Версия v23.08
В версии v23.08 добавлена функция мониторинга соединений, поддержка синхронизации
ISN для anycast IP-адресов, настройка времени хранения журналов, возможность всегда
помечать трафик с IP-адресов в HPD, отправка sFlow по сброшенному трафику,
одновременное отображение обеих единиц измерения на графиках политики и общей защиты.
Расширена функциональность контрмер SCAN, WL, WL6, TCP, MINE, HCA, VAL, DNS, ATLS,
DTLS, JA3, SPLI, а также механизма автодетектирования и Logan.
Изменения версии v23.08.1
Notifications. Добавлен настраиваемый префикс темы для email-уведомлений.
Теперь можно задать префикс, который будет подставляться в тему писем с уведомлениями.
Reports. В отчет по инцидентам добавлена сводка по заблокированным IP адресам.
Теперь в отчете отображается информация о количестве блокировок по отдельным контрмерам и суммарно, а также количество уникальных заблокированных IP-адресов.
Stats. Добавлена отправка журналов причин блокировки контрмер ATLS и DTLS на сервер аналитики.
Изменения версии v23.08
CMON. Добавлена новая функция «Мониторинг соединений».
Функциональность нужна для того, чтобы контрмеры при включении не разрывали установленные соединения. Механизм аналогичен обучению в контрмерах TCP, MINE, USF.
MCR. Добавлена поддержка функции «Мониторинг соединений».
WL. Изменен принцип раскрытия префиксов при сохранении списка.
После добавления функциональности поконтрмерного байпаса префиксы стали раскрываться в /32. Теперь при сохранении списка на отдельные /32 раскрываются только префиксы:
- с маской от /29 до /31;
- для которых указаны контрмеры для байпаса.
Это позволяет избежать переполнения WL.
WL6. Изменен принцип раскрытия префиксов при сохранении списка.
WL. В общую защиту добавлена возможность пропускать пакет без обработки контрмерами, работающими после политик защиты.
Теперь в WL общей защиты IPv4 можно указать для байпаса контрмеры DLIM,
PLIM, TLIM, SCAN и LACL.
WL6. В общую защиту добавлена возможность пропускать пакет без обработки контрмерами, работающими после политик защиты.
Теперь в WL общей защиты IPv6 можно указать для байпаса контрмеры
PLIM6 и LACL6.
SCAN. Добавлен пропуск без обработки трафика на конкретные dst ip.
Теперь можно указать IP-адреса, трафик на которые контрмера будет пропускать без обработки.
HPD. Добавлена возможность всегда помечать трафик с IP-адресов.
Теперь в контрмере можно указать префиксы, трафик с которых всегда помечается как подлежащий обработке. Это позволяет обрабатывать трафик подозрительных отправителей даже если пороги адресной защиты не превышены. Поддерживаются именованные списки.
VAL. Добавлено управление опциональными критериями сброса механизмом автодетектирования.
Добавлена возможность управлять состоянием дополнительных критериев валидации при помощи механизма автодетектирования. Каждый из дополнительных критериев валидации в контрмере может быть постоянно включен, постоянно выключен или управляться механизмом автодетектирования, что соответствует кнопкам «Да», «Нет» и «Авто» напротив названия критерия.
VAL. Изменены дополнительные критерии сброса пакетов.
Теперь в контрмере сбросы для TCP SYN без опций и TCP SYN+ACK без опций включаются отдельно.
TCP. Добавлена поддержка работы обучения при использовании HPD.
Теперь при включенном обучении контрмера учитывает IP-адреса по которым нет превышения в HPD.
MINE. Добавлена поддержка работы обучения при использовании HPD.
HCA. Добавлена поддержка работы обучения при использовании HPD.
ATLS. Добавлена поддержка фрагментированных IP-пакетов.
Теперь производится анализ всего сообщения ClientHello, содержащегося в нескольких IP фрагментах, собираемых FRAG, а не только в первом из них.
DTLS. Добавлена поддержка фрагментированных IP-пакетов.
JA3. Добавлена поддержка фрагментированных IP-пакетов.
DNS. Добавлен новый режим аутентификации по UDP.
Добавлен новый режим UDP-аутентификации через CNAME.
SPLI. Добавлен режим установки соединения с отложенной отправкой данных.
ISN-агент. Добавлена поддержка сценария синхронизации параметров ISN для anycast IP-адресов.
Применяется для случаев, когда за один IP-адрес отвечает несколько серверов. Нужно обновить агент синхронизации и задать в настройках политики соответствие между IP-адресами сервисов и IP-адресами агентов синхронизации, установленных на серверах этих сервисов.
LOGAN. Добавлен признак применимости правила только к логам Web-сервера с конкретным token.
Для случаев, когда в политику защиты поступают логи нескольких Web-серверов c
различными token, добавлено ключевое слово for, позволяющее указать в правиле токен.
Правило в этом случае будет применяться только к логам Web-сервера с указанным token.
Пример:
block 400 src.uniq.uri limit 100 period 10 for 1234567891287654Правило занесет на 400 секунд в список временной блокировки IP-адрес,
с которого в течение 10 секунд на web-сервер с токеном 1234567891287654
поступило более 100 запросов с разными URI.
Если нужно, чтобы правило применялось к логам нескольких Web-серверов, но не ко всем, следует записать одно и то же правило несколько раз с разными значениями token.
LOGAN. Добавлена возможность задать в правилах доменное имя в качестве token.
Теперь в качестве токена можно указать доменное имя. Это может потребоваться, если логи нескольких web-ресурсов поступают от одного источника, например WAF.
sFlow. Добавлена отправка sflow по сброшенному трафику.
Теперь в MITIGATOR можно независимо собирать и отправлять sflow по входящему трафику из внешней сети и по трафику, сброшенному контрмерами.
Это позволяет более подробно анализировать и визуализировать трафик, сброшенный контрмерами.
Journals. Добавлена настройка глубины хранения журналов.
Механизм с заданной периодичностью удаляет из системы записи старше указанного времени хранения. Время хранения для различных данных задается независимо.
Detect. Добавлены пороги удержания состояния контрмеры по счетчикам сброса другой контрмеры.
Теперь можно задать пороги автодетектирования для контрмер вида
<element1>.Drop.<element2>.{Pps,Bps}.{On,Off}, где <element1> — контрмера,
которой управляет порог, <element2> — контрмера, по сбросам которой срабатывает
порог. <element1> и <element2> могут быть одинаковыми.
Примеры:
- Порог
GEO.Drop.GEO.Pps.Off = 100означает, что контрмера GEO не выключится пока в ней наблюдается сброс больше 100 pps. Это может быть полезно, если контрмера включается по пропущенному трафику. - Порог
ACL.Drop.BL.Pps.Off = 100означает, что контрмера ACL не будет выключена до тех пор, пока контрмера BL сбрасывает больше 100 pps. - Порог
ACL.Drop.BL.Pps.On = 100означает, что контрмера ACL будет включена, когда контрмера BL начнет сбрасывать больше 100 pps.
Detect. Добавлены пороги по метрике скорости TLS ClientHello.
Добавлены пороги <element>.Input.ATLS.ClientHello.{On,Off}, включающие или отключающие
контрмеры по количеству сообщений TLS ClientHello, поступающих на вход контрмеры ATLS.
Для подсчета TLS ClientHello контрмера ATLS должна быть включена или находиться в режиме
автодетектирования.
UX. Добавлено отключение порога автодетектирования комментированием строки.
UX. Добавлен режим одновременного отображения общих графиков в pps и bps для общей защиты и политики.
Дополнительно к одновременному отображению переработан набор иконок для управления режимами отображения общего графика.
UX. Добавлена настройка отображения вкладок общего графика.
Теперь можно настроить отображение вкладок общего графика.
Для включения или отключения отображения вкладки нужно кликнуть на нее с зажатой
клавишей Alt.
UX. Добавлена сортировка для страницы списка политик защиты.
Добавлена возможность отсортировать политики защиты по возрастанию или убыванию объема входящего, пропущенного или сброшенного трафика в pps или bps.
