Segurança para Asterisk
Compare o SECast com alternativas
SECAST
»
COMPARAÇÃO
SecAst |
Fail2Ban |
Firewall | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SIP Connection Monitoring | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Credentials valid | Breached credentials |
Diffused probes |
SIP packet structure |
User Behaviour MonitoringFraud phone number database verification |
Dialing cadence |
Simultaneous calls |
Heuristic patterns |
Network Connection MonitoringHacker database IP address verification |
SIP data transfer rate |
Clustered connection attempts |
Geographic location |
Port connection rate |
Attack ContainmentBan IP on PBX or firewall |
Override dialplan permitted patterns |
Disconnect individual calls |
Lockdown new connections |
Attack Response OrchestrationControl internal firewall |
Control external firewall |
Control external router |
Change dialplan |
Share attack data with peers |
|
Yes/Excellent |
Partial/Fair |
No/Poor |
Detalhes de Comparação
As caixas a seguir fornecem mais detalhes da avaliação e, clicando na seta para baixo na parte inferior de cada caixa, você pode ver como o SECast se compara.
Monitoramento de conexão SIP
O SIP Connection Monitoring descreve se e como o sistema de segurança monitora o tráfego SIP fluindo através do PBX e detecta ações ou informações que podem aumentar o risco de fraude ou invasão. A inspeção de pacotes permite que o sistema de segurança examine os comandos que estão sendo emitidos e quaisquer credenciais sendo enviadas. Essas credenciais podem ser comparadas com o permitido pelo servidor Asterisk e os comandos podem ser avaliados para determinar se são seguros e apropriados para o tipo de conexão. Além disso, a taxa em que esses comandos são emitidos pode ser indicativa de hacking.
Os dados SIP são divididos em pacotes, e cada pacote tem uma estrutura bem definida. A inspeção profunda de pacotes permite que o sistema de segurança determine se o pacote SIP está mal formado e, se for o caso, de tal forma que possa explorar uma fraqueza na pilha SIP subjacente.
Firewalls regulares estão alheios ao conteúdo do tráfego relacionado ao VoIP e simplesmente encaminham SIP/RTP/IAX/etc. da internet para o servidor Asterisk Uma completa falta de compreensão do conteúdo do pacote resulta em firewalls tradicionais sendo pouco mais do que roteadores. Fail2ban não é realmente um sistema de segurança, mas depende completamente do Asterisk para relatar uma tentativa de login falha (e fail2ban adiciona o IP de origem a uma lista de proibição de iptables local).
O SECast é o único produto que cria um perfil de cada usuário ou dispositivo conectado e garante que os comandos SIP recebidos sejam seguros e apropriados. Mesmo comandos SIP normais emitidos em frequências incomuns podem ser indicativos de hacking. O SECast é o único produto capaz de detectar tais padrões, detectar credenciais SIP válidas sendo usadas indevidamente, etc.
Monitoramento do comportamento do usuário
O Monitoramento do Comportamento do Usuário descreve como o sistema de segurança monitora as ações do usuário (acima do nível do protocolo VoIP). Os hackers procurarão explorações de PBX discando números que não são extensões locais nem opções de menu válidas. Eles também podem discar números de telefone a uma taxa não possível por um ser humano.
Uma vez que os atacantes encontram uma fraqueza no PBX, eles normalmente o exploram rapidamente para maximizar seu retorno financeiro antes que a fraqueza seja detectada ou fechada. Um aumento repentino no número de chamadas de uma extensão ou para um número específico, pode indicar hacking. Além disso, a seqüência de atividades que um usuário realiza pode ser atípica para o uso normal do PBX e pode indicar hacking.
Firewalls tradicionais não monitoram o comportamento no nível do usuário e simplesmente passam pacotes relacionados ao VoIP para frente e para trás. Fail2Ban também não tem visibilidade sobre o comportamento do usuário (apenas erros relatados pelo Asterisk podem ser acionados pelo Fail2Ban).
SecAst é o único produto que monitora o comportamento de cada usuário (e, de fato, cada dispositivo) e cria uma pontuação de risco baseada no comportamento do usuário combinado com outros fatores. Embora uma ação por si só possa não ser suficiente para identificar uma tentativa de hacking, a combinação de ações detectadas pela SecAst permite que ele detecte e interrompa o hacking antes que o invasor possa causar muito dano (ou gerar acusações maciças de fraude em sua conta da operadora).
Monitoramento de conexão de rede
O Monitoramento de Conexão de Rede refere-se ao rastreamento do tráfego VoIP no nível da rede. Uma vez que todo o tráfego VoIP se move sobre UDP/IP, a detecção de pacotes relacionados a UDP/IP incomuns pode ajudar a identificar comportamentos suspeitos. Os protocolos UDP e IP também fornecem informações consideráveis sobre a origem da conexão/ataque e sua natureza.
Fail2Ban não tem visibilidade no nível de conexão de rede; ele só pode responder a mensagens de erro da Asterisk. Firewalls tradicionais, por outro lado, se destacam nesta área, pois monitorar o tráfego de nível UDP e IP é o que eles foram projetados para fazer. A única fraqueza dos firewalls tradicionais é que eles não estão cientes de padrões e fontes de hacking específico do VoIP.
SecAst combina informações de tráfego de alto nível (usuário e SIP) com informações de tráfego de baixo nível (UDP/IP) para fornecer sensibilidade incomparável às tentativas de hackers no nível da rede. SecAst também usa bancos de dados de endereços IP de hackers conhecidos para bloquear tentativas de conexão antes mesmo que o invasor tenha a chance de se comunicar com o PBX.
Contenção de ataque
Contenção de ataques refere-se ao quão bem o sistema de segurança pode parar ataques em andamento e também prevenir ataques futuros. Se um invasor encontrou uma fraqueza no PBX, o dano pode ser contido ou o invasor tem potencial ilimitado para danos e fraudes?
Firewalls tradicionais não têm visibilidade sobre as atividades do PBX; uma vez que uma conexão do invasor é permitida pelo firewall, então o invasor pode continuar livre através do firewall. Fail2Ban, por outro lado, pode proibir o endereço IP de um invasor se Asterisk relatar um erro dessa fonte IP, caso contrário, fail2Ban não impede o progresso de um invasor.
SecAst tem a capacidade de encerrar chamadas em andamento (sem bloquear um IP) se detectar atividade suspeita. No caso em que um invasor violou o sistema de segurança do gerador Asterisk ele normalmente tem acesso irrestrito a números de pedágio fraudulentos e serviços premium. No entanto, SecAst é o único produto que pode bloquear essas chamadas mesmo que Asterisk (ou por exemplo, FreePBX) tenha sido comprometido. SecAst também pode tomar medidas crescentes para proteger o PBX à medida que um ataque progride até mesmo desligando serviços de chamada para proteger o PBX.
Orquestração de resposta de ataque
Attack Response Orchestration refere-se a como o sistema de segurança pode se ajustar dinamicamente a um ataque em andamento e coordenar recursos internos e externos para mitigar ou parar o ataque.
Fail2Ban tem apenas um recurso de resposta: banir o endereço IP de origem no nível PBX. Os atacantes podem ficar com acesso à sub-rede interna ou outros serviços no PBX. Fail2Ban não tem capacidade de adaptar o comportamento do PBX, notificar outros PBX’s do ataque, bloquear usuários na borda da rede, etc.
Firewalls tradicionais oferecem um aumento do Fail2Ban, pois eles bloqueiam inerentemente ataques na borda da rede. No entanto, eles não têm visibilidade ou controle do PBX. Como tal, eles só podem bloquear um ataque se o ataque for detectável no nível de tráfego UDP/IP.
SecAst combina a visibilidade do PBX com o controle de dispositivos externos. Ao detectar um ataque, o SecAst pode ajustar o plano de discagem para restringir ações, alterar rotas para limitar o acesso a determinados dispositivos, instruir o firewall na borda da rede a tomar certas ações e até mesmo compartilhar as informações do invasor com outras instalações SecAst