Segurança para Asterisk

Compare o SECast com alternativas

SECAST

»

COMPARAÇÃO

 
SecAst
Fail2Ban
Firewall

SIP Connection Monitoring

Credentials valid
Breached credentials
Diffused probes
SIP packet structure

User Behaviour Monitoring

Fraud phone number database verification
Dialing cadence
Simultaneous calls
Heuristic patterns

Network Connection Monitoring

Hacker database IP address verification
SIP data transfer rate
Clustered connection attempts
Geographic location
Port connection rate

Attack Containment

Ban IP on PBX or firewall
Override dialplan permitted patterns
Disconnect individual calls
Lockdown new connections

Attack Response Orchestration

Control internal firewall
Control external firewall
Control external router
Change dialplan
Share attack data with peers
Yes/Excellent
Partial/Fair
No/Poor

Detalhes de Comparação

As caixas a seguir fornecem mais detalhes da avaliação e, clicando na seta para baixo na parte inferior de cada caixa, você pode ver como o SECast se compara.

Firewalls regulares estão alheios ao conteúdo do tráfego relacionado ao VoIP e simplesmente encaminham SIP/RTP/IAX/etc. da internet para o servidor Asterisk Uma completa falta de compreensão do conteúdo do pacote resulta em firewalls tradicionais sendo pouco mais do que roteadores. Fail2ban não é realmente um sistema de segurança, mas depende completamente do Asterisk para relatar uma tentativa de login falha (e fail2ban adiciona o IP de origem a uma lista de proibição de iptables local).

O SECast é o único produto que cria um perfil de cada usuário ou dispositivo conectado e garante que os comandos SIP recebidos sejam seguros e apropriados. Mesmo comandos SIP normais emitidos em frequências incomuns podem ser indicativos de hacking. O SECast é o único produto capaz de detectar tais padrões, detectar credenciais SIP válidas sendo usadas indevidamente, etc.

Firewalls tradicionais não monitoram o comportamento no nível do usuário e simplesmente passam pacotes relacionados ao VoIP para frente e para trás. Fail2Ban também não tem visibilidade sobre o comportamento do usuário (apenas erros relatados pelo Asterisk podem ser acionados pelo Fail2Ban).

SecAst é o único produto que monitora o comportamento de cada usuário (e, de fato, cada dispositivo) e cria uma pontuação de risco baseada no comportamento do usuário combinado com outros fatores. Embora uma ação por si só possa não ser suficiente para identificar uma tentativa de hacking, a combinação de ações detectadas pela SecAst permite que ele detecte e interrompa o hacking antes que o invasor possa causar muito dano (ou gerar acusações maciças de fraude em sua conta da operadora).

Fail2Ban não tem visibilidade no nível de conexão de rede; ele só pode responder a mensagens de erro da Asterisk. Firewalls tradicionais, por outro lado, se destacam nesta área, pois monitorar o tráfego de nível UDP e IP é o que eles foram projetados para fazer. A única fraqueza dos firewalls tradicionais é que eles não estão cientes de padrões e fontes de hacking específico do VoIP.

SecAst combina informações de tráfego de alto nível (usuário e SIP) com informações de tráfego de baixo nível (UDP/IP) para fornecer sensibilidade incomparável às tentativas de hackers no nível da rede. SecAst também usa bancos de dados de endereços IP de hackers conhecidos para bloquear tentativas de conexão antes mesmo que o invasor tenha a chance de se comunicar com o PBX.

Firewalls tradicionais não têm visibilidade sobre as atividades do PBX; uma vez que uma conexão do invasor é permitida pelo firewall, então o invasor pode continuar livre através do firewall. Fail2Ban, por outro lado, pode proibir o endereço IP de um invasor se Asterisk relatar um erro dessa fonte IP, caso contrário, fail2Ban não impede o progresso de um invasor.

SecAst tem a capacidade de encerrar chamadas em andamento (sem bloquear um IP) se detectar atividade suspeita. No caso em que um invasor violou o sistema de segurança do gerador Asterisk ele normalmente tem acesso irrestrito a números de pedágio fraudulentos e serviços premium. No entanto, SecAst é o único produto que pode bloquear essas chamadas mesmo que Asterisk (ou por exemplo, FreePBX) tenha sido comprometido. SecAst também pode tomar medidas crescentes para proteger o PBX à medida que um ataque progride até mesmo desligando serviços de chamada para proteger o PBX.

Fail2Ban tem apenas um recurso de resposta: banir o endereço IP de origem no nível PBX. Os atacantes podem ficar com acesso à sub-rede interna ou outros serviços no PBX. Fail2Ban não tem capacidade de adaptar o comportamento do PBX, notificar outros PBX’s do ataque, bloquear usuários na borda da rede, etc.

Firewalls tradicionais oferecem um aumento do Fail2Ban, pois eles bloqueiam inerentemente ataques na borda da rede. No entanto, eles não têm visibilidade ou controle do PBX. Como tal, eles só podem bloquear um ataque se o ataque for detectável no nível de tráfego UDP/IP.

SecAst combina a visibilidade do PBX com o controle de dispositivos externos. Ao detectar um ataque, o SecAst pode ajustar o plano de discagem para restringir ações, alterar rotas para limitar o acesso a determinados dispositivos, instruir o firewall na borda da rede a tomar certas ações e até mesmo compartilhar as informações do invasor com outras instalações SecAst