<div dir="auto"><div>I never stated NAT was security. I referenced what most run at a home configuration. Most current routers have a basic firewall that is denying all traffic except established traffic. Not the older generation of routers.</div><div dir="auto"><br></div><div dir="auto">As I said and you ended with, a secure password is the best defence the home user could do. This is the most common failure in security, even at the router level. In my 20+ years experience, networks rarely get exposed unless the user let's someone in via a open port or poor passwords. Or even default passwords. Of course, self inflicted infections are another beast.</div><div dir="auto"><br></div><div dir="auto">I have setup hundreds of networks, servers including Allstar servers and they have never had a intrusion. I have never used fail2ban in those cases.  In company cases other devices are used, but I won't go into that as most are not in this situation for Allstar. </div><div dir="auto"><br></div><div dir="auto">They can't get in if your exposed point is not responsive to their connection attempts.</div><div dir="auto"><br></div><div dir="auto">Much more can be done in home networks as you increase exposure and history further.</div><div dir="auto"><br></div><div dir="auto"><br><br><div class="gmail_quote" dir="auto"><div dir="ltr">On Tue, Sep 4, 2018, 10:00 Bryan Fields <<a href="mailto:Bryan@bryanfields.net" target="_blank" rel="noreferrer">Bryan@bryanfields.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 9/4/18 12:38 PM, Bryan St Clair wrote:<br>
> For most who don't accept incoming connections on their home network,<br>
> (meaning no opened ports on the router -- Using NAT) you are very secure.<br>
<br>
NAT is not security.<br>
<br>
Security is not solved by firewalls, or any one thing.  Security is a mindset<br>
and an approach to looking at systems and protecting them from nefarious<br>
operators.<br>
<br>
AllStar on the default IAX port appears to be an open PBX, and would be quite<br>
useful for terminating VoIP calls, which can make attackers much money.  By in<br>
large AllStar systems are not interconnected with outbound SIP trunks, and<br>
thus are a poor attack vector for this.<br>
<br>
fail2ban can be used not only for ssh, but IAX and SIP too.<br>
> <a href="https://lelutin.ca/posts/Blocking_bruteforce_attempts_on_Asterisk_with_fail2ban/" rel="noreferrer noreferrer noreferrer" target="_blank">https://lelutin.ca/posts/Blocking_bruteforce_attempts_on_Asterisk_with_fail2ban/</a><br>
<br>
I find blackhole routing works best for these, and I'll set it to 3600 seconds.<br>
<br>
There is something to be said for using non-standard ports as this will cut<br>
down on the non-standard scanners.  This only obscures the issue, it's not<br>
true security in and of it self.   Add fail2ban with it and it will block much<br>
of it.<br>
<br>
If you're running a bunch of nodes on a single connection, setup a proxy, this<br>
will isolate them onto one device.<br>
<br>
A firewall helps you keep only what you want exposed.  It's amazing how fast<br>
stuff can be exploited without a firewall on today's internet.  I personally<br>
had a server I setup and got lazy as it was late at night, "I'll setup the<br>
firewall tomorrow".  Tomorrow turned into 3 days and the server had memcached<br>
on it being used a packet generator.  Turned my 10 mbit/s 95th usage into 998<br>
mbit/s 95th percentile.<br>
<br>
Lesson learned, security is a mindset and starts day one.<br>
<br>
Perhaps the best thing you can do is not allow root access and use a good<br>
password.  Using your callsign is not good, using A115tar isn't secure either.<br>
 Each user should have their own password, and be enabled to use sudo too.<br>
<br>
73's<br>
-- <br>
Bryan Fields<br>
<br>
727-409-1194 - Voice<br>
<a href="http://bryanfields.net" rel="noreferrer noreferrer noreferrer" target="_blank">http://bryanfields.net</a><br>
_______________________________________________<br>
App_rpt-users mailing list<br>
<a href="mailto:App_rpt-users@lists.allstarlink.org" rel="noreferrer noreferrer" target="_blank">App_rpt-users@lists.allstarlink.org</a><br>
<a href="http://lists.allstarlink.org/cgi-bin/mailman/listinfo/app_rpt-users" rel="noreferrer noreferrer noreferrer" target="_blank">http://lists.allstarlink.org/cgi-bin/mailman/listinfo/app_rpt-users</a><br>
<br>
To unsubscribe from this list please visit <a href="http://lists.allstarlink.org/cgi-bin/mailman/listinfo/app_rpt-users" rel="noreferrer noreferrer noreferrer" target="_blank">http://lists.allstarlink.org/cgi-bin/mailman/listinfo/app_rpt-users</a> and scroll down to the bottom of the page. Enter your email address and press the "Unsubscribe or edit options button"<br>
You do not need a password to unsubscribe, you can do it via email confirmation. If you have trouble unsubscribing, please send a message to the list detailing the problem. <br>
</blockquote></div></div></div>