Datos Ag
Páginas: 13 (3075 palabras)
Publicado: 4 de junio de 2012
0351 Grupo | Consultoría IT
Manual de referencia
Seguridad en servidores CentOS con Elastix ® + buenas prácticas
V. 0.8.3
Autor: Rodrigo A. Martin
Este artículo se distribuye bajo la licencia Attribution 3.0 de Creative Commons, mas informacion: http://creativecommons.org/licenses/by/3.0/ El presente documento tiene solo fines informativos y su contenido está sujeto a cambios sinnotificación alguna.
0351 Grupo | Consultoría IT
Antes de comenzar el desarrollo del presente, debo aclarar que no se trata de un manual que cubre todos los aspectos de seguridad a tener en cuenta al poner un servidor elastix en producción, sino, ciertas recomendaciones y configuraciones básicas del S.O junto con otros aplicativos, extraídas de libros, manuales y experiencias personales que nosayudaran a mantenerlo seguro y más si este, no está dentro de una VPN o atrás de un Firewall físico (que sería lo ideal). Mi recomendación inicial es cambiar todos los passwords que trae elastix por defecto, esto lo podemos encontrar en el libro “Elastix a Ritmo de Merengue” capítulo 12, (desde la versión 2.0 en Elastix se solicita que se carguen los passwords al final de la instalación) dicho esto,comencemos:
Firewall-Iptables
Iptables es el firewall que trae instalado nuestro CentOS , este es muy popular y uno de los más utilizados en distribuciones Linux por su robustez y estabilidad. Lo ideal es que el firewall sea un componente independiente separado de los demás servidores, pero si no tenemos dicho dispositivo, podemos aplicar estas reglas directamente sobre nuestro servidor y asíestablecer políticas con los puertos de red del mismo. Lo que haremos por medio de esta herramienta será habilitar o “abrir” solo los puertos que estamos utilizando y cerrar todos los demás brindando así mayor protección al servidor. Es importante el orden de ingreso de las reglas, ya que iptables va “macheando” por estas desde la primera que se ingresa, hasta llegar a la última, si no encuentraninguna coincidencia, la última regla que escribiremos será cerrar todos los demás puertos, así que si no coincide con los especificados al principio, no podrá gestionar alguna conexión por dicho puerto. En el ejemplo tomamos que la tarjeta de red por defecto es “eth0” Aceptando el tráfico SIP: # iptables -A INPUT -p udp -m udp -i eth0 --dport 5060 -j ACCEPT Aceptando el tráfico IAX2: # iptables-A INPUT -p udp -m udp -i eth0 --dport 4569 -j ACCEPT Aceptando el tráfico RTP (Suponiendo que no se ha alterado el archivo rtp.conf): # iptables -A INPUT -p udp -m udp -i eth0 --dport 10000:20000 -j ACCEPT Aceptando tráfico MGCP (solo aplicar si es que se va a usar. En la mayoría de los casos no es necesario): # iptables -A INPUT -p udp -m udp -i eth0 --dport 2727 -j ACCEPT Aceptando el tráfico demensajería instantánea (si es que se va a acceder desde fuera): # iptables -A INPUT -p tcp -i eth0 --dport 9090 -j ACCEPT Aceptando el tráfico del servidor de correo y POP/IMAP: # iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 110 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 143 -j ACCEPT 0351 Grupo – Consultoría IT Gral. Justo José deUrquiza 1456 (5000) Córdoba – Argentina +54 (351) 414 7444 | info@0351grupo.com | www.0351grupo.com
0351 Grupo | Consultoría IT
Aceptando tráfico Web (HTTP y HTTPS) para poder visitar la interfase administrativa de Elastix: # iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT Finalmente denegando el acceso a todo lo demás: iptables -AINPUT -p all -i eth0 -j DROP Para verificar si las reglas se aplicaron correctamente usamos el comando: iptables -L Si algo no salió de acuerdo a lo esperado, podemos hacer un “flush” (borrar) de todas las reglas con el comando: iptables -F
Asegurando SSH en su sistema
OpenSSH (o Shell Seguro) se ha convertido en el estándar para el acceso remoto, reemplazando al protocolo telnet. SSH ha...
Manual de referencia
Seguridad en servidores CentOS con Elastix ® + buenas prácticas
V. 0.8.3
Autor: Rodrigo A. Martin
Este artículo se distribuye bajo la licencia Attribution 3.0 de Creative Commons, mas informacion: http://creativecommons.org/licenses/by/3.0/ El presente documento tiene solo fines informativos y su contenido está sujeto a cambios sinnotificación alguna.
0351 Grupo | Consultoría IT
Antes de comenzar el desarrollo del presente, debo aclarar que no se trata de un manual que cubre todos los aspectos de seguridad a tener en cuenta al poner un servidor elastix en producción, sino, ciertas recomendaciones y configuraciones básicas del S.O junto con otros aplicativos, extraídas de libros, manuales y experiencias personales que nosayudaran a mantenerlo seguro y más si este, no está dentro de una VPN o atrás de un Firewall físico (que sería lo ideal). Mi recomendación inicial es cambiar todos los passwords que trae elastix por defecto, esto lo podemos encontrar en el libro “Elastix a Ritmo de Merengue” capítulo 12, (desde la versión 2.0 en Elastix se solicita que se carguen los passwords al final de la instalación) dicho esto,comencemos:
Firewall-Iptables
Iptables es el firewall que trae instalado nuestro CentOS , este es muy popular y uno de los más utilizados en distribuciones Linux por su robustez y estabilidad. Lo ideal es que el firewall sea un componente independiente separado de los demás servidores, pero si no tenemos dicho dispositivo, podemos aplicar estas reglas directamente sobre nuestro servidor y asíestablecer políticas con los puertos de red del mismo. Lo que haremos por medio de esta herramienta será habilitar o “abrir” solo los puertos que estamos utilizando y cerrar todos los demás brindando así mayor protección al servidor. Es importante el orden de ingreso de las reglas, ya que iptables va “macheando” por estas desde la primera que se ingresa, hasta llegar a la última, si no encuentraninguna coincidencia, la última regla que escribiremos será cerrar todos los demás puertos, así que si no coincide con los especificados al principio, no podrá gestionar alguna conexión por dicho puerto. En el ejemplo tomamos que la tarjeta de red por defecto es “eth0” Aceptando el tráfico SIP: # iptables -A INPUT -p udp -m udp -i eth0 --dport 5060 -j ACCEPT Aceptando el tráfico IAX2: # iptables-A INPUT -p udp -m udp -i eth0 --dport 4569 -j ACCEPT Aceptando el tráfico RTP (Suponiendo que no se ha alterado el archivo rtp.conf): # iptables -A INPUT -p udp -m udp -i eth0 --dport 10000:20000 -j ACCEPT Aceptando tráfico MGCP (solo aplicar si es que se va a usar. En la mayoría de los casos no es necesario): # iptables -A INPUT -p udp -m udp -i eth0 --dport 2727 -j ACCEPT Aceptando el tráfico demensajería instantánea (si es que se va a acceder desde fuera): # iptables -A INPUT -p tcp -i eth0 --dport 9090 -j ACCEPT Aceptando el tráfico del servidor de correo y POP/IMAP: # iptables -A INPUT -p tcp -i eth0 --dport 25 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 110 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 143 -j ACCEPT 0351 Grupo – Consultoría IT Gral. Justo José deUrquiza 1456 (5000) Córdoba – Argentina +54 (351) 414 7444 | info@0351grupo.com | www.0351grupo.com
0351 Grupo | Consultoría IT
Aceptando tráfico Web (HTTP y HTTPS) para poder visitar la interfase administrativa de Elastix: # iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT Finalmente denegando el acceso a todo lo demás: iptables -AINPUT -p all -i eth0 -j DROP Para verificar si las reglas se aplicaron correctamente usamos el comando: iptables -L Si algo no salió de acuerdo a lo esperado, podemos hacer un “flush” (borrar) de todas las reglas con el comando: iptables -F
Asegurando SSH en su sistema
OpenSSH (o Shell Seguro) se ha convertido en el estándar para el acceso remoto, reemplazando al protocolo telnet. SSH ha...
Leer documento completo
Regístrate para leer el documento completo.