<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

<blockquote type="cite">

  <pre wrap="">Despite of all the arguments on other things we could do, why not increase

the level of security in Asterisk if there is a possibility to do so?

  </pre>

</blockquote>

Bottom line here, I think, is that the security holes aren't just in

Asterisk, they're in SIP, and Asterisk has to support SIP. It is SIP

that passes the usernames/passwords in plaintext. If SIP supported a

more secure authentication scheme, Asterisk would support it. <br>

<br>

Of course, that said, SIPS exists... I do believe Digium is working on

SIPS support, no?<br>

<br>

<div class="moz-signature">

<p align="left"><font face="Times New Roman, Times, serif" size="1">

<table border="0" width="317">

  <tbody>

    <tr valigh="top">

      <td>

      <div align="center"> <a href="http://www.anteil.com"><img

 moz-do-not-send="false" src="cid:part1.08090907.00010000@anteil.com"

 alt="Anteil, Inc." border="0"></a>

      <table border="0" width="317">

        <tbody>

          <tr>

            <td colspan="3">

            <div align="center">

            <table width="270">

              <tbody>

                <tr>

                  <td>

                  <hr></td>

                </tr>

              </tbody>

            </table>

            </div>

            </td>

          </tr>

          <tr valign="top">

            <td width="134">

            <div align="right"><font color="#000000"

 face="Times New Roman, Times, serif" size="2"> <strong>Andrew M.

Lauppe<br>

            </strong> <em>Consultant</em> </font>

            </div>

            </td>

            <td width="11"><br>

            </td>

            <td width="148"><font face="Times New Roman, Times, serif"><font

 color="#666666" size="1">4051B Executive Park Dr.<br>

Harrisburg, PA 17111<br>

            <hr align="left" width="105">+1 (877) OS-LINUX x23<br>

+1 (484) 421-9919 direct </font></font></td>

          </tr>

        </tbody>

      </table>

      </div>

      </td>

    </tr>

  </tbody>

</table>

</font></p>

</div>

<br>

<br>

Remco Barendse wrote:

<blockquote

 cite="mid:alpine.LRH.2.00.0903112000460.23809@raveon.vaag.nu"

 type="cite">

  <pre wrap="">Now i read a lot of messages with many arguments stating that we should

use iptables, fail2ban and some other things as well as that we should use

secure usernames and passwords.

While this may all be true and valid, obviously there is already an

authentication scheme implemented in Asterisk checking username and

password.

If it is difficult to implement what i suggested with all the options and

configurable settings, why not implement it in a more simple form?

Despite of all the arguments on other things we could do, why not increase

the level of security in Asterisk if there is a possibility to do so?

_______________________________________________

--Bandwidth and Colocation Provided by <a class="moz-txt-link-freetext" href="http://www.api-digital.com">http://www.api-digital.com</a>--

asterisk-biz mailing list

To UNSUBSCRIBE or update options visit:

   <a class="moz-txt-link-freetext" href="http://lists.digium.com/mailman/listinfo/asterisk-biz">http://lists.digium.com/mailman/listinfo/asterisk-biz</a>

  </pre>

</blockquote>

</body>

</html>