertos
requeridos en base a su criterio.
b)
Varias de las polticas que necesitamos configurar ya estn creadas en el cortafuegos pero en
desorden. Podemos ordenarlas utilizando las flechas que se encuentran en la columna Orden.
1.
Permitir el trfico de todos los paquetes utilizando la extensin State/Estado, con la opcin
Establecido y Relacionado activada (Established,Related).
Permitir el acceso SSH (protocolo TCP) a un segmento de la red en especfico.
Permitir la conexin HTTPS (protocolo TCP) a un segmento de la red en especfico.
2.
3.
Las siguientes dos reglas se las crear para permitir el acceso de una mquina remota registrando
su IP pblica.
Nota: En el caso de este curso debemos registrar la IP pblica donde se encuentra nuestro
ordenador, siempre y cuando intentemos acceder de manera remota al servidor Elastix; si este no
es el caso, obviar estas dos reglas.
4.
5.
Permitir todo el trfico SSH (protocolo TCP) que venga desde la IP pblica x.x.x.x
Permitir todo el trfico HTTPS (protocolo TCP) que venga desde la IP pblica x.x.x.x
6.
7.
8.
9.
10.
11.
12.
Configuracin de Reglas
Estas reglas ya existan y nicamente las colocamos en orden. Las reglas 2 y 3 deben ser
modificadas para restringir el acceso SSH y HTTPS a nuestro segmento de red o a la IP de nuestro
ordenador.
Para editar las reglas hacemos clic en el icono de agenda. Iniciamos con la regla 2.
No es necesario guardar los cambios en este momento, eso lo haremos al final de la configuracin.
La configuracin de las reglas 4 y 5 son similares a las reglas 2 y 3, con la diferencia que la
direccin de origen corresponde a la IP pblica del ordenador.
Para crearlas hacemos clic en Nueva Regla y luego colocamos la informacin requerida. La
siguiente imagen es un ejemplo para el acceso SSH.
Al crear la regla esta se aadir al final por lo cual la colocaremos en el orden que necesitamos, es
decir 4 y 5.
Continuamos con las siguientes 7 reglas, luego de lo cual debemos obtener algo similar a lo
siguiente
Desactivamos todas las reglas a partir de la regla 13, nicamente dejamos activada la regla de
bloqueo de puertos que se muestra en la imagen
En el caso de este laboratorio la regla a la que hacemos referencia es la regla 23. La regla 24 que
se observa en la imagen no es relevante y tambin la desactivaremos.
Una vez que hemos completado toda la configuracin, hacemos clic en Guardar Cambios. Si todo
sali bien debemos poder seguir en la interfaz.
Nota: Si en algn momento nos bloqueamos el acceso, debemos entrar a la consola Linux del
servidor directamente y proceder a parar iptables que es la herramienta que usa el mdulo de
seguridad de Elastix. Para hacerlo ejecutamos: service iptables stop
Para comprobar que las reglas estn aplicadas, podemos entrar a la consola Linux de nuestra
Elastix por SSH, como usuario root, y veremos las reglas aplicadas al ejecutar: iptables L n
v
La configuracin realizada establece que ningn usuario de una red diferente a la 192.168.2.0 (es
decir la red interna del ejemplo), puede acceder va SSH.
Si queremos restringir el acceso a SIP e IAX, podemos configurar las reglas 8 a la 10, incluyendo la
direccin interna de nuestra red en el campo direccin de origen.
10
En el caso de que necesitemos agregar un usuario remoto para acceder a esos servicios, debemos
crear una regla similar (SIP o IAX), e incluir la direccin IP permitida en el campo direccin de
origen.
11
Ahora vamos a crear una regla una IP en nuestra red. Esto permitir a un potencial administrador o
usuario el acceso a nuestro servidor.
Hacemos clic en el botn Nueva Regla y colocamos los siguientes datos (En el campo Direccin
de Origen debemos colocar la IP requerida).
Cada vez que se crea una nueva regla tiene que estar antes de las dos ltimas reglas, en el caso de
este ejemplo las reglas 22 y 23, explicamos el porqu de esta condicin:
12
Lo sealado en la imagen son reglas indispensables, todas las reglas se cumplen secuencialmente
empezando desde la 1 hasta la 23 en este ejemplo.
Lo que hace la regla 21 es hacer un REJECT de todas las IP que no cumplieron las condiciones
anteriores para todo el trfico INPUT
Lo que hace la regla 22 es hacer un REJECT de todas las IP que no cumplieron con las condiciones
anteriores para todo el trfico FORWARD
Esta es la razn de que las reglas deben estar antes, ya que si son creadas posteriormente no
tendr ningn efecto.
Probemos la configuracin ingresando a la direccin de su servidor Elastix desde una mquina con
diferente IP a la registrada en la regla de firewall.
13
A continuacin mostraremos un ejemplo de cmo bloquear las direcciones IP que son de alto riesgo
para nuestro equipo.
Editamos el protocolo UDP SIP que es el que est vinculado con las llamadas SIP de alguna
extension que hayamos creado.
Al salir aparecer un mensaje que pide nuevamente guardar pero esta vez se guardar en la tabla
de Iptables y se asentarn las reglas modificadas.
14
iptables L
Podemos observar todas las reglas habilitadas y modificadas, en este momento la extension
asociada a la direccin IP que restringimos no debe estar registrada, podemos intentar llamando a
la extension que est asociada a esa IP, como resultado ninguna llamada se concretar.
Para este ejemplo la direccin IP 192.168.5.33 que aadimos a la regla de firewall desde la interfaz
Elastix est asociada a la extension 1002 y como se puede apreciar esta deshabilitada.
15
El contenido de este libro est sujeto a mejoramiento. Si usted encuentra errores, por favor enve
un email a training@elastix.com y recibir una actualizacin gratis en la siguiente edicin.
16