SecAst puede comprobar cada número de teléfono marcado contra una base de datos de números de teléfono que se sabe que están involucrados en actividades de fraude (y piratería). Las llamadas sospechosas de ser fraudulentas se pueden desconectar automáticamente y/o los dispositivos de origen se pueden bloquear de la conexión con el PBX. SecAst también puede tratar la tarifa premium y los números de costo compartido de manera diferente, ayudando a evitar llamadas a exploits de números de teléfono de fraude de día cero. La base de datos de fraude de Teliumse ha desarrollado a lo largo de muchos años y es una de las herramientas de prevención de fraude más grandes y completas disponibles tanto para los transportistas como para los usuarios finales.

SecAst puede comprobar la dirección IP de origen de cada dispositivo/agente de usuario que se conecta a la PBX contra una base de datos de direcciones IP conocidas por ser utilizadas en actividades de piratería (y fraude). SecAst también puede tratar direcciones cercanas (que pueden ser utilizadas por el mismo hacker) como sospechosas y evaluarlas en función de sus vecinos. Los dispositivos sospechosos de estar involucrados en la piratería pueden ser impedidos de hacer llamadas y / o bloqueados de conectarse a la PBX. La base de datos de direcciones IP de hackers de Teliumse ha desarrollado a lo largo de muchos años y es una de las herramientas de prevención de intrusiones específicas de PBX más grandes y completas disponibles tanto para los operadores como para los usuarios finales.

SecAst incorpora una base de datos de direcciones IPv4 e IPv6 de todo el mundo, incluyendo el continente / país / región / ciudad de cada IP. SecAst se puede configurar para permitir o denegar el acceso a cualquier combinación de estos atributos geográficos (así como un comportamiento predeterminado de “permitir / denegar”). Si un atacante intenta acceder al servidor Asterisk desde una ubicación denegada, el usuario se desconecta inmediatamente. Esto crea una cerca geográfica (o geocerca) que mantiene a los buenos dentro y a los malos fuera.

SecAst puede detectar patrones inusuales de tráfico y uso indicativos de credenciales que han sido violadas (filtradas o de alguna manera descubiertas por un atacante). Esto incluye monitorear el número de llamadas en curso, la rapidez con la que se configuran las llamadas, incluso la velocidad a la cual el usuario está marcando los dígitos. SecAst puede responder a estas actividades sospechosas bloqueando al usuario en el nivel de red y evitando cualquier otro exploit. Estos bloques pueden durar horas, días o indefinidamente.

SecAst puede aprender nuevos patrones de ataque y ajustar su detección y defensas en consecuencia. El analizador heurístico supervisa una variedad de patrones de tráfico de red y Asterisk para detectar actividad sospechosa, correlacionarlos con reglas que indican una actividad probable del atacante y, a continuación, bloquear al atacante a nivel de red evitando cualquier otro intento. Estos bloques pueden durar horas, días o indefinidamente.

SecAst puede detectar ataques de hackers que cambian constantemente y rápidamente las direcciones IP. Los hackers profesionales ahora están moviendo sus direcciones IP a través de grandes rangos de direcciones IP desde nubes, servicios VPN, subredes grandes, etc. para evitar la detección por herramientas simplistas como fail2ban o firewalls regulares. SecAst integra una colección diversa de puntos de datos para permitir la detección de hackers en el instante en que se conectan a la PBX desde una nueva dirección IP.

SecAst puede detectar ataques de fuerza bruta (intentos de obtener acceso probando varias combinaciones de nombres de usuario / contraseñas, extensiones de uso común, contraseñas de uso común, etc.). A diferencia de otros productos, SecAst puede detectar estos ataques incluso si se propagan a lo largo de muchos días (los atacantes ahora están realizando ataques “delgados” para eludir los programas de detección simplista como fail2ban) y muchas direcciones IP. SecAst puede responder a estos ataques bloqueándolos a nivel de red y evitando cualquier otro intento. Estos bloques pueden durar horas, días o indefinidamente.

SecAst monitorea todos los dígitos que se marcan y puede bloquear los intentos de llamar a números restringidos o marcar otros patrones. Aunque los planes de marcado también realizan esta función, si un servidor de Asterisk (por ejemplo: FreePBX® GUI hackeado) entonces SecAst anulará el plan de marcado y todavía bloqueará o aceptará solamente ciertos números. El reconocimiento del patrón de marcado puede hacer juego cualquier cadena de marcado y permitir o bloquear el intento de marcado basado en las reglas definidas por el administrador.

SecAst se puede instruir para confiar en troncos, puntos finales (usuarios o teléfonos) determinados, y direcciones IP de modo que estén exentos de la detección de seguridad. Esto permite a los administradores conceder acceso a usuarios o dispositivos concretos independientemente de la ubicación, los volúmenes de llamadas, etc. (que pueden ser necesarios para el personal de ventas itinerantes, los marcadores automáticos, etc.). Esto también permite a los administradores designar ciertos trunks/rutas como confiables y otros como no confiables.

SecAst supervisa el número y la velocidad de los ataques contra el servidor Asterisk y basado en los umbrales definidos por el administrador mantiene un nivel de amenaza general que enfrenta el PBX. Los cambios en el nivel de amenaza pueden desencadenar scripts personalizados, notificaciones y otras respuestas basadas en el sistema. El nivel de amenaza se integra directamente con el sistema de controlador de eventos como se indica a continuación.

Aunque SecAst puede bloquear hackers directamente en el PBX si es necesario, SecAst puede bloquear a los hackers en un firewall en el borde de la red. SecAst puede interactuar directamente con prácticamente cualquier firewall externo, ordenándolo para agregar reglas para bloquear direcciones IP, eliminar direcciones IP bloqueadas, etc. utilizando el sistema de controlador de eventos que se describe a continuación. (Para mitigar el riesgo general de piratería, los entornos PBX comerciales siempre deben bloquear a los atacantes en el borde de la red.)

Una característica que hace que SecAst sea flexible y eficaz es el sistema de controlador de eventos, que permite a los administradores enlazar cualquier programa/script en eventos generados o detectados por SecAst. Por ejemplo, los eventos relacionados con un ataque permiten a los administradores automatizar los cambios en firewalls, enrutadores, puntos de conexión SIP, reglas de plan de marcado, extensiones accesibles, etc.

Los administradores se sienten inmediatamente cómodos con la interfaz telnet simple y potente a SecAst. Toda la seguridad PBX se puede administrar y controlar desde una interfaz telnet, ya sea desde un PC, una tableta o un teléfono celular. La interfaz incluye ayuda en línea y salida de terminal fácil de usar y rica.

Los administradores experimentados y los principiantes por igual se sienten cómodos con la interfaz de navegador simple y potente (web) a SecAst. La seguridad se puede supervisar desde cualquier navegador, incluyendo un PC, una tableta o un teléfono celular. La interfaz proporciona detalles de ataques, nivel de amenaza, mapas de origen de ataques y mucho más.

Los desarrolladores apreciarán las interfaces socket, PHP y REST (Representational State Transfer) a SecAst, ya que la potencia y el control de SecAst se pueden ampliar e integrar fácilmente con otras herramientas de administración y monitoreo del sistema. El paquete de descarga incluye código de ejemplo que muestra cómo extraer datos y controlar SecAst a través de un servicio web, a través de una clase PHP y a través de la interfaz de socket.