Sécurité pour Asterisk
Comparez SECast à d’autres solutions
SECAST
»
COMPARAISON
SecAst |
Fail2Ban |
Firewall | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SIP Connection Monitoring | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Credentials valid | | Breached credentials |
Diffused probes |
SIP packet structure |
User Behaviour MonitoringFraud phone number database verification |
Dialing cadence |
Simultaneous calls |
Heuristic patterns |
Network Connection MonitoringHacker database IP address verification |
SIP data transfer rate |
Clustered connection attempts |
Geographic location |
Port connection rate |
Attack ContainmentBan IP on PBX or firewall |
Override dialplan permitted patterns |
Disconnect individual calls |
Lockdown new connections |
Attack Response OrchestrationControl internal firewall |
Control external firewall |
Control external router |
Change dialplan |
Share attack data with peers |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Yes/Excellent |
Partial/Fair |
No/Poor |
Détails de Comparaison
Les cases suivantes fournissent des détails supplémentaires sur l’évaluation, et en cliquant sur la flèche vers le bas au bas de chaque case, vous pouvez voir comment SECast se compare.
Surveillance des connexions SIP
SIP Connection Monitoring décrit si et comment le système de sécurité surveille le trafic SIP qui circule à travers le PBX, et détecte les actions ou les informations qui peuvent augmenter le risque de fraude ou de piratage. L’inspection des paquets permet au système de sécurité d’examiner les commandes émises et les informations d’identification envoyées. Ces informations d’identification peuvent être comparées à ce qui est permis par le serveur Asterisk et les commandes peuvent être évaluées pour déterminer si elles sont sûres et appropriées pour le type de connexion. De plus, la vitesse à laquelle ces commandes sont émises peut être révélatrice du piratage.
Les données SIP sont divisées en paquets, et chaque paquet a une structure bien définie. L’inspection approfondie des paquets permet au système de sécurité de déterminer si le paquet SIP est mal formé, et si oui, de manière à exploiter une faiblesse de la pile SIP sous-jacente.
Les pare-feu réguliers sont inconscients du contenu du trafic lié à la VoIP, et il suffit d’avancer SIP/RTP/IAX/etc. d’Internet au serveur Asterisk Un manque total de compréhension du contenu des paquets n’entraîne guère plus que les routeurs les pare-feu traditionnels. Fail2ban n’est en fait pas un système de sécurité, il dépend plutôt complètement Asterisk pour signaler une tentative de connexion a échoué (et fail2ban ajoute ensuite la source IP à une liste locale d’interdiction iptables).
SECast est le seul produit qui crée un profil de chaque utilisateur ou appareil connecté, et garantit que les commandes SIP reçues sont sûres et appropriées. Même les commandes normales de SIP émises à des fréquences inhabituelles peuvent être indicatives du piratage. SECast est le seul produit capable de détecter de tels modèles, de détecter l’utilisation abusive d’informations d’identification SIP valides, etc.
Surveillance du comportement de l’utilisateur
La surveillance du comportement de l’utilisateur décrit comment le système de sécurité surveille les actions de l’utilisateur (au-dessus du niveau de protocole VoIP). Les pirates chercheront les exploits PBX en composant des numéros qui ne sont ni des extensions locales ni des options de menu valides. Ils peuvent également composer des numéros de téléphone à un taux qui n’est pas possible par un être humain.
Une fois que les attaquants trouvent une faiblesse dans le PBX, ils l’exploitent généralement rapidement pour maximiser leur rendement financier avant que la faiblesse ne soit détectée ou fermée. Une augmentation soudaine du nombre d’appels d’une extension ou d’un nombre particulier peut indiquer le piratage. En outre, la séquence des activités qu’un utilisateur effectue peut être atypique pour l’utilisation normale de PBX et peut indiquer le piratage.
Les pare-feu traditionnels ne surveillent pas le comportement au niveau de l’utilisateur, et passent simplement les paquets liés à la VoIP d’avant en arrière. Fail2Ban n’a pas non plus de visibilité sur le comportement de l’utilisateur (seules les erreurs signalées par Asterisk peuvent être jouées par Fail2Ban).
SecAst est le seul produit qui surveille le comportement de chaque utilisateur (et en fait chaque appareil) et crée un score de risque basé sur le comportement de l’utilisateur combiné avec d’autres facteurs. Bien qu’une action à elle seule peut ne pas être suffisante pour identifier une tentative de piratage, la combinaison d’actions détectées par SecAst lui permettent de détecter et d’arrêter le piratage avant que l’attaquant peut faire beaucoup de mal (ou générer des frais de fraude massive sur votre compte transporteur).
Surveillance de la connexion réseau
La surveillance des connexions réseau fait référence au suivi du trafic VoIP au niveau du réseau. Étant donné que tout le trafic VoIP se déplace sur UDP/IP, la détection de paquets inhabituels liés à l’UDP/IP peut aider à identifier les comportements suspects. Les protocoles UDP et IP fournissent également des informations considérables sur la source de la connexion/attaque et sa nature.
Fail2Ban n’a aucune visibilité au niveau de la connexion réseau ; il ne peut répondre qu’aux messages d’erreur Asterisk. Pare-feu traditionnels, d’autre part, excellent dans ce domaine que la surveillance UDP et le trafic au niveau ip est ce qu’ils ont été conçus pour faire. La seule faiblesse des pare-feu traditionnels est qu’ils ne sont pas conscients des modèles et des sources de piratage spécifique VoIP.
SecAst combine à la fois des informations de trafic de haut niveau (utilisateur et SIP) avec des informations de trafic de faible niveau (UDP/IP) pour fournir une sensibilité inégalée aux tentatives de piratage au niveau du réseau. SecAst utilise également des bases de données d’adresses IP pirates connues pour bloquer les tentatives de connexion avant même que l’attaquant n’ait la possibilité de communiquer avec le PBX.
Confinement d’attaque
Le confinement des attaques fait référence à la mesure dans laquelle le système de sécurité peut arrêter les attaques en cours et aussi prévenir de futures attaques. Si un attaquant a trouvé une faiblesse dans le PBX, les dommages peuvent-ils être contenus ou l’attaquant a-t-il un risque illimité de préjudice et de fraude ?
Les pare-feu traditionnels n’ont aucune visibilité sur les activités du PBX; une fois qu’une connexion de l’attaquant est autorisée par le pare-feu, l’attaquant peut procéder sans encombre à travers le pare-feu. Fail2Ban, d’autre part, peut interdire l’adresse IP d’un attaquant si Asterisk signale une erreur de cette source IP, sinon Fail2Ban n’entrave pas la progression d’un attaquant.
SecAst a la possibilité de mettre fin aux appels en cours (sans bloquer une adresse IP) si elle détecte une activité suspecte. Dans le cas où un attaquant a violé le système de sécurité Asterisk / générateur de configuration, il / elle a normalement un accès illimité à des numéros de péage frauduleux et des services premium. Cependant, SecAst est le seul produit qui peut bloquer ces appels même si Asterisk (ou par exemple FreePBX) a été compromis. SecAst peut également prendre des mesures croissantes pour protéger le PBX au fur et à mesure qu’une attaque progresse, même en fermant les services d’appels pour protéger le PBX.
Orchestration de réponse d’attaque
Attack Response Orchestration se réfère à la façon dont le système de sécurité peut s’adapter dynamiquement à une attaque en cours, et coordonner les ressources internes et externes pour atténuer ou arrêter l’attaque.
Fail2Ban n’a qu’une seule capacité de réponse : interdire l’adresse IP source au niveau PBX. Les attaquants peuvent avoir accès au sous-réseau interne ou à d’autres services sur le PBX. Fail2Ban n’a pas la capacité d’adapter le comportement PBX, d’aviser d’autres PBX de l’attaque, de bloquer les utilisateurs au bord du réseau, etc.
Les pare-feu traditionnels offrent un pas en avant de Fail2Ban car ils bloquent intrinsèquement les attaques au bord du réseau. Cependant, ils n’ont aucune visibilité sur le PBX ni le contrôle. En tant que tels, ils ne peuvent bloquer une attaque que si l’attaque est détectable au niveau du trafic UDP/IP.
SecAst allie la visibilité PBX au contrôle des périphériques externes. Lors de la détection d’une attaque SecAst peut ajuster le cadran pour restreindre les actions, changer les itinéraires pour limiter l’accès à certains appareils, instruire le pare-feu au bord du réseau pour prendre certaines mesures, et même partager les informations de l’attaquant avec d’autres installations SecAst