Sécurité pour Asterisk

Comparez SecAst aux alternatives

SECAST

»

COMPARAISON

Aperçu
Avantages
Traits
Technologie
Témoignages
Captures
Vidéos
Éditions
Question
Comparaison
Télécharger
Prix ​​/ Achat
Forums
License

comparison

 
SecAst
Fail2Ban
Pare-feu

Surveillance de la connexion SIP

Identifiants valides
Identifiants violés
Sondes diffuses
Structure des paquets SIP

Surveillance du comportement des utilisateurs

Vérification de la base de données des numéros de téléphone frauduleux
Cadence de numérotation
Appels simultanés
Modèles heuristiques

Surveillance de la connexion réseau

Vérification de l'adresse IP de la base de données de piratage
Taux de transfert de données SIP
Tentatives de connexion en cluster
Position géographique
Taux de connexion au port

Confinement d'attaque

Interdire IP sur PBX ou pare-feu
Remplacer les modèles autorisés du plan de numérotation
Déconnecter les appels individuels
Verrouiller les nouvelles connexions

Orchestration des réponses aux attaques

Contrôler le pare-feu interne
Contrôler le pare-feu externe
Contrôler le routeur externe
Changer de plan de numérotation
Partagez les données d'attaque avec vos pairs
Yes/Excellent
Partial/Fair
No/Poor

Détails de Comparaison

Les cases suivantes fournissent d’autres détails d’évaluation, et en cliquant sur la flèche vers le bas au bas de chaque boîte, vous pouvez voir comment SecAst compare.

Surveillance des connexions SIP

SIP Connection Monitoring décrit si et comment le système de sécurité surveille le trafic SIP qui circule à travers le PBX, et détecte les actions ou les informations qui peuvent augmenter le risque de fraude ou de piratage. L’inspection des paquets permet au système de sécurité d’examiner les commandes émises et les informations d’identification envoyées. Ces informations d’identification peuvent être comparées à ce qui est permis par le serveur Asterisk et les commandes peuvent être évaluées pour déterminer si elles sont sûres et appropriées pour le type de connexion. De plus, la vitesse à laquelle ces commandes sont émises peut être révélatrice du piratage.

Les données SIP sont divisées en paquets, et chaque paquet a une structure bien définie. L’inspection approfondie des paquets permet au système de sécurité de déterminer si le paquet SIP est mal formé, et si oui, de manière à exploiter une faiblesse de la pile SIP sous-jacente.

Les pare-feu réguliers sont inconscients du contenu du trafic lié à la VoIP, et il suffit d’avancer SIP/RTP/IAX/etc. d’Internet au serveur Asterisk Un manque total de compréhension du contenu des paquets n’entraîne guère plus que les routeurs les pare-feu traditionnels. Fail2ban n’est en fait pas un système de sécurité, il dépend plutôt complètement Asterisk pour signaler une tentative de connexion a échoué (et fail2ban ajoute ensuite la source IP à une liste locale d’interdiction iptables).

SecAst est le seul produit qui construit un profil de chaque utilisateur ou appareil connecté, et s’assure que les commandes SIP reçues sont sûres et appropriées. Même les commandes normales de SIP émises à des fréquences inhabituelles peuvent être indicatives du piratage. SecAst est le seul produit capable de détecter de tels modèles, de détecter les informations d’identification SIP valides utilisées à mauvais escient, etc.

Surveillance du comportement de l’utilisateur

La surveillance du comportement de l’utilisateur décrit comment le système de sécurité surveille les actions de l’utilisateur (au-dessus du niveau de protocole VoIP). Les pirates chercheront les exploits PBX en composant des numéros qui ne sont ni des extensions locales ni des options de menu valides. Ils peuvent également composer des numéros de téléphone à un taux qui n’est pas possible par un être humain.

Une fois que les attaquants trouvent une faiblesse dans le PBX, ils l’exploitent généralement rapidement pour maximiser leur rendement financier avant que la faiblesse ne soit détectée ou fermée. Une augmentation soudaine du nombre d’appels d’une extension ou d’un nombre particulier peut indiquer le piratage. En outre, la séquence des activités qu’un utilisateur effectue peut être atypique pour l’utilisation normale de PBX et peut indiquer le piratage.

Les pare-feu traditionnels ne surveillent pas le comportement au niveau de l’utilisateur, et passent simplement les paquets liés à la VoIP d’avant en arrière. Fail2Ban n’a pas non plus de visibilité sur le comportement de l’utilisateur (seules les erreurs signalées par Asterisk peuvent être jouées par Fail2Ban).

SecAst est le seul produit qui surveille le comportement de chaque utilisateur (et en fait chaque appareil) et crée un score de risque basé sur le comportement de l’utilisateur combiné avec d’autres facteurs. Bien qu’une action à elle seule peut ne pas être suffisante pour identifier une tentative de piratage, la combinaison d’actions détectées par SecAst lui permettent de détecter et d’arrêter le piratage avant que l’attaquant peut faire beaucoup de mal (ou générer des frais de fraude massive sur votre compte transporteur).

Surveillance de la connexion réseau

La surveillance des connexions réseau fait référence au suivi du trafic VoIP au niveau du réseau. Étant donné que tout le trafic VoIP se déplace sur UDP/IP, la détection de paquets inhabituels liés à l’UDP/IP peut aider à identifier les comportements suspects. Les protocoles UDP et IP fournissent également des informations considérables sur la source de la connexion/attaque et sa nature.

Fail2Ban n’a aucune visibilité au niveau de la connexion réseau ; il ne peut répondre qu’aux messages d’erreur Asterisk. Pare-feu traditionnels, d’autre part, excellent dans ce domaine que la surveillance UDP et le trafic au niveau ip est ce qu’ils ont été conçus pour faire. La seule faiblesse des pare-feu traditionnels est qu’ils ne sont pas conscients des modèles et des sources de piratage spécifique VoIP.

SecAst combine à la fois des informations de trafic de haut niveau (utilisateur et SIP) avec des informations de trafic de faible niveau (UDP/IP) pour fournir une sensibilité inégalée aux tentatives de piratage au niveau du réseau. SecAst utilise également des bases de données d’adresses IP pirates connues pour bloquer les tentatives de connexion avant même que l’attaquant n’ait la possibilité de communiquer avec le PBX.

Confinement d’attaque

Le confinement des attaques fait référence à la mesure dans laquelle le système de sécurité peut arrêter les attaques en cours et aussi prévenir de futures attaques. Si un attaquant a trouvé une faiblesse dans le PBX, les dommages peuvent-ils être contenus ou l’attaquant a-t-il un risque illimité de préjudice et de fraude ?

Les pare-feu traditionnels n’ont aucune visibilité sur les activités du PBX; une fois qu’une connexion de l’attaquant est autorisée par le pare-feu, l’attaquant peut procéder sans encombre à travers le pare-feu. Fail2Ban, d’autre part, peut interdire l’adresse IP d’un attaquant si Asterisk signale une erreur de cette source IP, sinon Fail2Ban n’entrave pas la progression d’un attaquant.

SecAst a la possibilité de mettre fin aux appels en cours (sans bloquer une adresse IP) si elle détecte une activité suspecte. Dans le cas où un attaquant a violé le système de sécurité Asterisk / générateur de configuration, il / elle a normalement un accès illimité à des numéros de péage frauduleux et des services premium. Cependant, SecAst est le seul produit qui peut bloquer ces appels même si Asterisk (ou par exemple FreePBX) a été compromis. SecAst peut également prendre des mesures croissantes pour protéger le PBX au fur et à mesure qu’une attaque progresse, même en fermant les services d’appels pour protéger le PBX.

Orchestration de réponse d’attaque

Attack Response Orchestration se réfère à la façon dont le système de sécurité peut s’adapter dynamiquement à une attaque en cours, et coordonner les ressources internes et externes pour atténuer ou arrêter l’attaque.

Fail2Ban n’a qu’une seule capacité de réponse : interdire l’adresse IP source au niveau PBX. Les attaquants peuvent avoir accès au sous-réseau interne ou à d’autres services sur le PBX. Fail2Ban n’a pas la capacité d’adapter le comportement PBX, d’aviser d’autres PBX de l’attaque, de bloquer les utilisateurs au bord du réseau, etc.

Les pare-feu traditionnels offrent un pas en avant de Fail2Ban car ils bloquent intrinsèquement les attaques au bord du réseau. Cependant, ils n’ont aucune visibilité sur le PBX ni le contrôle. En tant que tels, ils ne peuvent bloquer une attaque que si l’attaque est détectable au niveau du trafic UDP/IP.

SecAst allie la visibilité PBX au contrôle des périphériques externes. Lors de la détection d’une attaque SecAst peut ajuster le cadran pour restreindre les actions, changer les itinéraires pour limiter l’accès à certains appareils, instruire le pare-feu au bord du réseau pour prendre certaines mesures, et même partager les informations de l’attaquant avec d’autres installations SecAst