Безопасность для Звездочки
Сравнить SECast с альтернативами
СЕКЕЙСТ
»
Сравнение
SecAst |
Fail2Ban |
Firewall | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
SIP Connection Monitoring | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Credentials valid | | Breached credentials |
Diffused probes |
SIP packet structure |
User Behaviour MonitoringFraud phone number database verification |
Dialing cadence |
Simultaneous calls |
Heuristic patterns |
Network Connection MonitoringHacker database IP address verification |
SIP data transfer rate |
Clustered connection attempts |
Geographic location |
Port connection rate |
Attack ContainmentBan IP on PBX or firewall |
Override dialplan permitted patterns |
Disconnect individual calls |
Lockdown new connections |
Attack Response OrchestrationControl internal firewall |
Control external firewall |
Control external router |
Change dialplan |
Share attack data with peers |
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Yes/Excellent |
Partial/Fair |
No/Poor |
Сравнение Деталей
В следующих полях приведены дополнительные сведения об оценке, и, щелкнув стрелку вниз в нижней части каждого поля, вы можете сравнить SECast.
Мониторинг подключения SIP
SIP Connection Monitoring описывает, если и как система безопасности отслеживает sip трафик, проходящий через PBX, и обнаруживает действия или информацию, которые могут увеличить риск мошенничества или взлома. Проверка пакетов позволяет системе безопасности изучать выдаемые команды и любые отправленные учетные данные. Эти учетные данные можно сравнить с тем, что разрешено сервером Asterisk, и команды могут быть оценены, чтобы определить, являются ли они безопасными и подходящими для типа соединения. Также, скорость, с которой эти команды выдаются может свидетельствовать о взломе.
Данные SIP делятся на пакеты, и каждый пакет имеет четко определенную структуру. Глубокая проверка пакетов позволяет системе безопасности определить, является ли пакет SIP пороком, и если да, то таким образом, что может использовать слабость в базовом стеке SIP.
Регулярные брандмауэры не обращают внимания на содержимое трафика, связанного с VoIP, и просто переозвучив SIP/RTP/IAX/etc. от Интернета до сервера Asterisk. Полное непонимание содержимого пакета приводит к том, что традиционные брандмауэры являются не более чем маршрутизаторами. Fail2ban на самом деле не является системой безопасности, а это полностью зависит от Asterisk сообщить о неудачной попытке входа (и fail2ban затем добавляет ИСХОДНЫЙ IP в локальный список запретов iptables).
SECast является единственным продуктом, который создает профиль каждого пользователя или подключенного устройства и обеспечивает безопасность и адекватность получаемых SIP-команд. Даже обычные команды SIP, выданные на необычных частотах, могут свидетельствовать о взломе. SECast является единственным продуктом, способным обнаруживать такие шаблоны, обнаруживать неправомерное использование действительных учетных данных SIP и т. д.
Мониторинг поведения пользователей
Мониторинг поведения пользователей описывает, как система безопасности отслеживает действия пользователя (выше уровня протокола VoIP). Хакеры будут искать PBX подвиги, набирая номера, которые не являются ни локальными расширениями, ни действительными вариантами меню. Они также могут набирать телефонные номера по ставке, невозможной для человека.
Как только злоумышленники обнаруживают слабость в PBX, они обычно используют его быстро, чтобы максимизировать свою финансовую отдачу до обнаружения или закрытия слабости. Внезапное увеличение числа звонков с одного расширения или до определенного числа может свидетельствовать о взломе. Также последовательность действий, выполняемых пользователем, может быть нетипичной для нормального использования PBX и может указывать на взлом.
Традиционные брандмауэры не отслеживают поведение на уровне пользователя, а просто передают пакеты, связанные с VoIP, туда и обратно. Fail2Ban также не имеет видимости в поведении пользователя (только ошибки, о которые сообщает Asterisk, могут быть использованы Fail2Ban).
SecAst является единственным продуктом, который отслеживает поведение каждого пользователя (а на самом деле каждое устройство) и создает оценку риска на основе поведения пользователя в сочетании с другими факторами. Хотя одно действие самостоятельно не может быть достаточно, чтобы определить попытку взлома, сочетание действий, обнаруженных SecAst позволяют ему обнаружить и остановить взлом, прежде чем злоумышленник может сделать много вреда (или генерировать массовые обвинения в мошенничестве на вашем счету перевозчика).
Мониторинг сетевого подключения
Мониторинг сетевого подключения относится к отслеживанию трафика VoIP на сетевом уровне. Поскольку весь трафик VoIP перемещается по UDP/IP, обнаружение необычных пакетов, связанных с UDP/IP, может помочь выявить подозрительное поведение. Протоколы УДП и ИС также предоставляют значительную информацию об источнике соединения/атаки и ее характере.
Fail2Ban не имеет видимости на уровне сетевого соединения; он может отвечать только на сообщения об ошибках из Звездочки. Традиционные брандмауэры, с другой стороны, преуспеть в этой области, как мониторинг UDP и IP-уровня трафика является то, что они были разработаны, чтобы сделать. Единственным недостатком традиционных брандмауэров является то, что они не знают о шаблонах и источниках взлома VoIP.
SecAst сочетает в себе высокий уровень (пользователя и SIP) с низким уровнем (UDP/IP) трафика информации, чтобы обеспечить непревзойденную чувствительность к попыткам взлома на сетевом уровне. SecAst также использует базы данных известных хакерских IP-адресов, чтобы блокировать попытки подключения, прежде чем злоумышленник даже имеет возможность общаться с PBX.
Сдерживание атаки
Сдерживание атак относится к тому, насколько хорошо система безопасности может остановить атаки, а также предотвратить будущие атаки. Если злоумышленник обнаружил слабость в PBX, можно ли сдержать ущерб или у злоумышленника есть неограниченный потенциал для вреда и мошенничества?
Традиционные брандмауэры не имеют видимости в деятельности PBX; как только подключение от злоумышленника разрешено брандмауэром, злоумышленник может пройти необремененным через брандмауэр. Fail2Ban, с другой стороны, может запретить IP-адрес злоумышленника, если Asterisk сообщает об ошибке из этого источника IP, в противном случае Fail2Ban не препятствует прогрессу злоумышленника.
SecAst имеет возможность прекратить вызовы в процессе (без блокирования IP), если он обнаруживает подозрительную активность. В случае, если злоумышленник нарушил систему безопасности генератора Asterisk /configuration, он/она обычно имеет неограниченный доступ к мошенническим платным номерам и премиальным услугам. Тем не менее, SecAst является единственным продуктом, который может блокировать эти вызовы, даже если звездочка (или, например, FreePBX) была скомпрометирована. SecAst также может принимать все более важные меры для защиты PBX по мере того, как атака прогрессирует, даже выключая службы вызова для защиты PBX.
Оркестрация реагирования на атаки
Оркестр реагирования на атаки относится к тому, как система безопасности может динамически адаптироваться к атаке, и координировать внутренние и внешние ресурсы, чтобы смягчить или остановить атаку.
Fail2Ban имеет только одну возможность ответа: запрет IP-адреса источника на уровне PBX. Злоумышленники могут быть оставлены с доступом к внутренней подсети или другим службам на PBX. Fail2Ban не имеет возможности адаптировать поведение PBX, уведомлять другие PBX об атаке, блокировать пользователей на краю сети и т.д.
Традиционные брандмауэры предлагают шаг вверх от Fail2Ban, поскольку они по своей сути блокируют атаки на краю сети. Тем не менее, они не имеют видимости или контроля над PBX. Таким образом, они могут блокировать атаку только в том случае, если атака обнаруживается на уровне трафика UDP/IP.
SecAst сочетает видимость PBX с управлением внешними устройствами. При обнаружении атаки SecAst может настроить dialplan, чтобы ограничить действия, изменить маршруты, чтобы ограничить доступ к определенным устройствам, поручить брандмауэру на краю сети принять определенные меры, и даже поделиться информацией об атаке с другими установками SecAst.