Seguridad para Asterisk

Comparar SecAst con alternativas

SECAST

»

COMPARACIÓN

Visión General
Beneficios
Caracteristicas
Tecnología
Testimonios
Capturas
Videos
Ediciones
Preguntas
Comparación
Descargar
Precios / Comprar
Foros
Licencia

comparison

 
SecAst
Fail2Ban
Cortafuegos

Supervisión de la conexión SIP

Credenciales válidas
Credenciales violadas
Sondas difusas
Estructura de paquetes SIP

Supervisión del comportamiento del usuario

Verificación de la base de datos de números de teléfono de fraude
Cadencia de marcado
Llamadas simultáneas
Patrones heurísticos

Supervisión de la conexión de red

Verificación de la dirección IP de la base de datos de hackers
Tasa de transferencia de datos SIP
Intentos de conexión en clúster
Ubicación geográfica
Tasa de conexión del puerto

Contención de ataques

Prohibir IP en PBX o firewall
Anular los patrones permitidos del plan de marcado
Desconectar llamadas individuales
Bloquear nuevas conexiones

Orquestación de respuesta a ataques

Controlar el firewall interno
Controlar el firewall externo
Controlar enrutador externo
Cambiar plan de marcado
Comparta datos de ataques con compañeros
Yes/Excellent
Partial/Fair
No/Poor

Detalles de la Comparación

Los cuadros siguientes proporcionan más detalles de evaluación y, al hacer clic en la flecha hacia abajo en la parte inferior de cada cuadro, puede ver cómo se compara SecAst.

Supervisión de la conexión SIP

La supervisión de la conexión SIP describe si y cómo el sistema de seguridad monitorea el tráfico SIP que fluye a través de la PBX, y detecta las acciones o la información que pueden aumentar el riesgo de fraude o piratería. La inspección de paquetes permite que el sistema de seguridad examine los comandos que se emiten y las credenciales que se envían. Estas credenciales se pueden comparar con lo permitido por el servidor Asterisk y los comandos se pueden evaluar para determinar si son seguros y adecuados para el tipo de conexión. Además, la velocidad a la que se emiten estos comandos puede ser indicativo de piratería informática.

Los datos del SORBO se dividen en paquetes, y cada paquete tiene una estructura bien definida. La inspección profunda del paquete permite que el sistema de seguridad determine si el paquete del SORBO está malformado, y si es así, de tal manera que pueda explotar una debilidad en la pila subyacente del SORBO.

Los firewalls regulares son ajenos al contenido del tráfico relacionado con VoIP, y simplemente reenvían SIP/RTP/IAX/etc. de Internet al servidor Asterisk Una completa falta de comprensión del contenido del paquete da lugar a que los firewalls tradicionales sean poco más que enrutadores. Fail2ban no es realmente un sistema de seguridad, más bien depende completamente de Asterisk para informar de un intento de inicio de sesión fallido (y fail2ban entonces agrega la IP de origen a una lista de prohibición de iptables local).

SecAst es el único producto que crea un perfil de cada usuario o dispositivo conectado, y garantiza que los comandos SIP recibidos sean seguros y apropiados. Incluso los comandos SIP normales emitidos a frecuencias inusuales pueden ser indicativos de la piratería. SecAst es el único producto capaz de detectar tales patrones, detectar credenciales SIP válidas que se están utilizando incorrectamente, etc.

Monitoreo del comportamiento del usuario

La supervisión del comportamiento del usuario describe cómo el sistema de seguridad supervisa las acciones del usuario (por encima del nivel de protocolo VoIP). Los hackers buscarán exploits PBX marcando números que no son ni extensiones locales ni opciones de menú válidas. También pueden marcar números de teléfono a una velocidad no posible por un ser humano.

Una vez que los atacantes encuentran una debilidad en el PBX, normalmente lo explotan rápidamente para maximizar su retorno financiero antes de que se detecte o cierre la debilidad. Un aumento repentino en el número de llamadas de una extensión o a un número determinado, puede indicar piratería. Además, la secuencia de actividades que realiza un usuario puede ser atípica para el uso normal de PBX y puede indicar piratería.

Los firewalls tradicionales no supervisan el comportamiento en el nivel de usuario, y simplemente pasan los paquetes relacionados con VoIP de ida y vuelta. Fail2Ban tampoco tiene visibilidad del comportamiento del usuario (solo fail2Ban puede actuar con errores notificados por Asterisk

SecAst es el único producto que supervisa el comportamiento de cada usuario (y de hecho cada dispositivo) y crea una puntuación de riesgo basada en el comportamiento del usuario combinado con otros factores. Mientras que una acción por sí misma puede no ser suficiente para identificar un intento de piratería, la combinación de acciones detectadas por SecAst le permiten detectar y detener la piratería antes de que el atacante puede hacer mucho daño (o generar cargos de fraude masivos en su cuenta de transportista).

Supervisión de la conexión de red

La supervisión de la conexión de red se refiere al seguimiento del tráfico VoIP en el nivel de red. Puesto que todo el tráfico VoIP se mueve sobre UDP/IP, la detección de paquetes inusuales relacionados con UDP/IP puede ayudar a identificar comportamientos sospechosos. Los protocolos UDP e IP también proporcionan información considerable sobre la fuente de la conexión/ataque y su naturaleza.

Fail2Ban no tiene visibilidad en el nivel de conexión de red; sólo puede responder a los mensajes de error de Asterisk. Los firewalls tradicionales, por otro lado, sobresalen en esta área como la supervisión del tráfico de nivel UDP e IP es lo que fueron diseñados para hacer. La única debilidad de los cortafuegos tradicionales es que no son conscientes de los patrones y fuentes de la piratería específica VoIP.

SecAst combina tanto el alto nivel (usuario y SIP) con la información de tráfico de bajo nivel (UDP/IP) para proporcionar una sensibilidad sin igual a los intentos de piratería en el nivel de red. SecAst también utiliza bases de datos de direcciones IP de hackers conocidos para bloquear los intentos de conexión antes de que el atacante tenga incluso la oportunidad de comunicarse con el PBX.

Contención de ataque

La contención de ataques se refiere a lo bien que el sistema de seguridad puede detener los ataques en curso, y también prevenir futuros ataques. Si un atacante ha encontrado una debilidad en el PBX, ¿puede contenerse el daño o el atacante tiene un potencial ilimitado de daño y fraude?

Los firewalls tradicionales no tienen visibilidad de las actividades del PBX; una vez que una conexión del atacante es permitida por el firewall, entonces el atacante puede proceder sin gravar a través del firewall. Fail2Ban, por otro lado, puede prohibir la dirección IP de un atacante si Asterisk informa de un error de esa fuente IP, de lo contrario Fail2Ban no impide el progreso de un atacante.

SecAst tiene la capacidad de terminar las llamadas en curso (sin bloquear un IP) si detecta la actividad sospechosa. En el caso de que un atacante haya violado el sistema de seguridad Asterisk / generador de configuración, normalmente tiene acceso sin restricciones a números de peaje fraudulentos y servicios premium. Sin embargo, SecAst es el único producto que puede bloquear estas llamadas incluso si Asterisk (o por ejemplo FreePBX) se ha visto comprometido. SecAst también puede tomar medidas crecientes para proteger el PBX a medida que avanza un ataque incluso apagando los servicios de llamada para proteger el PBX.

Orquestación de respuesta al ataque

Orquestación de respuesta de ataque se refiere a cómo el sistema de seguridad puede ajustarse dinámicamente a un ataque en curso y coordinar los recursos internos y externos para mitigar o detener el ataque.

Fail2Ban tiene solamente una capacidad de respuesta: prohibiendo la dirección IP de origen en el nivel PBX. Los atacantes pueden quedar con acceso a la subred interna u otros servicios en el PBX. Fail2Ban no tiene capacidad para adaptar el comportamiento PBX, notificar a otros PBX del ataque, bloquear a los usuarios en el borde de la red, etc.

Los firewalls tradicionales ofrecen un paso adelante de Fail2Ban, ya que bloquean intrínsecamente los ataques en el borde de la red. Sin embargo, no tienen visibilidad o control del PBX. Como tal, sólo pueden bloquear un ataque si el ataque es detectable en el nivel de tráfico UDP/IP.

SecAst combina la visibilidad PBX con el control de dispositivos externos. Al detectar un ataque, SecAst puede ajustar el plan de marcado para restringir las acciones, cambiar las rutas para limitar el acceso a ciertos dispositivos, indicar al firewall en el borde de la red que tome ciertas acciones e incluso compartir la información del atacante con otras instalaciones de SecAst .