Sicherheit für Asterisk
Vergleichen Sie SECast mit Alternativen
SECAST
»
VERGLEICH
SecAst |
Fail2Ban |
Firewall | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SIP Connection Monitoring | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Credentials valid | Breached credentials |
Diffused probes |
SIP packet structure |
User Behaviour MonitoringFraud phone number database verification |
Dialing cadence |
Simultaneous calls |
Heuristic patterns |
Network Connection MonitoringHacker database IP address verification |
SIP data transfer rate |
Clustered connection attempts |
Geographic location |
Port connection rate |
Attack ContainmentBan IP on PBX or firewall |
Override dialplan permitted patterns |
Disconnect individual calls |
Lockdown new connections |
Attack Response OrchestrationControl internal firewall |
Control external firewall |
Control external router |
Change dialplan |
Share attack data with peers |
|
Yes/Excellent |
Partial/Fair |
No/Poor |
Vergleichsdetails
Die folgenden Felder enthalten weitere Bewertungsdetails, und wenn Sie auf den Pfeil nach unten am unteren Rand jedes Feldes klicken, können Sie sehen, wie SECast im Vergleich abschneidet.
SIP-Verbindungsüberwachung
Sip Connection Monitoring beschreibt, ob und wie das Sicherheitssystem den SIP-Datenverkehr überwacht, der durch die Telefonanlage fließt, und erkennt Aktionen oder Informationen, die das Risiko von Betrug oder Hacking erhöhen können. Mit der Paketprüfung kann das Sicherheitssystem die ausgegebenen Befehle und alle gesendeten Anmeldeinformationen überprüfen. Diese Anmeldeinformationen können mit dem verglichen werden, was vom Asterisk zulässig ist, und Befehle können ausgewertet werden, um festzustellen, ob sie sicher und für den Verbindungstyp geeignet sind. Auch die Rate, mit der diese Befehle ausgegeben werden, kann auf Hacking hinweisen.
SIP-Daten sind in Pakete unterteilt, und jedes Paket hat eine gut definierte Struktur. Mit der Tiefenpaketprüfung kann das Sicherheitssystem feststellen, ob das SIP-Paket falsch formatiert ist, und wenn ja, so, dass eine Schwachstelle im zugrunde liegenden SIP-Stack ausgenutzt werden kann.
Regelmäßige Firewalls sind sich des Inhalts des VoIP-bezogenen Datenverkehrs nicht bewusst und leiten SIP/RTP/IAX/etc. einfach weiter. vom Internet auf den Asterisk Ein völliges Unverständnis des Paketinhalts führt dazu, dass herkömmliche Firewalls nicht viel mehr sind als Router. Fail2ban ist eigentlich kein Sicherheitssystem, sondern es hängt vollständig von Asterisk ab, um einen fehlgeschlagenen Anmeldeversuch zu melden (und fail2ban fügt dann die Quell-IP zu einer lokalen iptables-Bannliste hinzu).
SECast ist das einzige Produkt, das ein Profil jedes Benutzers oder angeschlossenen Geräts erstellt und sicherstellt, dass die empfangenen SIP-Befehle sicher und angemessen sind. Selbst normale SIP-Befehle, die mit ungewöhnlichen Frequenzen ausgegeben werden, können auf Hacking hinweisen. SECast ist das einzige Produkt, das in der Lage ist, solche Muster zu erkennen, gültige SIP-Anmeldeinformationen zu erkennen, die missbraucht werden, usw.
Überwachung des Benutzerverhaltens
Die Überwachung des Benutzerverhaltens beschreibt, wie das Sicherheitssystem die Aktionen des Benutzers überwacht (über der VoIP-Protokollebene). Hacker werden PBX-Exploits suchen, indem sie Nummern wählen, die weder lokale Erweiterungen noch gültige Menüoptionen sind. Sie können auch Telefonnummern mit einer Rate wählen, die von einem Menschen nicht möglich ist.
Sobald Angreifer eine Schwachstelle in der Nebenstellenanlage finden, nutzen sie sie in der Regel schnell aus, um ihre finanzielle Rendite zu maximieren, bevor die Schwachstelle erkannt oder geschlossen wird. Ein plötzlicher Anstieg der Anzahl der Anrufe von einer Durchwahl oder einer bestimmten Nummer kann auf Hacking hinweisen. Außerdem kann die Abfolge der Aktivitäten, die ein Benutzer ausführt, für die normale PBX-Nutzung untypisch sein und auf Hackerangriffe hinweisen.
Herkömmliche Firewalls überwachen das Verhalten auf Benutzerebene nicht und übergeben einfach VoIP-bezogene Pakete hin und her. Fail2Ban hat auch keinen Einblick in das Verhalten des Benutzers (nur von Asterisk gemeldete Fehler können von Fail2Ban betätigt werden).
SecAst ist das einzige Produkt, das das Verhalten jedes Benutzers (und in der Tat jedes Geräts) überwacht und eine Risikobewertung basierend auf dem Verhalten des Benutzers in Kombination mit anderen Faktoren erstellt. Obwohl eine Aktion allein möglicherweise nicht ausreicht, um einen Hacking-Versuch zu identifizieren, ermöglicht die Kombination von Aktionen, die von SecAst erkannt werden, es, Hacker zu erkennen und zu stoppen, bevor der Angreifer viel Schaden anrichten kann (oder massive Betrugsgebühren auf Ihrem Trägerkonto generieren kann).
Netzwerkverbindungsüberwachung
Die Überwachung der Netzwerkverbindung bezieht sich auf die Verfolgung des VoIP-Datenverkehrs auf Netzwerkebene. Da sich der gesamte VoIP-Datenverkehr über UDP/IP bewegt, kann die Erkennung ungewöhnlicher UDP/IP-pakete dazu beitragen, verdächtige Verhaltensweisen zu identifizieren. Die UDP- und IP-Protokolle liefern auch umfangreiche Informationen über die Quelle der Verbindung/den Angriff und ihre Art.
Fail2Ban hat keine Sichtbarkeit auf Netzwerkverbindungsebene. Es kann nur auf Fehlermeldungen von Asteriskreagieren. Herkömmliche Firewalls hingegen zeichnen sich in diesem Bereich dadurch aus, dass die Überwachung des UDP- und IP-Level-Datenverkehrs das ist, wofür sie entwickelt wurden. Die einzige Schwäche herkömmlicher Firewalls ist, dass sie sich der Muster und Quellen von VoIP-spezifischen Hackerangriffen nicht bewusst sind.
SecAst kombiniert sowohl High-Level -Datenverkehrsinformationen (Benutzer und SIP) mit DATENVERKEHRsinformationen auf niedriger Ebene (UDP/IP), um eine unübertroffene Empfindlichkeit für Hacking-Versuche auf Netzwerkebene zu bieten. SecAst verwendet auch Datenbanken mit bekannten Hacker-IP-Adressen, um Verbindungsversuche zu blockieren, bevor der Angreifer überhaupt die Möglichkeit hat, mit der Nebenstellenanlage zu kommunizieren.
Angriffseindämmung
Die Angriffsabwehr bezieht sich darauf, wie gut das Sicherheitssystem laufende Angriffe stoppen und auch zukünftige Angriffe verhindern kann. Wenn ein Angreifer eine Schwachstelle in der Telefonanlage gefunden hat, kann der Schaden eingedämmt werden oder hat der Angreifer unbegrenztes Schadens- und Betrugspotenzial?
Herkömmliche Firewalls haben keinen Einblick in die Aktivitäten der Nebenstellenanlage; Sobald eine Verbindung des Angreifers durch die Firewall zugelassen ist, kann der Angreifer unbelastet durch die Firewall gehen. Fail2Ban hingegen kann die IP-Adresse eines Angreifers sperren, wenn Asterisk einen Fehler aus dieser IP-Quelle meldet, da Fail2Ban andernfalls den Fortschritt eines Angreifers nicht behindert.
SecAst kann laufende Anrufe beenden (ohne eine IP zu blockieren), wenn verdächtige Aktivitäten erkannt werden. In dem Fall, in dem ein Angreifer das Sicherheitssystem Asterisk verletzt hat, hat er in der Regel uneingeschränkten Zugriff auf betrügerische Mautnummern und Premium-Dienste. SecAst ist jedoch das einzige Produkt, das diese Aufrufe blockieren kann, auch wenn Asterisk (oder z. B. FreePBX) kompromittiert wurde. SecAst kann auch zunehmend Maßnahmen ergreifen, um die Nebenstellenanlage zu schützen, da ein Angriff fortschreitet, sogar Anrufdienste herunterzufahren, um die Nebenstellenanlage zu schützen.
Angriffsreaktionsorchestrierung
Die Angriffsreaktionsorchestrierung bezieht sich darauf, wie sich das Sicherheitssystem dynamisch an einen laufenden Angriff anpassen und interne und externe Ressourcen koordinieren kann, um den Angriff zu verringern oder zu stoppen.
Fail2Ban verfügt nur über eine Antwortfunktion: Das Verbot der Quell-IP-Adresse auf PBX-Ebene. Angreifern kann der Zugriff auf das interne Subnetz oder andere Dienste auf der Nebenstellenanlage überlassen werden. Fail2Ban hat keine Möglichkeit, das Verhalten der Nebenstellenanlage anzupassen, andere PBX-Anlagen über den Angriff zu informieren, Benutzer am Netzwerkrand zu blockieren usw.
Herkömmliche Firewalls bieten einen Schritt nach oben von Fail2Ban, da sie Angriffe am Netzwerkrand von Natur aus blockieren. Sie haben jedoch keinen Einblick in die Telefonanlage oder kontrolledarüber, die die Telefonanlage kontrolliert. Daher können sie einen Angriff nur blockieren, wenn der Angriff auf der UDP/IP-Datenverkehrsebene erkannt werden kann.
SecAst verbindet die Sichtbarkeit der Nebenstellenanlage mit der Steuerung externer Geräte. Beim Erkennen eines Angriffs kann SecAst den Wählplan anpassen, um Aktionen einzuschränken, Routen zu ändern, um den Zugriff auf bestimmte Geräte einzuschränken, die Firewall am Netzwerkrand anzuweisen, bestimmte Aktionen auszuführen, und sogar die Angreiferinformationen für andere SecAst freigeben.