Версия v21.12

В версии v21.12 добавлен общий список адресов синхронизации ISN, добавлена поддержка множественных правил в PCAP, изменено сглаживание пиков на графиках, обновлен агент синхронизации ISN, изменена логика работы облачной сигнализации, обновлено оглавление страницы «Помощь», добавлена отправка данных на сервер статистики. Расширена функциональность контрмер WL, BL, ACL, REX, FRB, MINE, ATLS, DNS, RETR, RETR6, TCP, MCR.

Изменения минорной версии v21.12.6

Бэкпортировано из версии v22.02

ACL. Добавлена возможность указывать номера автономных систем.

Если в качестве значения для компонентов «dst» или «src» задается номер автономной системы в виде as64500, то контрмера будет применять IP-адреса, соответствующие данной AS согласно загруженной в систему базе данных ASN.

ACL6. Добавлена возможность указывать номера автономных систем.

BL. Добавлена возможность указывать номера автономных систем.

Если в качестве значения задается номер автономной системы в виде as64500, то контрмера будет применять IP-адреса, соответствующие данной AS согласно загруженной в систему базе данных ASN.

BL6. Добавлена возможность указывать номера автономных систем.

WL. Добавлена возможность указывать номера автономных систем.

WL6. Добавлена возможность указывать номера автономных систем.

RETR. Добавлена возможность указывать номера автономных систем в ACL компоненте правила.

RETR6. Добавлена возможность указывать номера автономных систем в ACL компоненте правила.

FRB. Добавлена возможность указывать номера автономных систем.

Изменения минорной версии v21.12.2

UX. Изменен список прав на странице «Роль».

Права на все функции системы разделены на список корневых прав верхнего уровня, в которые вложены права нижестоящих уровней. В интерфейсе для наглядности это представлено в виде иерархического дерева. Теперь для удобства использования можно сворачивать и разворачивать вхождения в права верхнего уровня.
Цвет обводки чекбокса корневого права меняется на синий, если установлено хотя бы одно право нижестоящих уровней.

Изменения минорной версии v21.12.1

CloudSignaling. Добавлено отключение запроса облачной сигнализации на фильтрацию по порогу входящего трафика.

В облачную сигнализацию добавлены новые пороги для управления запросами фильтрации: CloudAlert.Pps.On, CloudAlert.Bps.On, CloudAlert.Pps.Off, CloudAlert.Bps.Off. Старые односторонние пороги удалены. В механизме используется стандартная логика автодетектирования. Если нет необходимости в автоматическом отключении запроса, достаточно задать только пороги на включение.

UX. Изменено оглавление страницы «Помощь».

Для облегчения работы с материалами встроенной в MITIGATOR эксплуатационной документации переработано оглавление страницы «Помощь»:

  • Добавлена строка поиска по оглавлению;
  • Добавлены короткие имена контрмер;
  • Добавлены уровни вложенности с возможностью раскрыть все разделы сразу.

Изменения версии v21.12

Stats. Добавлен механизм передачи данных для аналитики.

Одним из способов защиты от прикладных атак является проверка по репутационным спискам. Для формирования собственных списков в MITIGATOR добавлена возможность передачи данных по:

  • инцидентам;
  • временно заблокированным IP-адресам;
  • собранным JA3-отпечаткам.

Данные отправляются на сервер статистики для анализа. В будущем из этих данных будут формироваться репутационные списки, доступные для использования в MITIGATOR.

Информация

Внимание. Механизм сбора и передачи данных по умолчанию включен.
Передачу данных на сервер статистики можно отключить полностью или частично на странице «Настройка системы».

Policy. Добавлен общий список адресов синхронизации ISN.

Теперь для всех контрмер политики, поддерживающих работу в режиме синхронизации параметров ISN, применяются единые настройки. Настройки вынесены на вкладку «Настройка политики» страницы «Политика защиты».

ISN-агент. Обновлен агент синхронизации параметров ISN.

Внимание.

  1. MITIGATOR версии v21.12 работает только с новым агентом.
  2. Старые версии MITIGATOR не работают с новой версией агента.
  3. Перед установкой нового агента требуется удалить старый, используя скрипт установки из версии v21.10 с ключом -d.

MINE. Добавлен порог активации адресной защиты по скорости трафика в битах в секунду.

Теперь адресная защита может быть активирована для IP-адреса, трафик на который превысил установленное ограничение скорости в битах за заданный временной период.

ATLS. Добавлен режим работы с синхронизацией параметров ISN.

Контрмера ATLS работает в «Пассивном» и «Активном» режимах. Одним из плюсов «Активного» режима является дополнительная защита от всех TCP Flood атак, но у режима есть и минус — сброс сессии после первой проверки легитимного адреса.
Новый «Активный режим с синхронизацией параметров» ISN позволяет избежать сброса сессии.

ATLS. Добавлен журнал JA3-отпечатков выборки атаки.

В момент включения контрмеры формируется выборка JA3-отпечатков атаки. Теперь такие выборки хранятся в журнале и могут быть скачаны для анализа.

ATLS. Упрощена валидация ClientHello.

Теперь сегментированные ClientHello парсятся и пропускаются, если прошли применяемые к ним проверки.

RETR. Добавлена поддержка режима «Мягкий старт».

Теперь активация контрмеры RETR может происходить без сброса ранее установленных сессии.

RETR6. Добавлена поддержка режима «Мягкий старт».

Теперь активация контрмеры RETR6 может происходить без сброса ранее установленных сессии.

TCP. Добавлен порог активации адресной защиты по скорости трафика в битах в секунду.

Теперь адресная защита может быть активирована для IP-адреса, трафик на который превысил установленное ограничение скорости в битах за заданный временной период.

MCR. Добавлена поддержка режима «Мягкий старт».

Теперь активация контрмеры MCR может происходить без сброса ранее установленных сессии.

PCAP. Добавлена поддержка множества правил со SKIP и TAKE в фильтре захвата по регулярным выражениям.

Иногда для удобства изучения трафика может потребоваться сделать выборку по фильтру, который нельзя описать одним правилом.

Например, в потоке присутствуют пакеты с payload aaa, bbb, ccc, aaabbb, bbbccc, cccaaa и другие неизвестные сочетания. Необходимо захватить пакеты, содержащие ccc, но не содержащие aaa, для чего задать правила:

SKIP aaa
TAKE ccc

Если одновременно заданы правила SKIP и TAKE, то будут захвачены только пакеты, соответствующие правилам TAKE. Таким образом, в захват попадут только пакеты с payload ссс и bbbccc.

Notifications. Добавлена возможность подписываться на рассылку сообщений только из выбранных политик защиты.

Теперь в профиле пользователя можно указать политики защиты, по которым пользователь хочет получать уведомления. Сообщения из прочих политик не будут отправляться этому пользователю.

UX. Добавлены короткие названия контрмер в журнал событий.

Теперь вместе с полным названием контрмеры в строке журнала событий отображается иконка с коротким названием.

UX. Добавлено отображение ID и названия экземпляра в журнале событий.

UX. Скрыто для групповых пользователей сообщение о превышении лицензионной полосы.

В случае превышения лицензионной полосы соответствующее сообщение будет показано только системным пользователям.

UX. Изменено отображение графиков.

Сведено к минимуму сглаживание кратковременных всплесков трафика при просмотре графиков за длительные временные интервалы.

UX. Добавлено отображение комментариев на странице «Политики защиты».

Комментарий появляется по нажатию на символ с буквой i.

UX. Изменен значок тестового режима политики защиты.

UX. Добавлена возможность развернуть/свернуть отображение списка правил, указывающих на политику, сразу для всех политик защиты.

Нажатие на стрелку в заголовке таблицы политик раскрывает или закрывает списки правил для всех политик защиты.

UX. Добавлен поиск по значениям списков в карточках контрмер.

Поля ввода для указания списков значений применяются в системе повсеместно и могут содержать правила, регулярные выражения, префиксы или доменные имена. При работе со списками больших размеров удобно пользоваться горячими клавишами. Чтобы сочетания клавиш сработали требуется, чтобы поле ввода списка значений находилось в фокусе, для чего нужно нажать на него левой кнопкой мыши.

Кроме поиска по точному значению, может быть использован поиск по регулярному выражению, для чего регулярное выражение должно быть заключено между двумя символами /. Например, ввод выражения /^10\.*/ в строке поиска найдет все значения в списке, начинающиеся с 10.

UX. Добавлены комбинации клавиш для работы со списками контрмер.

Текущий список поддерживаемых комбинаций:

  • ATL+X – переключает язык Web-интерфейса. Работает на любой странице;
  • ATL+Z – переключает фильтр временного периода для отображения графиков на один шаг назад. Работает на страницах с графиками;
  • ATL+C – переключает фильтр временного периода для отображения графиков на один шаг вперед. Работает на страницах с графиками;
  • ATL+G – нажатие и удержание вызывает всплывающее окно быстрого перехода к контрмере в точке текущего расположения курсора. Работает на страницах «Общая защита IPv4», «Общая защита IPv6», «Политика защиты IPv4», «Политика защиты IPv6»;
    Только если список в фокусе:
  • CTRL+F или CMD+F – вызывает строку поиска по списку;
  • CTRL+G или CMD+G – переходит к следующей записи, соответствующей значению, введенному в строку поиска;
  • SHIFT+CTRL+G или SHIFT+CMD+G – переходит к предыдущей записи, соответствующей значению, введенному в строку поиска;
  • SHIFT+CTRL+F или OPTION+CMD+F – заменяет значение, соответствующее введенному фильтру, новым введенным значением;
  • SHIFT+CTRL+R или SHIFT+OPTION+CMD+F – заменяет все значения, соответствующие введенному фильтру, новым введенным значением;
  • CTRL+L – переходит к строке с указанным номером.