Версия v22.04

В версии v22.04 добавлена новая контрмера TLIM, изменено название контрмеры CPSL, расширена функциональность взаимодействия по BGP, добавлены новые пороги автодетектирования, добавлен график количества уникальных IP-адресов на выходе из политики защиты, расширена информация об инциденте в записи журнала событий.
Расширена функциональность контрмер VAL, DNS, ATLS, TCP, BL, BL6, WL, WL6, TBL, TBL6, TWL, TWl6 и анализатора логов.

Изменения минорной версии v22.04.3

DNS. Добавлена возможность не выполнять аутентификацию по UDP.

В режим UDP-аутентификации добавлена опция «Не проверять», которая отключает выполнение UDP-аутентификации DNS-запросов.

LogAnalyzer. Добавлена метрика по 405 коду обработки запроса.

Метрика src.405 позволяет отслеживать количество ответов с кодом 405 на один src IP-адрес. Например, правило block 100 src.405 limit 10 period 60 занесет на 100 секунд в список временной блокировки IP-адрес, с которого за минуту поступило более 10 некорректных запросов.

LogAnalyzer. Добавлена обработка содержимого запроса.

Теперь при указании в правиле ключевого слова request и регулярного выражения можно задавать действие для запросов отправителей с указанным содержимым. Например, правило block 300 request aaa|bbb|ccc занесет на 300 секунд в список временной блокировки IP-адрес в случае обнаружения в содержимом запроса значений “aaa”, “bbb” или “ссс”.

LogAnalyzer. Отключено логирование блокировки IP-адресов.

Теперь в журнал событий не записываются события блокировки IP-адресов по действию block в правилах анализатора логов.

API. Добавлен параметр no_logs для отключения логирования при добавлении IP-адреса.

Теперь запросы на добавление IP-адресов в списки контрмер BL, BL6, WL, WL6, TBL, TBL6, TWL и TWl6 могут выполняться с параметром no_logs. Параметр позволяет не записывать событие добавления IP-адреса в журнал событий.

UX. Добавлена синхронизация времени для выгрузки журналов.

Во всех контрмерах, в которых есть журнал изменений таблицы хранимых IP-адресов, временной диапазон в фильтре журнала автоматически синхронизируется с диапазоном на графиках. При необходимости диапазон может быть изменен вручную.

UX. Ускорено формирование журнала блокировок в контрмере TBL.

UX. Оптимизирована и ускорена работа Web-интерфейса.

Изменения минорной версии v22.04.2

ATLS. Добавлена блокировка IP-адресов отправителей без SNI в TLS Client Hello.

Если установлен чекбокс «Требовать SNI», контрмера ATLS будет сбрасывать все Client Hello без Server Name Indication (SNI) в «Extension». Если выбрано действие «Блокировка отправителя», IP-адрес отправителя будет занесен в список временной блокировки.

TCP. Добавлен график сбросов лимитера.

Добавлен график TCP Limiter Drop, показывающий скорость сбрасываемого трафика сверх установленного ограничения по числу SYN+ACK-пакетов.

BPF. Добавлена поддержка фильтра Блума.

Для программ контрмеры BPF добавлена поддержка методов add, check и reset в фильтре Блума. Подробнее в MITIGATOR BPF API.

EventLog. Добавлена дополнительная информация об инциденте в custom-поле записи журнала.

Теперь при формировании записи об инциденте в журнале событий в custom-поле записывается 5-tuple из правил маршрутизации, ведущих на политику, в которой произошел инцидент, а также имя и ID группы, в которую включено правило маршрутизации.

Изменения версии v22.04

TLIM. Добавлена новая контрмера «Ограничение трафика по протоколу на IP-адрес получателя».

В общую защиту IPv4 добавлена новая контрмера, аналогичная контрмере DLIM, но позволяющая задавать для каждого IP-адреса ограничение по скорости с учетом L4-протокола.
Ограничения могут быть заданы на скорость в пакетах в секунду или битах в секунду, а также одновременно двумя способами.

NCL. Изменено название контрмеры CPSL.

VAL. Добавлена опция сброса TCP SYN-пакетов c ненулевым Acknowledgment number.

VAL. Добавлено включение опций по умолчанию.

Теперь при создании новой политики защиты в контрмере VAL по умолчанию активированы некоторые опции валидатора.

DNS. Добавлены опции валидатора.

Аналогично контрмере VAL в DNS появился перечень дополнительных критериев валидации, которые активируются в настройках контрмеры.

DNS. Добавлен список разрешенных доменных зон.

Если DNS-запрос по домену не из списка, то будет сброшен.

TWL. Изменено поведение временного белого списка IP-адресов.

Теперь обязательным условием удаления адреса из TWL является отсутствие с него трафика в течение заданного времени.

TWL6. Изменено поведение временного белого списка IP-адресов.

Теперь обязательным условием удаления адреса из TWL6 является отсутствие с него трафика в течение заданного времени.

BGP. Добавлена постановка на защиту IP-адреса при трафике на коллекторе выше порога.

Теперь в карточке «BGP-анонсы» на вкладке «Настройка политики» страницы «Политика защиты» можно задать пороги скорости в пакетах и битах в секунду. IP-адреса получателя, для которых на коллекторе превышены пороги, могут анонсироваться по BGP для постановки на защиту.

BGP. Добавлены системные списки префиксов и FlowSpec, формируемые по данным коллектора.

Добавлены новые системные списки префиксов:

  • system.policy.ips — формируется из IP-адресов, полученных от коллектора, скорость поступления трафика на которые превышает установленный порог;
  • system.policy.ips.checked — равен по содержанию списку system.policy.ips, но сравнивается с проверочным списком, во избежание blackhole.

Добавлены новые системные списки FlowSpec:

  • system.policy.flowspec.ips — формируется из IP-адресов, полученных от коллектора, скорость поступления трафика на которые превышает установленный порог;
  • system.policy.flowspec.ipsrules — формируется из значений четырех параметров из правил маршрутизации, ведущих на эту политику: протокол, префикс отправителя, порт отправителя и порт получателя. В префикс получателя подставляются IP-адреса, полученные от коллектора, скорости поступления трафика на которые превышают установленный порог.

Переименованы системные списки:

  • system.policy.prefixes переименован в system.policy.flowspec.prefixes;
  • system.policy.rules переименован в system.policy.flowspec.rules;
  • system.flow.detect переименован в system.policy.prefixes;
  • system.flow.detect.checked переименован в system.policy.prefixes.checked.

Если в списки .ips попал IP-адрес, принадлежащий политике защиты, то для избежания дублирования правила маршрутизации на эту политику не учитываются при формировании других системных списков.

Detect. Добавлены новые пороги по уникальным IP-адресам на выходе из политики защиты.

Добавлен порог активации механизма автодетектирования при изменении количества уникальных адресов на выходе из политики <element>.Unique.SrcAddr.Out.{On, Off}.

Добавлены пороги по возрастанию количества уникальных адресов на входе и выходе из политики за такт: <element>.Unique.SrcAddr.{In, Out}.Diff.

Добавлен порог нижнего предела чувствительности. Механизм автодетектирования не включится или немедленно выключится если количество уникальных адресов на выходе из политики не превышает <element>.Low.Unique.SrcAddr.Out.

Detect. Переименованы пороги автодетектирования по уникальным IP-адресам на входе в политику.

  • <element>.Unique.SrcAddr.{On, Off} переименован в <element>.Unique.SrcAddr.In.{On, Off};
  • <element>.PerSrcAddr{Bps, Pps}.{On, Off} переименован в <element>.PerSrcAddrIn{Bps, Pps}.{On, Off}.

UX. Добавлен подсчет количества уникальных IP-адресов на выходе из политики защиты.

Теперь на графике IP-адресов отображается количество уникальных адресов на входе и выходе политики защиты.

UX. Добавлено отображение текущих значений внешнего и внутреннего MAC-адресов.

Теперь при нажатии на иконку появляется тултип с текущим значением MAC-адреса.

UX. Добавлен уникальный префикс названий политик группы.

Добавлен префикс названий политик группы, показывающий принадлежность политик защиты к конкретной группе. Префикс автоматически добавляется перед названиями всех политик защиты данной группы через символ нижнего подчеркивания. Это позволяет пользователям разных групп создавать политики с одинаковыми названиями, а администратору системы легко различать политики защиты в общем списке. Поле принимает латиницу, кириллицу, цифры и специальные символы. Максимальная длина – 5 символов.

UX. Удалена проверка количества запросов до повторной аутентификации в контрмерах TCP, HTTP, ATLS, DNS.

UX. Добавлено отображение количества лицензируемых экземпляров в кластере.

UX. Обновлена встроенная справка на английском языке.