В версии v23.06 добавлены новые контрмеры HCA и LACL, переработана контрмера RTS,
добавлены регулярные отчеты и журналирование параметров автодетектирования.
Расширена функциональность контрмер TBL, TBL6, ACL, ACL6, TCP, MINE, ATLS,
DTLS, DNS, REX, REX6, ACLI и именованных списков.
Обновление до версии v23.06 следует выполнять согласно специальной инструкции.
Добавлена новая контрмера, аутентифицирующая IP-адреса методом challenge-response внутри HTTPS.
Для работы контрмеры в настройках системы необходимо задать TLS-сертификаты и секретные ключи для защищаемых доменов.
Механизм работает в экспериментальном режиме.
В общую защиту и политики защиты IPv4 и IPv6 добавлена контрмера LACL. По синтаксису контрмера похожа на ACL, и имеет тот же состав компонентов фильтрации по L3 и L4-заголовкам, но другой набор действий над трафиком.
В контрмере предусмотрены действия:
PASS
– пропустить;DROP
– сбросить;PACKETS
<число> – ограничить в пакетах в секунду;BITS
<число> – ограничить в битах в секунду;PACKETS
<число> BITS
<число> – ограничить в пакетах в секунду и битах в секунду.В раздел Web-интерфейса «Отчеты» добавлена новая страница «Регулярные отчеты». На странице создаются задания на рассылку регулярных отчётов. В настоящий момент отчеты содержат в себе информацию об инцидентах. В будущем планируется добавление информации и по другим сущностям.
При создании задания на рассылку нужно указать по инцидентам каких политик защиты или группы должен формироваться регулярный отчет. Задаются периодичность отправки и временной период, данные за который попадут в отчет.
Периодичность отправки регулярных отчётов можно выбрать из предустановленных вариантов, либо задать собственные параметры периодичности в формате Cron. При необходимости можно выполнить отправку отчета адресатам немедленно.
Отчет может отправляться по email или через Telegram. В «Настройках системы» должны быть заданы настройки почтового сервера и Telegram токен. Формат отчета – HTML или PDF.
Для уменьшения ложноположительных срабатываний при применении правил фильтрации, сгенерированных контрмерой, переработаны и улучшены алгоритмы генерации сигнатур. Контрмера анализирует L3 и L4 заголовки, возможность генерации по L4 payload временно отключена. Для работы механизма требуется использование эталонного трафика. Дамп с эталонным трафиком должен быть загружен в контрмеру, а в параметрах контрмеры должен быть установлен чекбокс «Использовать эталонный трафик».
Теперь аутентификация по TCP может выполняться без сброса сессии за счет синхронизации параметров ISN c защищаемым DNS-сервером двумя способами, в зависимости от наличия stateful firewall перед защищаемым сервером.
Ранее COUNT был отдельным действием, по которому пакет, соответствующий правилу, пропускался на выход контрмеры и подсчитывался. Теперь COUNT – это флаг, который можно задать для любого действия. Если флаг задан, пакет подсчитывается и отображается на соответствующем действию графике.
Таким образом, в контрмере предусмотрены действия:
PASS
– пропустить;DROP
– сбросить;BLOCK
– заблокировать;COUNT PASS
– пропустить и подсчитать;COUNT DROP
– сбросить и подсчитать;COUNT BLOCK
– заблокировать и подсчитать.Изменения аналогичны таковым в контрмере ACL.
Изменения аналогичны таковым в контрмере ACL.
Изменения аналогичны таковым в контрмере ACL.
Теперь при создании именованного списка IP-адресов в качестве типа источника можно указать «Mitigator feeds». Выбранный из выпадающего списка фид с сервера аналитики будет установлен в систему. Работает фильтрация по названию. Период обновления списка аналогичен типу источника «HTTP».
Требуется указание токена доступа к серверу аналитики в настройках системы. Для получения токена следует обратиться к вашему аккаунт-менеджеру.
Теперь в именованных списках IP-адресов можно указывать номера автономных систем
в виде as123456
.
Теперь для загрузки и установки базы сигнатур в карточке «Управление REX-сигнатурами» страницы «Настройка системы» требуется указать токен доступа к серверу аналитики в карточке «Сервер аналитики».
Теперь при изменении порогов автодетектирования в поле «Подробности» журнала событий отображаются измененные значения.
Теперь на странице «Анализ Flow» можно выгрузить CSV-файлы с данными за указанный временной интервал аналогично вкладке «Анализ Flow» страницы «Политика защиты».
Теперь метрики занимают меньше дискового пространства.
Добавлен механизм, позволяющий получить ответ бэкенда на действие в интерфейсе, не прибегая к просмотру логов или средствам разработчика в браузере.