<div>Senhores,</div>
<div>Tenho usado as seguintes regras para acesso via SSH ao meu servidor as quais se mostraram bastante eficientes:</div>
<div>&nbsp;</div>
<div>iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set<br>iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP<br>&nbsp;</div>
<div>Optei por esta por não ter IP fixo do ponto que acesso o servidor, não podende restringir por IP de origem. A idéia aqui é limitar as tentativas de conexão num intervalo de tempo que neste&nbsp;caso são&nbsp;3 tentativas (--hitcount) no período de 60 segundos (--seconds). Você pode alterar os valores da forma que desejar, inclusive na porta (--dport) de outros serviços.
</div>
<div>&nbsp;</div>
<div>Observei&nbsp;o&nbsp;/var/log/auth (Debian 3.1) que após a inclusão dessas regras não mostrou a quantidade imensa de tentativas de acesso que mostrava anteriormente.</div>
<div>&nbsp;</div>
<div>Veja mais dicas em:</div>
<div><a href="http://www.debian-administration.org/articles/187">http://www.debian-administration.org/articles/187</a></div>
<div><a href="http://www.debian-administration.org/articles/87">http://www.debian-administration.org/articles/87</a></div>
<div>&nbsp;</div>
<div>Sds,<br>Celso</div>
<div>&nbsp;</div>
<div><span class="gmail_quote">2005/12/13, Josué Conti &lt;<a href="mailto:josueconti@gmail.com">josueconti@gmail.com</a>&gt;:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div>Pessoal, bom dia.</div>
<div>Efetuei externamente um port scan no meu Asterisk e notei que as portas 21(ftp) e 110 (pop3) estão liberadas, mas não setei nada no iptables em relação a estas portas. Pergunto o Asterisk, utiliza para alguma atividade essas portas? 
</div><span class="q">
<div>Desde já agradeço a atenção</div>
<div>&nbsp;</div></span>
<div>Josué<br><br>&nbsp;</div>
<div><span class="gmail_quote">Em 11/12/05, <b class="gmail_sendername">Jose P. Leitao</b> &lt;<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:jose.leitao@oi.com.br" target="_blank">jose.leitao@oi.com.br
</a>&gt; escreveu:</span> 
<div><span class="e" id="q_10823817fa35cedd_3">
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div><font face="Arial" size="2">Minha sugetão é colocar no iptables, só aceitar conexões na porta 22 do IP da máquina/rede conhecida, neste caso o hack não consegue saber se existe tal serviço (salvo se o hacker for da rede conhecida). Não precisar mudar nada no putty. 
</font></div>
<div><font face="Arial" size="2"></font>&nbsp;</div>
<div><font face="Arial" size="2">José Leitão</font></div>
<blockquote style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px"><span>
<div style="FONT: 10pt arial">----- Original Message ----- </div>
<div style="BACKGROUND: #e4e4e4; FONT: 10pt arial"><b>From:</b> <a title="ederwander@yahoo.com.br" onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:ederwander@yahoo.com.br" target="_blank">eder souza</a>
 </div>
<div style="FONT: 10pt arial"><b>To:</b> <a title="asteriskbrasil@listas.asteriskbrasil.org" onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org 
</a></div></span>
<div><span>
<div style="FONT: 10pt arial"><b>Sent:</b> Saturday, December 10, 2005 4:01 PM</div>
<div style="FONT: 10pt arial"><b>Subject:</b> Re: [AsteriskBrasil] regras do ip tables</div>
<div><br>&nbsp;</div>
<div>&nbsp;</div>
<div>Josué, como nosso amigo OSSI lhe falou a porta SSH (22)&nbsp;é perigosa, hackers rastreiam constantemente essa porta mude ela no seu sshd.conf e mude ela tbm em seu firewall, outra coisa todos nós de certa forma estamos desprotegidos, os que se dizem espertinhos por ae sabem de tais técnicas denominadas buffer overflow que manipula um registro fazendo executar códigos maliciosos em seu linux ou windows, mas para isso o programa que está escutando uma porta tem que ser vulnerável, mas felizmente ainda não sabemos de nenhuma vulnerabilidade no asteisk que seje explorada remotamente. 
</div>
<div>&nbsp;</div>
<div>abraços </div>
<div>&nbsp;</div>
<div>Eder de Souza<br><br><b><i>Ossi Sariola &lt;<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:posti01@poboxes.com" target="_blank">posti01@poboxes.com</a>&gt;</i></b> escreveu:</div>
<blockquote style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid">
<div>
<div><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Josué,</span></font></div>
<div><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></div>
<div><font face="Arial" color="navy" size="2"><span lang="PT-BR" style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Se está conectado na internet, corre risco…</span></font></div>
<div><font face="Arial" color="navy" size="2"><span lang="PT-BR" style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></div>
<div><font face="Arial" color="navy" size="2"><span lang="PT-BR" style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Sugiro mudar o SSH da porta 22 para algo acima de 50000....</span></font></div>
<div><font face="Arial" color="navy" size="2"><span lang="PT-BR" style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></div>
<div><font face="Arial" color="navy" size="2"><span lang="PT-BR" style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">oZ</span></font></div>
<div>
<div><font face="Arial" color="navy" size="1"><span lang="PT-BR" style="FONT-SIZE: 8pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></div></div>
<div>
<div style="TEXT-ALIGN: center" align="center"><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">
<hr align="center" width="100%" size="2">
</span></font></div>
<div><b><font face="Tahoma" size="2"><span style="FONT-WEIGHT: bold; FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">From:</span></font></b><font face="Tahoma" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"> Josué Conti [mailto: 
<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:josueconti@gmail.com" target="_blank">josueconti@gmail.com</a>] <br><b><span style="FONT-WEIGHT: bold">Sent:</span></b> Saturday, December 10, 2005 4:33 PM 
<br><b><span style="FONT-WEIGHT: bold">To:</span></b> <a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org 
</a><br><b><span style="FONT-WEIGHT: bold">Subject:</span></b> Re: [AsteriskBrasil] regras do ip tables</span></font></div></div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Eder, mas como está hoje, não corro risco de ataques, né?</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Desde já obrigado</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Josué<br><br>&nbsp;</span></font></div></div>
<div>
<div><span><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Em 10/12/05, <b><span style="FONT-WEIGHT: bold">eder souza</span></b> &lt;<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:ederwander@yahoo.com.br" target="_blank">
 ederwander@yahoo.com.br</a>&gt; escreveu:</span></font></span> </div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Josué, é o seguinte falta o range do RTP que vai de 10000 a 20000 se vc não liberar estas portas os&nbsp;clientes SIP que estão fora de sua rede local não conseguirão acesso ao seu asterisk, lembrando que vc pode diminuir o range, vc poderá faze-lo configurando o arquivo 
RTP.conf edita os campos rtpstart=10000 e rtpend=20000 para um range menor exemplo</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">rtpstart=100 <br>rtpend=200<br>&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">e libera no teu firewall </span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">ex:</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">-A INPUT -d 200.xxx.xxx.xxx -i eth0 -p tcp -m multiport --dports&nbsp;100:200 -j ACCEPT</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Abraços </span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Eder</span></font> de souza.</div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt"><br><b><i><span style="FONT-WEIGHT: bold; FONT-STYLE: italic">Josué Conti &lt;<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:josueconti@gmail.com" target="_blank">
 josueconti@gmail.com</a>&gt;</span></i></b> escreveu:</span></font></div></div>
<blockquote style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0in; BORDER-TOP: medium none; MARGIN-TOP: 5pt; PADDING-LEFT: 4pt; MARGIN-BOTTOM: 5pt; PADDING-BOTTOM: 0in; MARGIN-LEFT: 3.75pt; BORDER-LEFT: #1010ff 1.5pt solid; PADDING-TOP: 0in; BORDER-BOTTOM: medium none">

<div><span>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Pessoal, bom dia.</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Criei as seguintes regras no ip tables, mas gostaria de saber de vocês, se necessita de mais alguma coisa, ou se esta bom desta maneira.</span></font>
 </div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Desde já agradeço a atenção.</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt"># Generated by iptables-save v1.2.11 on Mon Nov 21 19:36:08 2005<br>*mangle<br>:PREROUTING ACCEPT [10841147:2094051733]<br>:INPUT ACCEPT [10321713:2051635382] 
<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [10120294:1997487730] <br>:POSTROUTING ACCEPT [10117524:1996938029]<br>COMMIT<br># Completed on Mon Nov 21 19:36:08 2005<br># Generated by iptables-save v1.2.11 on Mon Nov 21 19:36:08 2005 
<br>*nat<br>:PREROUTING ACCEPT [315:33059]<br>:POSTROUTING ACCEPT [22:4848] <br>:OUTPUT ACCEPT [0:0]<br>COMMIT<br># Completed on Mon Nov 21 19:36:08 2005<br># Generated by iptables-save v1.2.11 on Mon Nov 21 19:36:08 2005 
<br>*filter<br>:INPUT DROP [26:3695]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [25925:5235989] <br>-A INPUT -i lo -j ACCEPT<br>-A INPUT -i eth1 -j ACCEPT<br>-A INPUT -d 200.xxx.xxx.xxx -i eth0 -p tcp -m multiport --dports 22,443,5060,4569 -j ACCEPT 
<br>-A INPUT -d 200.xxx.xxx.xxx -i eth0 -p udp -m multiport --dports 5060,4569,123 -j ACCEPT <br>-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT<br>-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 5/sec -j ACCEPT<br>
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br>COMMIT<br>&nbsp;</span></font></div></div>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Onde o IP 200.xxx.xxx.xxx é o IP do Asterisk.</span></font></div></div></span></div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">_______________________________________________<br>LIsta de discussões AsteriskBrasil.org<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">
AsteriskBrasil@listas.asteriskbrasil.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 
</a><br><br>_______________________________________________<br>Acesse o wiki AsteriskBrasil.org:<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.asteriskbrasil.org/" target="_blank">http://www.asteriskbrasil.org 
</a></span></font></div></blockquote>
<div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt"><br>&nbsp;</span></font></div></div>
<div style="TEXT-ALIGN: center" align="center"><span><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">
<hr align="center" width="100%" size="1">
</span></font></span></div>
<div><span><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">Yahoo! doce lar. <a onclick="return top.js.OpenExtLink(window,event,this)" href="http://us.rd.yahoo.com/mail/br/tagline/homepage_set/*http:/br.yahoo.com/homepageset.html" target="_blank">
Faça do Yahoo! sua homepage.</a> </span></font></span></div>
<div style="MARGIN-BOTTOM: 12pt"><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt"><br>_______________________________________________<br>LIsta de discussões AsteriskBrasil.org<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">
AsteriskBrasil@listas.asteriskbrasil.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 
</a><br><br>_______________________________________________<br>Acesse o &nbsp;wiki AsteriskBrasil.org:<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.asteriskbrasil.org/" target="_blank">http://www.asteriskbrasil.org 
</a></span></font></div></div>
<div><font face="Times New Roman" size="3"><span style="FONT-SIZE: 12pt">&nbsp;</span></font></div></div>_______________________________________________<br>LIsta de discussões AsteriskBrasil.org<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">
AsteriskBrasil@listas.asteriskbrasil.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 
</a><br><br>_______________________________________________<br>Acesse o wiki AsteriskBrasil.org:<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.asteriskbrasil.org/" target="_blank">http://www.asteriskbrasil.org 
</a></blockquote>
<div><br>&nbsp;</div></span></div>
<p>
<div><span>
<hr size="1">
Yahoo! doce lar. <a onclick="return top.js.OpenExtLink(window,event,this)" href="http://us.rd.yahoo.com/mail/br/tagline/homepage_set/*http://br.yahoo.com/homepageset.html" target="_blank">Faça do Yahoo! sua homepage.</a>
 </span></div>
<p>
<hr>
<span>
<p></p>_______________________________________________<br>LIsta de discussões AsteriskBrasil.org<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">
AsteriskBrasil@listas.asteriskbrasil.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 
</a><br><br>_______________________________________________<br>Acesse o&nbsp; wiki AsteriskBrasil.org:<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.asteriskbrasil.org/" target="_blank">http://www.asteriskbrasil.org 
</a></span>
<p></p>
<p></p>
<p></p>
<p></p></p></p></blockquote><br>_______________________________________________<br>LIsta de discussões AsteriskBrasil.org<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">
AsteriskBrasil@listas.asteriskbrasil.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil 
</a><br><br>_______________________________________________<br>Acesse o &nbsp;wiki AsteriskBrasil.org:<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.asteriskbrasil.org/" target="_blank">http://www.asteriskbrasil.org 
</a><br><br></blockquote></span></div></div><br><br>_______________________________________________<br>LIsta de discussões AsteriskBrasil.org<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">
AsteriskBrasil@listas.asteriskbrasil.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
</a><br><br>_______________________________________________<br>Acesse o &nbsp;wiki AsteriskBrasil.org:<br><a onclick="return top.js.OpenExtLink(window,event,this)" href="http://www.asteriskbrasil.org/" target="_blank">http://www.asteriskbrasil.org
</a><br><br></blockquote></div><br>