[AsteriskBrasil] regras do ip tables

Jose P. Leitao jose.leitao em oi.com.br
Domingo Dezembro 11 17:29:04 BRT 2005 

Minha sugetão é colocar no iptables, só aceitar conexões na porta 22 do IP da máquina/rede conhecida, neste caso o hack não consegue saber se existe tal serviço (salvo se o hacker for da rede conhecida). Não precisar mudar nada no putty.

José Leitão
  ----- Original Message ----- 
  From: eder souza 
  To: asteriskbrasil em listas.asteriskbrasil.org 
  Sent: Saturday, December 10, 2005 4:01 PM
  Subject: Re: [AsteriskBrasil] regras do ip tables



  Josué, como nosso amigo OSSI lhe falou a porta SSH (22) é perigosa, hackers rastreiam constantemente essa porta mude ela no seu sshd.conf e mude ela tbm em seu firewall, outra coisa todos nós de certa forma estamos desprotegidos, os que se dizem espertinhos por ae sabem de tais técnicas denominadas buffer overflow que manipula um registro fazendo executar códigos maliciosos em seu linux ou windows, mas para isso o programa que está escutando uma porta tem que ser vulnerável, mas felizmente ainda não sabemos de nenhuma vulnerabilidade no asteisk que seje explorada remotamente.

  abraços 

  Eder de Souza

  Ossi Sariola <posti01 em poboxes.com> escreveu:
    Josué,
     
    Se está conectado na internet, corre risco.
     
    Sugiro mudar o SSH da porta 22 para algo acima de 50000....
     
    oZ
     

----------------------------------------------------------------------------

    From: Josué Conti [mailto:josueconti em gmail.com] 
    Sent: Saturday, December 10, 2005 4:33 PM
    To: asteriskbrasil em listas.asteriskbrasil.org
    Subject: Re: [AsteriskBrasil] regras do ip tables
     
    Eder, mas como está hoje, não corro risco de ataques, né?
    Desde já obrigado
     
    Josué

     
    Em 10/12/05, eder souza <ederwander em yahoo.com.br> escreveu: 
    Josué, é o seguinte falta o range do RTP que vai de 10000 a 20000 se vc não liberar estas portas os clientes SIP que estão fora de sua rede local não conseguirão acesso ao seu asterisk, lembrando que vc pode diminuir o range, vc poderá faze-lo configurando o arquivo RTP.conf edita os campos rtpstart=10000 e rtpend=20000 para um range menor exemplo
     
    rtpstart=100 
    rtpend=200
     
     
    e libera no teu firewall 
     
    ex:
     
    -A INPUT -d 200.xxx.xxx.xxx -i eth0 -p tcp -m multiport --dports 100:200 -j ACCEPT
     
    Abraços 
     
    Eder de souza.

    Josué Conti <josueconti em gmail.com> escreveu:
      Pessoal, bom dia.
      Criei as seguintes regras no ip tables, mas gostaria de saber de vocês, se necessita de mais alguma coisa, ou se esta bom desta maneira.
      Desde já agradeço a atenção.
       
      # Generated by iptables-save v1.2.11 on Mon Nov 21 19:36:08 2005
      *mangle
      :PREROUTING ACCEPT [10841147:2094051733]
      :INPUT ACCEPT [10321713:2051635382]
      :FORWARD ACCEPT [0:0]
      :OUTPUT ACCEPT [10120294:1997487730] 
      :POSTROUTING ACCEPT [10117524:1996938029]
      COMMIT
      # Completed on Mon Nov 21 19:36:08 2005
      # Generated by iptables-save v1.2.11 on Mon Nov 21 19:36:08 2005
      *nat
      :PREROUTING ACCEPT [315:33059]
      :POSTROUTING ACCEPT [22:4848] 
      :OUTPUT ACCEPT [0:0]
      COMMIT
      # Completed on Mon Nov 21 19:36:08 2005
      # Generated by iptables-save v1.2.11 on Mon Nov 21 19:36:08 2005
      *filter
      :INPUT DROP [26:3695]
      :FORWARD ACCEPT [0:0]
      :OUTPUT ACCEPT [25925:5235989] 
      -A INPUT -i lo -j ACCEPT
      -A INPUT -i eth1 -j ACCEPT
      -A INPUT -d 200.xxx.xxx.xxx -i eth0 -p tcp -m multiport --dports 22,443,5060,4569 -j ACCEPT
      -A INPUT -d 200.xxx.xxx.xxx -i eth0 -p udp -m multiport --dports 5060,4569,123 -j ACCEPT 
      -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
      -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 5/sec -j ACCEPT
      -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
      COMMIT
       
      Onde o IP 200.xxx.xxx.xxx é o IP do Asterisk.
      _______________________________________________
      LIsta de discussões AsteriskBrasil.org
      AsteriskBrasil em listas.asteriskbrasil.org
      http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 

      _______________________________________________
      Acesse o wiki AsteriskBrasil.org:
      http://www.asteriskbrasil.org 

     

----------------------------------------------------------------------------

    Yahoo! doce lar. Faça do Yahoo! sua homepage. 

    _______________________________________________
    LIsta de discussões AsteriskBrasil.org
    AsteriskBrasil em listas.asteriskbrasil.org
    http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 

    _______________________________________________
    Acesse o  wiki AsteriskBrasil.org:
    http://www.asteriskbrasil.org 
     
    _______________________________________________
    LIsta de discussões AsteriskBrasil.org
    AsteriskBrasil em listas.asteriskbrasil.org
    http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil

    _______________________________________________
    Acesse o wiki AsteriskBrasil.org:
    http://www.asteriskbrasil.org




------------------------------------------------------------------------------
  Yahoo! doce lar. Faça do Yahoo! sua homepage.


------------------------------------------------------------------------------


  _______________________________________________
  LIsta de discussões AsteriskBrasil.org
  AsteriskBrasil em listas.asteriskbrasil.org
  http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil

  _______________________________________________
  Acesse o  wiki AsteriskBrasil.org:
  http://www.asteriskbrasil.org
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20051211/169fff90/attachment-0001.html

Mais detalhes sobre a lista de discussão AsteriskBrasil