Версия v23.02

В версии v23.02 добавлен детектор адресной защиты, новая контрмера ACLI, именованные списки JA3, поддержка FHRP в режиме интеграции в сеть «Common LAN», поддержка баз GeoIP2, новые системные списки FlowSpec-правил.
Расширена функциональность автодетектирования, Collector и PCAP, контрмер ATLS, DTLS, JA3, SLOB, TBL, TBL6, MCR, RETR, RETR6, VAL, VAL6, DNS, WL, WL6.

Информация

Обновление до версии v23.02 следует выполнять согласно специальной инструкции.

Изменения версии v23.02.3

MCR. Добавлена поддержка двух секретных ключей.

Теперь MCR может одновременно работать с двумя секретными ключами. Это позволяет поддерживать сценарии постепенного обновления защищаемых клиентских приложений.

Incidents. Добавлено указание тегов при экспорте в CSV.

Теперь при экспортировании списка инцидентов в CSV в запись об инциденте записываются присвоенные ему теги.

Изменения версии v23.02.1

Incidents. Добавлена классификация инцидентов.

Теперь можно указать множественные теги для классификации инцидентов. При добавлении тега можно выбрать из предустановленных вариантов или задать свой.

Изменения версии v23.02

HPD. Добавлен «Детектор адресной защиты».

Для ситуации когда в политику защиты направляется трафик множества dst IP и необходимо активировать фильтрацию только для трафика адресов под атакой, добавлен механизм «Детектор адресной защиты» (HPD). Механизм позволяет активировать фильтрацию в отдельных контрмерах только для IP-адресов, трафик на которые превышает установленный порог в пакетах или битах.

В зависимости от выбранного режима работы детектора на обработку контрмерами политики может быть направлен:

  • весь трафик политики защиты;
  • только трафик адресов, для которых превышен порог. Остальной трафик будет пропускаться на выход политики без обработки.

Если в политику направляется весь трафик, то контрмеры политики независимо друг от друга могут обрабатывать трафик согласно персональных настроек адресной защиты.

Когда детектор адресной защиты обнаруживает превышение порога, в журнале событий формируется соответствующая запись. Пользователю может направляться уведомление о событии срабатывания детектора, если настроены каналы отправки уведомлений о событиях системы.

Также, на основании данных детектора адресной защиты могут формироваться списки префиксов и списки FlowSpec-правил для анонсирования по BGP. В названиях таких списков присутствует суффикс .hpd..
HPD совместим с механизмом автодетектирования и адресной защитой (HPA) в контрмерах TCP и MINE.
HPD поддерживается в следующих контрмерах политики: BL, TBL, ACL, GEO, RTS, SOUR, RETR, TCP, MINE, CRB, LCON, SLOB, HTTP, ATLS, JA3, DTLS, GAME, WG, DNS, SIP, SPLI, FRB, SERB, SORB, SPRB, REX, BPF, USF, NCL, LIM.

ACLI. Добавлена новая контрмера «Фильтрация по правилам трафика из внутренней сети» в общую защиту IPv4.

Контрмера предназначена для фильтрации трафика, поступающего из внутренней сети. По принципу действия и синтаксису аналогична контрмере ACL, но не поддерживает действие block.

Теперь на MITIGATOR можно поддерживать сценарии использования двунаправленного и высокопроизводительного stateless firewall с большим набором правил.

JA3Lists. Добавлены именованные списки JA3-отпечатков.

В настройках системы теперь можно задать именованные списки JA3-отпечатков. Логика работы и источники значений такие же как для именованных списков IP-адресов. Именованные списки JA3 можно применять в контрмерах ATLS, DTLS, JA3 и в PCAP для фильтрации.
Поддерживается импортирование фидов от команды MITIGATOR при указании токена.

ATLS. Добавлена поддержка именованных списков JA3.

Теперь в контрмере ATLS для указания белого списка, черного списка и списка разрешенных используется поле ввода, в котором можно указать именованный список JA3-отпечатков. Сохранена возможность загрузки файла.
При загрузке файла, его содержимое добавляется к текущим значениям и отображается в поле ввода.

DTLS. Добавлена поддержка именованных списков JA3.

Теперь в контрмере для белого списка, черного списка и списка разрешенных можно указать именованный список JA3-отпечатков.

JA3. Добавлена поддержка именованных списков JA3.

JA3. Добавлена возможность указывать в правиле более одного JA3 отпечатка.

Перед каждым отпечатком следует указывать ключевое слово JA3. Между отпечатками применяется логическое «ИЛИ».

TBL. Добавлен механизм наполнения именованного списка заблокированными IP-адресами.

Теперь в TBL можно выбрать именованный список, который будет наполняться значениями заблокированных IP-адресов. Таким образом, можно наполнять именованный список данными из нескольких TBL и использовать в других контрмерах и политиках.

TBL. Изменен способ отображения названий контрмер в журнале TBL.

Теперь в журнале блокировок TBL вместо полного названия контрмеры, добавившей IP-адрес в список блокировки, отображается краткое название.

TBL. Добавлена проверка IP-адреса на вхождение в TBL всех политик IPv4.

Теперь в TBL общей защиты можно проверить, в каких политиках защиты заблокирован IP-адрес.

TBL. Добавлена выгрузка журнала блокировки из всех политик IPv4.

Теперь в TBL общей защиты можно выгрузить журнал блокировок по всей системе.

TBL. Добавлена возможность выгрузки IP-адресов, отслеживаемых механизмом прогрессивной блокировки.

Теперь можно добавить в выгрузку IP-адреса, которые уже вышли из блокировки, но продолжают отслеживаться механизмом прогрессивной блокировки.

TBL6. Добавлен механизм наполнения именованного списка заблокированными IP-адресами.

TBL6. Изменен способ отображения названий контрмер в журнале TBL6.

TBL6. Добавлена проверка IP-адреса на вхождение в TBL всех политик IPv6.

TBL6. Добавлена выгрузка журнала блокировки из всех политик IPv6.

TBL6. Добавлена возможность выгрузки IP-адресов, отслеживаемых механизмом прогрессивной блокировки.

RETR. Добавлено действие BYPASS.

Иногда может потребоваться исключить влияние контрмеры на трафик, соответствующий определенному шаблону, поэтому добавлено действие BYPASS, при котором не задаются пороги. Трафик, соответствующий шаблону в таком правиле, пропускается на выход контрмеры, а IP-адрес отправителя не заносится в таблицу аутентифицированных.

RETR6. Добавлено действие BYPASS.

SLOB. Переработаны механизмы контрмеры.

Теперь время бездействия сессии задается отдельно для сессий, прошедших и не прошедших начальную проверку соединения.

VAL. Добавлены новые опции сбросов.

Теперь контрмера может сбрасывать:

  • TCP-сегменты с флагом ACK и одинаковыми Sequence и Acknowledgment number;
  • пакеты, в которых указаны зарезервированные биты в TCP-заголовке, определенные в RFC 9293.

Оба флага по умолчанию установлены.

VAL6. Добавлены новые опции сбросов, аналогичные добавленным в VAL.

DNS. Добавлен новый режим аутентификации по TCP.

WL. Добавлена возможность пропускать трафик мимо контрмеры BL.

WL. В общую защиту IPv4 добавлена возможность пропускать пакет без обработки только конкретными контрмерами аналогично политике защиты.

WL6. Добавлена возможность пропускать трафик мимо контрмеры BL6.

WL6. В общую защиту IPv6 добавлена возможность пропускать пакет без обработки только конкретными контрмерами аналогично политике защиты.

PCAP. Добавлена возможность указания нескольких Telegram ID в автозахвате.

PCAP. Добавлена информация о настройках sFlow.

Теперь в комментарии к файлу захвата указываются настройки формирования sFlow.

PCAP. Добавлена индикация времени начала и продолжительности захвата.

Теперь после запуска захвата напротив заголовка «Захватывать пакеты» отображаются время начала захвата и его продолжительность.

PCAP. Добавлена поддержка именованных списков JA3-отпечатков в поле фильтрации.

PCAP. Добавлено объединение файлов захвата с разных экземпляров.

Для удобства захвата пакетов в кластере с множеством экземпляров добавлен флаг «Объединить результаты захвата со всех экземпляров в один файл». Если флаг установлен, то захваченные пакеты со всех экземпляров кластера в рамках выбранной точки захвата объединяются в единый файл. В комментарии к пакету указываются номер и название экземпляра, на котором произошел его захват.

PCAP. Добавлена возможность захватывать сбросы политик в общей защите.

Теперь, выполняя захват в общей защите по точке захвата «Сброшенные», можно указать список политик защиты, сброшенные пакеты из которых войдут в результирующий файл.
Если установлен чекбокс «Захватывать сбросы всех политик», то в файл захвата будут добавлены пакеты, сброшенные во всех политиках защиты, а не только в указанных.

GeoIP. Добавлена поддержка баз GeoIP2.

GeoIP. Добавлена возможность загружать базы Geo в формате .mmdb.

BGP. Добавлены новые системные списки FlowSpec.

В систему добавлены новые системные списки FlowSpec-правил для противодействия амплификациям.

Пороги скорости в пакетах или битах для добавления IP-адресов в списки .ips. задаются на странице «Политика защиты» на вкладке «Настройка политики».

Detect. Добавлены пороги автодетектирования амплификаций по данным Flow.

Новые пороги Policy.BGP.Flow.Amplification.* управляют наполнением системных списков FlowSpec-правил по данным правил маршрутизации на политики защиты и по данным Collector.

Detect. Добавлено управление состоянием политики защиты при помощи механизма автодетектирования.

Теперь включение и отключение политики защиты может управляться механизмом автодетектирования. Для этого требуется задать пороги Policy.Input{Pps,Bps}.{On, Off} на вкладке «Автодетектирование» и активировать переключатель «Автоматическое управление состоянием политики».

Если политика управляется механизмом автодетектирования, рядом с ее названием на странице политики и странице списка политик отображается соответствующая индикация.

Collector. Добавлено отображение статистики с Collector по всем политикам защиты.

Добавлена новая страница интерфейса «Анализ Flow». На ней отображается данные в виде графиков трафика и таблиц со статистикой, сгруппированной по различным критериям, аналогично вкладке «Анализ Flow» отдельных политик.

Deploy. Добавлена поддержка FHRP для режима интеграции в сеть «Common LAN».

Если внешние или внутренние роутеры присылают кадры с указанием реальных MAC-адресов устройств вместо виртуального, следует указать в настройках список реальных IP-адресов роутеров, чтобы MITIGATOR мог определить соответствующие им MAC-адреса. В случае если кадры от всех устройств FHRP приходят с указанием виртуального MAC-адреса, достаточно указать только виртуальный IP-адрес.

UX. Добавлено отображение информации о количестве экземпляров системы в кластере.

Теперь в карточке «Лицензия» на странице «Экземпляр» отображается, какое количество экземпляров системы использовано данным кластером из общего числа лицензированных экземпляров.

UX. Добавлен режим одновременного отображения графиков Мониторинга в pps и bps.

EventLog. Добавлено логирование изменившихся параметров контрмер в журнале событий.

Теперь при внесении изменений в настройки контрмер в поле «Подробности» журнала событий отображаются измененные значения.