<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
You guys are completely on the right track. The only other thing I'd do
is add some kind of logging system so that if an IP gets blacklisted,
we can show WHY it got blacklisted. (X brute force attaches / second,
etc - example passwords tried, etc.) This way if a system gets blocked
that is legitimate, "we" can examine the evidence and see if the claims
of legitimacy are valid etc.<br>
<br>
<br>
<div class="moz-signature">
<p align="left"><font face="Times New Roman, Times, serif" size="1">
<table border="0" width="317">
  <tbody>
    <tr valigh="top">
      <td>
      <div align="center"> <a href="http://www.anteil.com"><img
 moz-do-not-send="false" src="cid:part1.09090902.07040904@anteil.com"
 alt="Anteil, Inc." border="0"></a>
      <table border="0" width="317">
        <tbody>
          <tr>
            <td colspan="3">
            <div align="center">
            <table width="270">
              <tbody>
                <tr>
                  <td>
                  <hr></td>
                </tr>
              </tbody>
            </table>
            </div>
            </td>
          </tr>
          <tr valign="top">
            <td width="134">
            <div align="right"><font color="#000000"
 face="Times New Roman, Times, serif" size="2"> <strong>Andrew M.
Lauppe<br>
            </strong> <em>Consultant</em> </font>
            </div>
            </td>
            <td width="11"><br>
            </td>
            <td width="148"><font face="Times New Roman, Times, serif"><font
 color="#666666" size="1">4051B Executive Park Dr.<br>
Harrisburg, PA 17111<br>
            <hr align="left" width="105">+1 (877) OS-LINUX x23<br>
+1 (484) 421-9919 direct </font></font></td>
          </tr>
        </tbody>
      </table>
      </div>
      </td>
    </tr>
  </tbody>
</table>
</font></p>
</div>
<br>
<br>
Darren Wiebe wrote:
<blockquote cite="mid:49BEA71B.60103@aleph-com.net" type="cite">
  <pre wrap="">JR Richardson wrote:
  </pre>
  <blockquote type="cite">
    <blockquote type="cite">
      <pre wrap="">No matter how the system is set up there should be a way to easily add
known-good IP as they relate to a particular installation.

    
      </pre>
    </blockquote>
    <pre wrap="">The Project Honey Pot looks great.

I'm not too keen on white listing though.  It would be hard to verify
an attacker's IP's that hasn't been identified as bad yet.  I'm sure
some hackers would troll the black list and try to add their IP's as
known good.  I don't think this would be some automated mechanism for
PBX server subscription, at least not yet.

I'm thinking more along the lines of a central list, updated by
community participants, to add IP's that have attacked them, with
date/time of the attack.  It would be up to the PBX admin to employ a
filter with those black listed IP's or disregard the list all
together.

Thanks

JR
 --
JR Richardson
Engineering for the Masses

_______________________________________________
--Bandwidth and Colocation Provided by <a class="moz-txt-link-freetext" href="http://www.api-digital.com">http://www.api-digital.com</a>--

asterisk-biz mailing list
To UNSUBSCRIBE or update options visit:
   <a class="moz-txt-link-freetext" href="http://lists.digium.com/mailman/listinfo/asterisk-biz">http://lists.digium.com/mailman/listinfo/asterisk-biz</a>
  
    </pre>
  </blockquote>
  <pre wrap=""><!---->This program is specific to SSH but we've been very, very happy with the 
way that the denyhosts program works.  It shares a list of ip addresses 
with a central server.  However, it's easy to add your own whitelist 
that your system uses.  I envision the same sort of functionality here.

  </pre>
</blockquote>
</body>
</html>