Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
2. JUAN OLIVA @jroliva
A que me dedico ?
Proyectos de Voz sobre IP con ELASTIX
Servicios de Ethical Hacking
Certificaciones
ECE, dCAA, LPIC-1, Novell CLA, C|EH , CPTE
Instructor / Training
ELASTIX 101, ECE, ESM, LPIC-1
Cursos de Ethical Hacking
Ethical hacking para VoIP , Callcenter
Y cuando tengo tiempo mantengo un blog :
http://jroliva.wordpress.com
3. ¿Qué es Snort?
Es un IDS / IPS muy flexible y a la vez
complejo, que se ha convertido en el
estandar en en campo de la seguridad :
•Alto nivel de personalización
•Análisis de paquetes
•Diferentes modos de ejecución
•Base de reglas de alto alcance
•Diferente tipos de almacenamiento
4. Modos de funcionamiento
- Pasivo / Snifer
Sniffer de paquetes entrantes y salientes en consola
- Logger
Captura de paquetes E/S guardados en un log
5. Modos de funcionamiento
- IDS / NIDS
Sniffer de paquetes entrantes y salientes con generación de
alertas , para un host o para todo un segmento de red
- IPS
llamado “inline” , es el modo de preventor de intrusos y
funciona en colaboración con IPTABLES
13. Funcionamiento interno (1)
- Reglas por defecto – Reglas personalizadas
Base de datos de ataques que sirven para Detección de
Amenazas y Generación de Alarmas
14. Funcionamiento interno (2)
- Preprocesors
Realiza análisis de paquetes entrantes y salientes justo
antes de que el motor de detección se ejecute (reglas) y
justo después de que el paquete ha sido recibido y
decodificado.
* SfPort scan
* Frag3
* HttpInspect
15. Funcionamiento interno (3)
- Plugins de Salida
Formato en que presentará la información procesada
* Motor de base de datos (Mysql, Postgresql)
* Syslog
* tcpdump
18. Modos de ejecución - IDS
/usr/local/bin/snort -D -u snort -g snort -c /etc/snort/snort.conf -i eth0
- D: En modo servicio
- u : Usuario de ejecución
- g : Grupo de ejecución
- c : Archivo central de configuración
- i : Interfase de escucha en modo promiscuo
19. Modos de ejecución - IPS
snort -D --daq afpacket -Q -u snort -g snort -c /etc/snort/snort.conf -i eth0:eth1
- D: En modo servicio
- daq afpacket : Condigura daq en modo inline
- Q : Modo IPS
- i etho:eth1: Necesita dos interfases en modo IPS
20. Pero donde está la información??
La interfase gráfica ???
Hablemos de almacenamiento ...
22. Almacenamiento en Base de datos
Habilitar en la instalación
hasta la 2.9.2 – luego barnyard2
./configure --with-mysql –enable-dynamicplugin
Configurar en /etc/snort/snort.conf
output database: alert, mysql, user=root password=passwd dbname=snort host=localhost
output database: log, mysql, user=root password=passwd dbname=snort host=localhost
37. Snort en modo IPS
TIPS(1) :
Tener las librerias completas de DAQ
./snort --daq-list
Available DAQ modules:
pcap(v3): readback live multi unpriv
ipfw(v2): live inline multi unpriv
dump(v1): readback live inline multi unpriv
afpacket(v4): live inline multi unpriv
38. Snort en modo IPS
TIPS(2) :
Contar con dos interfase de red
- No misma mac
- Dos interfaces distintas
39. Snort en modo IPS
TIPS(3) :
Levantar snort en el modo correcto
- daq afpacket : Condigura daq en modo inline
- Q : Modo IPS
- i etho:eth1: Necesita dos interfases en modo IPS