Версия v21.10

В версии v21.10 добавлена поддержка комментариев для порогов автодетектирования, расширен набор параметров рассылки уведомлений, изменена страница «Экземпляры», добавлена функция отрицания в PCAP. Изменен порядок обработки трафика для контрмер VAL, ACL, ACL6, SORB6, LIM6.

Добавлены новые контрмеры SLOB и CPSL, CPSL6. Расширена функциональность контрмер MINE, ATLS, DNS, TCP, SIP, SORB6, WL, BL, WL6, BL6.

Изменения минорной версии v21.10.4

Core. Обновлен DPDK до v21.11.0

Важно. Если в файле docker-compose.override.yml используется указание списка PCI-устройств через ключ -w, то его необходимо заменить на -a.
Пример:

services:
  data-plane:
    network: host
    environment:
      DATA_PLANE_DPDK_EXTRA_ARGS: >
        -a af:00.0,mprq_en=1
        -a af:00.1,mprq_en=1        

Изменения минорной версии v21.10.2

ATLS. Добавлена настройка действия над пакетом, не прошедшим проверку.

Изменения версии v21.10

SLOB. Добавлена контрмера «Блокировка медленных TCP-соединений».

Контрмера предназначена для защиты от атак, создающих медленные или простаивающие TCP-соединения.

CPSL. Добавлена контрмера «Ограничение количества соединений в секунду» в политики защиты IPv4.

Контрмера ограничивает суммарное количество TCP и UDP соединений, проходящих через политику защиты.

CPSL6. Добавлена контрмера «Ограничение количества соединений в секунду» в политики защиты IPv6.

MINE. Добавлена поддержка механизма HPA.

В ситуации, когда в одну политику защиты попадает трафик нескольких серверов Minecraft, контрмера MINE, аналогично TCP, может активировать защиту только для IP-адресов, для которых зафиксирована аномалия.

HTTP. Изменена работа с таблицей аутентифицированных адресов.

У контрмеры появилась собственная таблица аутентифицированных IP-адресов. Интерфейс карточки приведен к единому стилю.

ATLS. Добавлено указание MD5-хеша при выгрузке списков с JA3-отпечатками.

ATLS. Добавлена возможность выгрузки отпечатков обучающей выборки.

ATLS. Добавлена возможность указывать, какие списки JA3-отпечатков должны быть сформированы контрмерой при детектировании атаки.

DNS. Добавлена возможность пропускать DNS-запросы к определенным hostname без обработки контрмерой.

DNS. Добавлена возможность отключить проверку для TCP-трафика.

Некоторые рекурсивные DNS-серверы не могут пройти TCP-аутентификацию, поэтому добавлена возможность не выполнять проверку отправителя TCP-трафика.

DNS. Добавлено управление содержимым таблицы аутентифицированных IP-адресов.

Теперь можно добавлять, удалять и проверять наличие IP-адреса в таблице аутентифицированных.

DNS. Изменена работа с таблицей аутентифицированных адресов.

У контрмеры появилась собственная таблица аутентифицированных IP-адресов. Интерфейс карточки приведен к единому стилю.

DNS. Изменены названия проверок для режима TCP-аутентификации.

Названия проверок приведены в соответствие с аналогичными в контрмере TCP.

TCP. Добавлен журнал активации адресной защиты.

Пользователю доступна информация о том, когда, на какое время и для каких IP-адресов срабатывала адресная защита.

TCP. Добавлено управление таблицей обучения.

Доступна очистка таблицы и выгрузка IP-адресов из таблицы обучения.

TCP. Изменена работа с таблицей аутентифицированных адресов.

У контрмеры появилась собственная таблица аутентифицированных IP-адресов. Интерфейс карточки приведен к единому стилю.

SIP. Добавлено управление таблицей аутентифицированных IP-адресов.

Доступна очистка таблицы и выгрузка IP-адресов из таблицы аутентифицированных.

LIM6. Изменен порядок обработки трафика.

Контрмера LIM6 теперь обрабатывает пакеты после DLIM6.

VAL. Изменен порядок обработки трафика.

Контрмера VAL теперь обрабатывает пакеты после TWL.

VAL6. Изменен порядок обработки трафика.

Контрмера VAL6 теперь обрабатывает пакеты после TWL6.

ACL. Изменен порядок обработки трафика.

Контрмера ACL теперь обрабатывает пакеты после TBL.

ACL6. Изменен порядок обработки трафика.

Контрмера ACL6 теперь обрабатывает пакеты после TBL6.

SORB6. Изменен порядок обработки трафика.

Контрмера SORB6 теперь обрабатывает пакеты после RETR6.

SORB6. Добавлена гистограмма распределения IP-адресов по скоростям.

Для подбора пороговых значений в контрмере можно использовать данные из гистограммы распределения IP-адресов по скоростям. Она показывает количество IP-адресов, присылающих трафик с разными скоростями. Это позволяет устанавливать пороги прохождения трафика, опираясь на реальные показатели скоростей, наблюдаемых в текущий момент. При этом можно сразу определить, какое количество IP-адресов будет заблокировано механизмами контрмеры при установке того или иного порогового значения. Гистограмма захватывает данные со входа контрмеры и может строиться даже если контрмера отключена.

WL. Добавлена поддержка именованных списков.

WL6. Добавлена поддержка именованных списков.

BL. Добавлена поддержка именованных списков.

BL6. Добавлена поддержка именованных списков.

LCON. Изменено полное название контрмеры.

Контрмера изменила название на «Ограничение количества TCP-соединений с IP-адреса».

PCAP. Добавлена функция отрицания в PCAP.

При указании ключевого слова SKIP перед регулярным выражением в PCAP, будут захвачены все пакеты, кроме соответствующих регулярному выражению. Можно указывать несколько SKIP.

Multi. Изменена страница «Экземпляры».

Пользователю доступно больше информации о параметрах и состоянии экземпляров в кластере. Также появилась возможность управления состоянием защиты конкретного экземпляра без влияния на остальные.

Core. Обновлен DPDK до v21.08.0

Core. Добавлена поддержка ICMP echo-request.

В режиме L3-интеграции в сеть MITIGATOR может отвечать на ping с dataplane-интерфейсов.

API. Добавлена возможность задавать количество точек для построения графиков.

При выборе больших временных интервалов на графиках из-за малого количества отображаемых точек могут быть не видны кратковременные всплески продолжительностью меньше разрешающей способности графика. Теперь добавлена возможность изменять количество отображаемых точек через параметр maxdatapoints REST API. Значение параметра по умолчанию — 250 точек.

Notifications. Добавлена ручная отправка уведомления.

Появилась возможность проверить работоспособность канала доставки уведомлений посредством отправки тестового сообщения.

Notifications. Добавлен ручной режим выбора типа соединения для подключения к почтовому серверу.

Параметры соединения и аутентификации могут быть заданы вручную или автоматически. В попытке подключиться к почтовому серверу в автоматическом режиме система перебирает параметры подключения, начиная с наиболее безопасных.

Security event. Добавлена возможность выгрузки списка инцидентов в формате CSV.

UX. Добавлена поддержка комментариев к порогам автодетектирования.

UX. Добавлена возможность изменить высоту поля ввода для правил фильтрации в ACL и ACL6, а также для полей префиксов на странице «Группы».

UX. Изменено поведение кнопки «Скрыть все» в политике защиты.

Теперь кнопка «Скрыть все» не скрывает контрмеры в состояниях:

  • «Включена контрмера»;
  • «Включено обучение»;
  • «Включено автодетектирование».

UX. Изменено название карточки на странице BGP.

UX. Добавлена подсветка комментариев в именованных списках.

Для удобства использования списков комментарии и префиксы отображаются разными цветами шрифта.

UX. Добавлена комбинация клавиш для переключения языка Web-интерфейса.

Нажатие комбинации клавиш ALT+X на любой странице переключает язык Web-интерфейса. Текущий список поддерживаемых комбинаций:

  • ATL+X – переключает язык Web-интерфейса. Работает на любой странице;
  • ATL+Z – переключает фильтр временного периода для отображения графиков на один шаг назад. Работает на страницах с графиками;
  • ATL+C – переключает фильтр временного периода для отображения графиков на один шаг вперед. Работает на страницах с графиками;
  • ATL+G – нажатие и удержание вызывает всплывающее окно быстрого перехода к контрмере в точке текущего расположения курсора. Работает на страницах «Общая защита IPv4», «Общая защита IPv6», «Политика защиты IPv4», «Политика защиты IPv6».