Seguridad para Asterisk

Compara SECast con otras alternativas

SECAST

»

COMPARACIÓN

 
SecAst
Fail2Ban
Firewall

SIP Connection Monitoring

Credentials valid
Breached credentials
Diffused probes
SIP packet structure

User Behaviour Monitoring

Fraud phone number database verification
Dialing cadence
Simultaneous calls
Heuristic patterns

Network Connection Monitoring

Hacker database IP address verification
SIP data transfer rate
Clustered connection attempts
Geographic location
Port connection rate

Attack Containment

Ban IP on PBX or firewall
Override dialplan permitted patterns
Disconnect individual calls
Lockdown new connections

Attack Response Orchestration

Control internal firewall
Control external firewall
Control external router
Change dialplan
Share attack data with peers
Yes/Excellent
Partial/Fair
No/Poor

Detalles de la Comparación

Los siguientes cuadros proporcionan más detalles de la evaluación y, al hacer clic en la flecha hacia abajo en la parte inferior de cada cuadro, puede ver cómo se compara SECast.

Los firewalls regulares son ajenos al contenido del tráfico relacionado con VoIP, y simplemente reenvían SIP/RTP/IAX/etc. de Internet al servidor Asterisk Una completa falta de comprensión del contenido del paquete da lugar a que los firewalls tradicionales sean poco más que enrutadores. Fail2ban no es realmente un sistema de seguridad, más bien depende completamente de Asterisk para informar de un intento de inicio de sesión fallido (y fail2ban entonces agrega la IP de origen a una lista de prohibición de iptables local).

SECast es el único producto que crea un perfil de cada usuario o dispositivo conectado, y garantiza que los comandos SIP recibidos sean seguros y apropiados. Incluso los comandos SIP normales emitidos a frecuencias inusuales pueden ser indicativos de la piratería. SECast es el único producto capaz de detectar tales patrones, detectar credenciales SIP válidas que se utilizan indebidamente, etc.

Los firewalls tradicionales no supervisan el comportamiento en el nivel de usuario, y simplemente pasan los paquetes relacionados con VoIP de ida y vuelta. Fail2Ban tampoco tiene visibilidad del comportamiento del usuario (solo fail2Ban puede actuar con errores notificados por Asterisk

SecAst es el único producto que supervisa el comportamiento de cada usuario (y de hecho cada dispositivo) y crea una puntuación de riesgo basada en el comportamiento del usuario combinado con otros factores. Mientras que una acción por sí misma puede no ser suficiente para identificar un intento de piratería, la combinación de acciones detectadas por SecAst le permiten detectar y detener la piratería antes de que el atacante puede hacer mucho daño (o generar cargos de fraude masivos en su cuenta de transportista).

Fail2Ban no tiene visibilidad en el nivel de conexión de red; sólo puede responder a los mensajes de error de Asterisk. Los firewalls tradicionales, por otro lado, sobresalen en esta área como la supervisión del tráfico de nivel UDP e IP es lo que fueron diseñados para hacer. La única debilidad de los cortafuegos tradicionales es que no son conscientes de los patrones y fuentes de la piratería específica VoIP.

SecAst combina tanto el alto nivel (usuario y SIP) con la información de tráfico de bajo nivel (UDP/IP) para proporcionar una sensibilidad sin igual a los intentos de piratería en el nivel de red. SecAst también utiliza bases de datos de direcciones IP de hackers conocidos para bloquear los intentos de conexión antes de que el atacante tenga incluso la oportunidad de comunicarse con el PBX.

Los firewalls tradicionales no tienen visibilidad de las actividades del PBX; una vez que una conexión del atacante es permitida por el firewall, entonces el atacante puede proceder sin gravar a través del firewall. Fail2Ban, por otro lado, puede prohibir la dirección IP de un atacante si Asterisk informa de un error de esa fuente IP, de lo contrario Fail2Ban no impide el progreso de un atacante.

SecAst tiene la capacidad de terminar las llamadas en curso (sin bloquear un IP) si detecta la actividad sospechosa. En el caso de que un atacante haya violado el sistema de seguridad Asterisk / generador de configuración, normalmente tiene acceso sin restricciones a números de peaje fraudulentos y servicios premium. Sin embargo, SecAst es el único producto que puede bloquear estas llamadas incluso si Asterisk (o por ejemplo FreePBX) se ha visto comprometido. SecAst también puede tomar medidas crecientes para proteger el PBX a medida que avanza un ataque incluso apagando los servicios de llamada para proteger el PBX.

Fail2Ban tiene solamente una capacidad de respuesta: prohibiendo la dirección IP de origen en el nivel PBX. Los atacantes pueden quedar con acceso a la subred interna u otros servicios en el PBX. Fail2Ban no tiene capacidad para adaptar el comportamiento PBX, notificar a otros PBX del ataque, bloquear a los usuarios en el borde de la red, etc.

Los firewalls tradicionales ofrecen un paso adelante de Fail2Ban, ya que bloquean intrínsecamente los ataques en el borde de la red. Sin embargo, no tienen visibilidad o control del PBX. Como tal, sólo pueden bloquear un ataque si el ataque es detectable en el nivel de tráfico UDP/IP.

SecAst combina la visibilidad PBX con el control de dispositivos externos. Al detectar un ataque, SecAst puede ajustar el plan de marcado para restringir las acciones, cambiar las rutas para limitar el acceso a ciertos dispositivos, indicar al firewall en el borde de la red que tome ciertas acciones e incluso compartir la información del atacante con otras instalaciones de SecAst .