Seguridad para Asterisk
Compara SECast con otras alternativas
SECAST
»
COMPARACIÓN
SecAst |
Fail2Ban |
Firewall | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SIP Connection Monitoring | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Credentials valid | | Breached credentials |
Diffused probes |
SIP packet structure |
User Behaviour MonitoringFraud phone number database verification |
Dialing cadence |
Simultaneous calls |
Heuristic patterns |
Network Connection MonitoringHacker database IP address verification |
SIP data transfer rate |
Clustered connection attempts |
Geographic location |
Port connection rate |
Attack ContainmentBan IP on PBX or firewall |
Override dialplan permitted patterns |
Disconnect individual calls |
Lockdown new connections |
Attack Response OrchestrationControl internal firewall |
Control external firewall |
Control external router |
Change dialplan |
Share attack data with peers |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Yes/Excellent |
Partial/Fair |
No/Poor |
Detalles de la Comparación
Los siguientes cuadros proporcionan más detalles de la evaluación y, al hacer clic en la flecha hacia abajo en la parte inferior de cada cuadro, puede ver cómo se compara SECast.
Supervisión de la conexión SIP
La supervisión de la conexión SIP describe si y cómo el sistema de seguridad monitorea el tráfico SIP que fluye a través de la PBX, y detecta las acciones o la información que pueden aumentar el riesgo de fraude o piratería. La inspección de paquetes permite que el sistema de seguridad examine los comandos que se emiten y las credenciales que se envían. Estas credenciales se pueden comparar con lo permitido por el servidor Asterisk y los comandos se pueden evaluar para determinar si son seguros y adecuados para el tipo de conexión. Además, la velocidad a la que se emiten estos comandos puede ser indicativo de piratería informática.
Los datos del SORBO se dividen en paquetes, y cada paquete tiene una estructura bien definida. La inspección profunda del paquete permite que el sistema de seguridad determine si el paquete del SORBO está malformado, y si es así, de tal manera que pueda explotar una debilidad en la pila subyacente del SORBO.
Los firewalls regulares son ajenos al contenido del tráfico relacionado con VoIP, y simplemente reenvían SIP/RTP/IAX/etc. de Internet al servidor Asterisk Una completa falta de comprensión del contenido del paquete da lugar a que los firewalls tradicionales sean poco más que enrutadores. Fail2ban no es realmente un sistema de seguridad, más bien depende completamente de Asterisk para informar de un intento de inicio de sesión fallido (y fail2ban entonces agrega la IP de origen a una lista de prohibición de iptables local).
SECast es el único producto que crea un perfil de cada usuario o dispositivo conectado, y garantiza que los comandos SIP recibidos sean seguros y apropiados. Incluso los comandos SIP normales emitidos a frecuencias inusuales pueden ser indicativos de la piratería. SECast es el único producto capaz de detectar tales patrones, detectar credenciales SIP válidas que se utilizan indebidamente, etc.
Monitoreo del comportamiento del usuario
La supervisión del comportamiento del usuario describe cómo el sistema de seguridad supervisa las acciones del usuario (por encima del nivel de protocolo VoIP). Los hackers buscarán exploits PBX marcando números que no son ni extensiones locales ni opciones de menú válidas. También pueden marcar números de teléfono a una velocidad no posible por un ser humano.
Una vez que los atacantes encuentran una debilidad en el PBX, normalmente lo explotan rápidamente para maximizar su retorno financiero antes de que se detecte o cierre la debilidad. Un aumento repentino en el número de llamadas de una extensión o a un número determinado, puede indicar piratería. Además, la secuencia de actividades que realiza un usuario puede ser atípica para el uso normal de PBX y puede indicar piratería.
Los firewalls tradicionales no supervisan el comportamiento en el nivel de usuario, y simplemente pasan los paquetes relacionados con VoIP de ida y vuelta. Fail2Ban tampoco tiene visibilidad del comportamiento del usuario (solo fail2Ban puede actuar con errores notificados por Asterisk
SecAst es el único producto que supervisa el comportamiento de cada usuario (y de hecho cada dispositivo) y crea una puntuación de riesgo basada en el comportamiento del usuario combinado con otros factores. Mientras que una acción por sí misma puede no ser suficiente para identificar un intento de piratería, la combinación de acciones detectadas por SecAst le permiten detectar y detener la piratería antes de que el atacante puede hacer mucho daño (o generar cargos de fraude masivos en su cuenta de transportista).
Supervisión de la conexión de red
La supervisión de la conexión de red se refiere al seguimiento del tráfico VoIP en el nivel de red. Puesto que todo el tráfico VoIP se mueve sobre UDP/IP, la detección de paquetes inusuales relacionados con UDP/IP puede ayudar a identificar comportamientos sospechosos. Los protocolos UDP e IP también proporcionan información considerable sobre la fuente de la conexión/ataque y su naturaleza.
Fail2Ban no tiene visibilidad en el nivel de conexión de red; sólo puede responder a los mensajes de error de Asterisk. Los firewalls tradicionales, por otro lado, sobresalen en esta área como la supervisión del tráfico de nivel UDP e IP es lo que fueron diseñados para hacer. La única debilidad de los cortafuegos tradicionales es que no son conscientes de los patrones y fuentes de la piratería específica VoIP.
SecAst combina tanto el alto nivel (usuario y SIP) con la información de tráfico de bajo nivel (UDP/IP) para proporcionar una sensibilidad sin igual a los intentos de piratería en el nivel de red. SecAst también utiliza bases de datos de direcciones IP de hackers conocidos para bloquear los intentos de conexión antes de que el atacante tenga incluso la oportunidad de comunicarse con el PBX.
Contención de ataque
La contención de ataques se refiere a lo bien que el sistema de seguridad puede detener los ataques en curso, y también prevenir futuros ataques. Si un atacante ha encontrado una debilidad en el PBX, ¿puede contenerse el daño o el atacante tiene un potencial ilimitado de daño y fraude?
Los firewalls tradicionales no tienen visibilidad de las actividades del PBX; una vez que una conexión del atacante es permitida por el firewall, entonces el atacante puede proceder sin gravar a través del firewall. Fail2Ban, por otro lado, puede prohibir la dirección IP de un atacante si Asterisk informa de un error de esa fuente IP, de lo contrario Fail2Ban no impide el progreso de un atacante.
SecAst tiene la capacidad de terminar las llamadas en curso (sin bloquear un IP) si detecta la actividad sospechosa. En el caso de que un atacante haya violado el sistema de seguridad Asterisk / generador de configuración, normalmente tiene acceso sin restricciones a números de peaje fraudulentos y servicios premium. Sin embargo, SecAst es el único producto que puede bloquear estas llamadas incluso si Asterisk (o por ejemplo FreePBX) se ha visto comprometido. SecAst también puede tomar medidas crecientes para proteger el PBX a medida que avanza un ataque incluso apagando los servicios de llamada para proteger el PBX.
Orquestación de respuesta al ataque
Orquestación de respuesta de ataque se refiere a cómo el sistema de seguridad puede ajustarse dinámicamente a un ataque en curso y coordinar los recursos internos y externos para mitigar o detener el ataque.
Fail2Ban tiene solamente una capacidad de respuesta: prohibiendo la dirección IP de origen en el nivel PBX. Los atacantes pueden quedar con acceso a la subred interna u otros servicios en el PBX. Fail2Ban no tiene capacidad para adaptar el comportamiento PBX, notificar a otros PBX del ataque, bloquear a los usuarios en el borde de la red, etc.
Los firewalls tradicionales ofrecen un paso adelante de Fail2Ban, ya que bloquean intrínsecamente los ataques en el borde de la red. Sin embargo, no tienen visibilidad o control del PBX. Como tal, sólo pueden bloquear un ataque si el ataque es detectable en el nivel de tráfico UDP/IP.
SecAst combina la visibilidad PBX con el control de dispositivos externos. Al detectar un ataque, SecAst puede ajustar el plan de marcado para restringir las acciones, cambiar las rutas para limitar el acceso a ciertos dispositivos, indicar al firewall en el borde de la red que tome ciertas acciones e incluso compartir la información del atacante con otras instalaciones de SecAst .