Lab 13

Seguridad
Elastix ECE Training

Prctica Recomendada
Laboratorio 13.1: Gestin de contraseas
Descripcin: En este laboratorio aprenderemos a cambiar las claves de las principales aplicaciones de
Elastix.
Objetivo: Cambiar las contraseas de Elastix para asegurar nuestro servidor
Tiempo Mximo: 15 minutos.
Instrucciones:

Contrasea del usuario admin de la interfaz web de Elastix

Ingresar a la interfaz de administracin web de Elastix como administradores.

Ir a:
Sistema Usuarios

Seleccionamos el usuario admin

Hacemos clic en editar y modificamos la informacin en el campo Contrasea. Colocamos el

mismo valor en Confirmar Contrasea y aplicamos los cambios.

Contrasea de FreePBX

Para cambiar la contrasea de FreePBX nos dirigimos a:

Seguridad Configuraciones Avanzadas

Colocamos la contrasea nueva en el campo Contrasea Base de Datos y Administracin Web

FreePBX.

Luego colocamos este mismo valor en el campo Confirmacin de la contrasea y hacemos clic en
botn Guardar.

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

Hacemos clic en Guardar

Cambiar contrasea del usuario root del sistema operativo

Ingresamos a la consola de Elastix como usuario root

Una vez que hemos ingresado escribimos el comando:

passwd

Al hacer esto, el equipo nos solicitar la contrasea nueva, la ingresamos y presionamos enter.

Inmediatamente nos solicitar una confirmacin de la nueva contrasea, volvemos a ingresarla y

presionamos enter:

Cambiar contrasea del usuario root de mysql

Ingresamos a la consola de Elastix como usuario root

Una vez que hemos ingresado escribimos el comando:

mysqladmin -u root -pClaveActual password 'ClaveNueva'
Nota: Reemplace la palabra ClaveActual por la clave que ingres durante la instalacin de Elastix.
Reemplace adems la palabra ClaveNueva, por la nueva clave. Esta ltima clave va entre comillas
simples.
Ej: Si la clave actual es palosanto y queremos cambiarla a worldelastixnow la sentencia debe ser:
mysqladmin -u root -ppalosanto password 'worldelastixnow'

Presionamos la tecla enter y si todo sali bien obtendremos nicamente una nueva lnea.

Podemos probar la nueva contrasea ingresando a mysql con el siguiente comando:

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

mysql -u root p

Inmediatamente nos pide la contrasea, la ingresamos y presionamos enter.

Salimos con exit

Cambiar la contrasea de Flash Operator Panel

Ingresamos a la consola de Elastix como usuario root

Una vez que hemos ingresado abrimos el archivo /etc/amportal.conf

vim /etc/amportal.conf

Buscamos la lnea FOPPASSWORD=

Cambiar la clave remplazando la cadena de texto luego del signo "=" , como se muestra a
continuacin:
FOPPASSWORD=nuevaclave

Grabamos y Salimos (Esc :wq)

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

Laboratorio 13.2 (Prctica Recomendada)

Descripcin: Asegurar Elastix utilizando el Firewall en el mismo servidor utilizando iptables por lnea de
comando. Se asume para esta prctica que solo se tiene 1 interfaz de red y que esta se llama eth0.
Objetivo: Aprender a cerrar todos los puertos menos los estrictamente necesarios para el funcionamiento
de nuestra Central.
Tiempo Mximo: 20 minutos.
Instrucciones:

Ingresamos a la consola de Elastix como usuario root. Una vez en la consola ejecutamos
las siguientes lneas:

Nota: podemos ver nuestro progreso con: iptables -L

Aceptar el trfico para el protocolo SIP
iptables -A INPUT -p udp -m udp -i eth0 --dport 5060 -j ACCEPT
Aceptar el trfico para el protocolo RTP
iptables -A INPUT -p udp -m udp -i eth0 --dport 10000:20000 -j ACCEPT
Aceptar el trfico para el protocolo IAX
iptables -A INPUT -p udp -m udp -i eth0 --dport 4569 -j ACCEPT
Aceptar el trfico de HTTPS
iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT
Aceptar el trfico de SMTP
iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT
Aceptar el trfico de POP3
iptables -A INPUT -p tcp -i eth0 --dport 110 -j ACCEPT
Aceptar el trfico de IMAP
iptables -A INPUT -p tcp -i eth0 --dport 143 -j ACCEPT
Aceptar el trfico de mensajera Instantnea
iptables -A INPUT -p tcp -i eth0 --dport 9090 -j ACCEPT

Denegar todo el otro trfico restante

iptables -A INPUT -p all -i eth0 -j DROP

Una vez que hemos ingresado todas las lneas, grabamos la configuracin con el siguiente
comando:
iptables-save > /etc/sysconfig/iptables

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

Prctica alternativa al laboratorio 13.2

Laboratorio 13.3: Activacin y Configuracin de Firewall
Descripcin: Se habilitar y configurar el firewall de Elastix desde la interfaz de Elastix.
Objetivo: Configurar seguridad en Elastix
Tiempo Mximo: 30 minutos.
Instrucciones:

Ingresar a la interfaz de administracin web de Elastix como administradores.

Ir a:
Seguridad Cortafuegos Regla Cortafuegos

El Cortafuegos o Firewall est desactivado por defecto en Elastix.

Para activarlo hacemos clic en "Activar Cortafuegos".

Al hacer esto, el Cortafuegos activa todas las reglas y habilita la edicin de opciones en cada una de
ellas.

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

En la primera columna de la derecha observamos un icono en forma de foco y otro en forma de

agenda. El foco indica que la regla est activada y la agenda nos da acceso a su edicin.

Existen dos criterios de configuracin

a)

El primero en el cual permitimos trfico entrante y saliente siguiente, y que el administrador bloquee
puertos de acuerdo a su criterio.
En el segundo se niegan todos los accesos de entrada y el administrador abre los puertos
requeridos en base a su criterio.

b)

En este laboratorio utilizaremos la primera opcin.

Varias de las polticas que necesitamos configurar ya estn creadas en el cortafuegos pero en
desorden. Podemos ordenarlas utilizando las flechas que se encuentran en la columna Orden.

Primero mencionaremos todas las reglas y luego como configurarlas.

Las 3 primeras reglas deben ser las siguientes:

1.

Permitir el trfico de todos los paquetes utilizando la extensin State/Estado, con la opcin
Establecido y Relacionado activada (Established,Related).
Permitir el acceso SSH (protocolo TCP) a un segmento de la red en especfico.
Permitir la conexin HTTPS (protocolo TCP) a un segmento de la red en especfico.

2.
3.

Las siguientes dos reglas se las crear para permitir el acceso de una mquina remota registrando
su IP pblica.
Nota: En el caso de este curso debemos registrar la IP pblica donde se encuentra nuestro
ordenador, siempre y cuando intentemos acceder de manera remota al servidor Elastix; si este no
es el caso, obviar estas dos reglas.

4.
5.

Permitir todo el trfico SSH (protocolo TCP) que venga desde la IP pblica x.x.x.x
Permitir todo el trfico HTTPS (protocolo TCP) que venga desde la IP pblica x.x.x.x

Las siguientes reglas son:

6.
7.
8.
9.
10.
11.
12.

Permitir el trfico a travs de la interfaz de loopback

Permitir hacer ping (protocolo ICMP) al servidor desde un segmento de red en especfico.
Permitir trfico SIP
Permitir trfico IAX2
Permitir trfico IAX1
Permitir trfico RTP
Cerrar todos los puertos restantes.

Configuracin de Reglas

Las 3 primeras reglas son las siguientes:

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

Estas reglas ya existan y nicamente las colocamos en orden. Las reglas 2 y 3 deben ser
modificadas para restringir el acceso SSH y HTTPS a nuestro segmento de red o a la IP de nuestro
ordenador.

En este caso restringiremos el acceso a nuestro segmento de red.

Para editar las reglas hacemos clic en el icono de agenda. Iniciamos con la regla 2.

Ya que estamos haciendo nuestra primera configuracin detallaremos la informacin de los

siguientes campos:
o
o
o

Trfico: Permite trfico, en este ejemplo permite trfico de entrada

Interface IN: Cualquier interfaz es permitida en este ejemplo
Source Address: IP de fuente, en este ejemplo estamos permitiendo el acceso a toda la red
192.168.2.0, si quisiramos que solo una mquina acceda a SSH simplemente debemos colocar
la direccin IP del host y en la mscara colocamos 32.
Al concluir con la configuracin hacemos clic en Guardar.
Nota: Cada vez que hacemos un cambio obtendremos el siguiente mensaje:

No es necesario guardar los cambios en este momento, eso lo haremos al final de la configuracin.

Hacemos la misma configuracin para la regla 3.

Al finalizar tendremos las 3 primeras reglas de la siguiente manera

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

La configuracin de las reglas 4 y 5 son similares a las reglas 2 y 3, con la diferencia que la
direccin de origen corresponde a la IP pblica del ordenador.

Para crearlas hacemos clic en Nueva Regla y luego colocamos la informacin requerida. La
siguiente imagen es un ejemplo para el acceso SSH.

Al crear la regla esta se aadir al final por lo cual la colocaremos en el orden que necesitamos, es
decir 4 y 5.

Al completar ambas reglas y ordenarlas debemos tener algo similar a lo siguiente

Continuamos con las siguientes 7 reglas, luego de lo cual debemos obtener algo similar a lo
siguiente

Desactivamos todas las reglas a partir de la regla 13, nicamente dejamos activada la regla de
bloqueo de puertos que se muestra en la imagen

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

En el caso de este laboratorio la regla a la que hacemos referencia es la regla 23. La regla 24 que
se observa en la imagen no es relevante y tambin la desactivaremos.

Una vez que hemos completado toda la configuracin, hacemos clic en Guardar Cambios. Si todo
sali bien debemos poder seguir en la interfaz.
Nota: Si en algn momento nos bloqueamos el acceso, debemos entrar a la consola Linux del
servidor directamente y proceder a parar iptables que es la herramienta que usa el mdulo de
seguridad de Elastix. Para hacerlo ejecutamos: service iptables stop

Para comprobar que las reglas estn aplicadas, podemos entrar a la consola Linux de nuestra
Elastix por SSH, como usuario root, y veremos las reglas aplicadas al ejecutar: iptables L n
v

La configuracin realizada establece que ningn usuario de una red diferente a la 192.168.2.0 (es
decir la red interna del ejemplo), puede acceder va SSH.

Si queremos restringir el acceso a SIP e IAX, podemos configurar las reglas 8 a la 10, incluyendo la
direccin interna de nuestra red en el campo direccin de origen.

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

10

En el caso de que necesitemos agregar un usuario remoto para acceder a esos servicios, debemos
crear una regla similar (SIP o IAX), e incluir la direccin IP permitida en el campo direccin de
origen.

Entre las reglas desactivadas se encuentran reglas corresponden a protocolos de correo,

mensajera instantnea, entre otras. En caso de que necesitemos utilizarlas podemos activarla
encendiendo el foco y configurando la regla de acuerdo a los que accesos necesarios. En nuestro
caso estamos asegurando la PBX para que use solo telefona.

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

11

Laboratorio 13.4: Configuracin bsica de firewall

Descripcin: Permitir el acceso a una IP especfica en nuestra red.
Objetivo: Habilitar el acceso a direcciones conocidas.
Tiempo Mximo: 10 minutos.
Instrucciones:

Ahora vamos a crear una regla una IP en nuestra red. Esto permitir a un potencial administrador o
usuario el acceso a nuestro servidor.

Hacemos clic en el botn Nueva Regla y colocamos los siguientes datos (En el campo Direccin
de Origen debemos colocar la IP requerida).

Hacemos clic en Guardar.

Inmediatamente obtenemos el mensaje de advertencia, previo a Guardar Cambios. Antes de

hacerlo colocamos nuestra nueva regla en ante-penultimo lugar, justo antes de las dos ltimas
reglas.

Lo hacemos haciendo clic en los iconos de flecha en el lado izquierdo.

Luego hacemos clic en Guardar y habremos creado la nueva regla.

Cada vez que se crea una nueva regla tiene que estar antes de las dos ltimas reglas, en el caso de
este ejemplo las reglas 22 y 23, explicamos el porqu de esta condicin:

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

12

Lo sealado en la imagen son reglas indispensables, todas las reglas se cumplen secuencialmente
empezando desde la 1 hasta la 23 en este ejemplo.

Lo que hace la regla 21 es hacer un REJECT de todas las IP que no cumplieron las condiciones
anteriores para todo el trfico INPUT

Lo que hace la regla 22 es hacer un REJECT de todas las IP que no cumplieron con las condiciones
anteriores para todo el trfico FORWARD

Esta es la razn de que las reglas deben estar antes, ya que si son creadas posteriormente no
tendr ningn efecto.

Probemos la configuracin ingresando a la direccin de su servidor Elastix desde una mquina con
diferente IP a la registrada en la regla de firewall.

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

13

Laboratorio 13.5: Configuracin bsica de firewall

Descripcin: Restringir el acceso UDP y SIP a direcciones IP no autorizadas.
Objetivo: Restringir el acceso a direcciones IP vinculadas a una extension.
Tiempo Mximo: 10 minutos.
Instrucciones:

A continuacin mostraremos un ejemplo de cmo bloquear las direcciones IP que son de alto riesgo
para nuestro equipo.

Al ser un ejemplo bloquearemos la direccin IP asociada a un interno o extensin dentro de nuestra

red privada, para que no pueda recibir ni realizar llamadas.

Editamos el protocolo UDP SIP que es el que est vinculado con las llamadas SIP de alguna
extension que hayamos creado.

La regla la editaremos como muestra la figura

Una vez configurado presionamos guardar.

Al salir aparecer un mensaje que pide nuevamente guardar pero esta vez se guardar en la tabla
de Iptables y se asentarn las reglas modificadas.

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

14

Procedemos a abrir un terminal ssh y escribimos

iptables L

Podemos observar todas las reglas habilitadas y modificadas, en este momento la extension
asociada a la direccin IP que restringimos no debe estar registrada, podemos intentar llamando a
la extension que est asociada a esa IP, como resultado ninguna llamada se concretar.

Veamos que paso con la extensin asociada a esa IP, escribimos:

asterisk rx sip show peers

Para este ejemplo la direccin IP 192.168.5.33 que aadimos a la regla de firewall desde la interfaz
Elastix est asociada a la extension 1002 y como se puede apreciar esta deshabilitada.

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

15

El contenido de este libro est sujeto a mejoramiento. Si usted encuentra errores, por favor enve
un email a training@elastix.com y recibir una actualizacin gratis en la siguiente edicin.

Programa de Entrenamiento Elastix

PaloSanto Solutions 2015 Todos los derechos reservados

16