Версия v24.08
В версии v24.08 добавлена поддержка VRRP для режима работы L3-роутер, возможность коммутации
трафика c TAP-интерфейсом в ОС, взаимодействие по SNMP, поддержка JA4-отпечатков, управление
парольной политикой, улучшена точность графиков и надежность их получения,
внесены множественные улучшения в UX.
Расширена функциональность контрмер VAL, TBL, FRAG, SLOB, ATLS, DNS, SPLI, HCA, а также Collector,
Logan и Web Challenger.
Обновление до версии v24.08 следует выполнять согласно специальной инструкции.
Изменения версии v24.08.1
Core. Добавлены настройки параметров работы LACP в пассивном режиме.
Теперь в dataplane.conf можно задать параметры работы LACP в пассивном режиме.
# LACP system ID.
# Если не задан, используется локальный MAC-адрес.
lacp_system_id: <auto-detect>
# Операционный ключ порта LACP.
# [0, 65535]
lacp_oper_key: 1000Incidents. Добавлены значения среднего и максимального трафика, сброшенного контрмерами.
В отчет по инцидентам добавлена таблица значений среднего и максимального трафика, сброшенного за время инцидента каждой контрмерой.
UX. Добавлены экспорт и импорт пресетов виджетов.
Теперь на вкладке «Дашборд» страницы «Анализ Flow» и на вкладке «Анализ Flow» в политике защиты можно скопировать набор и расположение виджетов в буфер обмена, а также добавить пресет из буфера. Это позволяет делиться конфигурацией дашборда с другими пользователями.
Изменения версии v24.08
Deploy. Добавлена поддержка VRRP для режима работы L3-роутер.
В режиме работы L3-роутер реализована поддержка VRRP для всех режимов подключения на физическом уровне:
- Inline;
- On a stick;
- Common LAN.
Deploy. Добавлена возможность коммутации трафика c TAP-интерфейсом.
Теперь в операционной системе доступен TAP-интерфейс, на который, при включении коммутации, будет поступать трафик с dataplane-интерфейсов. Это позволяет в том числе поднять BGP-сессию, используя dataplane-интерфейс.
VAL. Оптимизирована и ускорена работа контрмеры при валидации контрольных сумм.
VAL. Добавлен опциональный сброс UDP без контрольной суммы.
SLOB. Добавлен график соединений, прошедших первоначальную проверку.
FRAG. Добавлены правила обработки фрагментированных пакетов для IPv4.
Теперь пересборка может применяться не ко всем поступающим пакетам, а только к тем, что соответствуют заданным правилам. Все прочие пакеты будут сброшены. Это позволяет обрабатывать только легитимный фрагментированный трафик, если он есть в защищаемой сети. Синтаксис правил аналогичен контрмере ACL, но не содержит действия над трафиком. L4 header содержится только в первом фрагменте, это стоит учитывать при написании правил.
FRAG. Оптимизирована и ускорена пересборка пакетов.
ATLS. Добавлен лимитер для сегментированных ClientHello.
ATLS. Добавлена поддержка JA4-отпечатков.
ATLS. Добавлена поддержка функции «Мониторинг соединений».
DNS. Увеличены размеры белого списка и списка разрешенных доменных имен.
DNS. Добавлена обработка UDP трафика с 53 порта.
SPLI. Добавлен выбор режима установления соединения с нулевым окном.
SPLI. Изменена работа контрмеры в режиме проверки по первой сессии.
Теперь просроченные соединения, установленные с IP-адреса в режиме проверки по первой сессии закрываются отправкой RST+ACK. Отправку таких пакетов можно ограничить.
HCA. Добавлена поддержка активной синхронизации.
Теперь при настроенной активной синхронизации между обработчиками пакетов синхронизируются данные таблиц сессий прямой и обратной трансляции контрмеры HCA. Это позволяет нескольким обработчикам пакетов работать с одним Web Challenger, например, когда трафик к Web Challenger и от него проходит через разные экземпляры MITIGATOR.
HCA. Добавлено указание защищаемых доменов.
Теперь в контрмере нужно указывать защищаемые домены, которые заданы для группы проверяющих серверов.
TBL. Добавлена поддержка добавления IP-адресов в именованный список с типом источника «Временный».
NamedLists. Добавлен новый тип источника.
Теперь для именованных списков IP-адресов, наполняемых из TBL, можно выбрать тип источника «Временный». IP-адреса будут находиться в таком списке только в течение времени их нахождения в TBL. Когда IP-адрес выйдет из TBL, он будет удален и из именованного списка. Если IP-адрес заблокирован несколькими TBL одновременно, например в разных политиках защиты, то будет удален из именованного списка, когда выйдет из всех. Алгоритм наполнения списков с типом «Ввод» из TBL оставлен без изменений.
NamedLists. Добавлена поддержка JA4-отпечатков.
Теперь в именованных списках TLS-отпечатков поддерживается указание как JA3, так и JA4.
NamedLists. Изменен User-Agent для подключения к источнику именованного списка по http.
LOGAN. Оптимизирован и ускорен подсчет статистики.
LOGAN. Добавлена возможность исключить из обработки запросы с определенных IP-адресов для правил alert.
Теперь действие allowed-src влияет и на правила с действием alert.
Web challenger. Поддержаны сценарии работы Web-challenger за NAT, FW и Load balancer.
Теперь Web-challenger может сообщать всем экземплярам MITIGATOR об IP-адресах, прошедших челлендж, через VPN по mgmt-сети. Возможность уведомления об аутентификации через dataplane-сеть сохранена.
BGP. Изменены названия отдельных amplification списков.
В целях приведения к единому шаблону наименования некоторых списков изменены:
| Было | Стало |
|---|---|
| system.policy.flowspec.blackhole.rules.hpd.ips | system.policy.flowspec.blackhole.hpd.ips.rules |
| system.policy.flowspec.blackhole.rules.ips | system.policy.flowspec.blackhole.ips.rules |
| system.policy.flowspec.signaling.rules.hpd.ips | system.policy.flowspec.signaling.hpd.ips.rules |
| system.policy.flowspec.signaling.rules.ips | system.policy.flowspec.signaling.ips.rules |
| system.policy.flowspec.amplification.ip_fragment.prefixes | system.policy.flowspec.amplification.ipfragment.ips |
| system.policy.flowspec.amplification.ip_fragment.ips | system.policy.flowspec.amplification.ipfragment.prefixes |
| system.policy.flowspec.amplification.mssql_rs.prefixes | system.policy.flowspec.amplification.mssqlrs.ips |
| system.policy.flowspec.amplification.mssql_rs.ips | system.policy.flowspec.amplification.mssqlrs.prefixes |
Syslog. Оптимизирована и ускорена работа механизма отправки информации о сбросах в syslog.
Active Sync. Добавлена возможность указания MAC-адреса получателя.
Теперь можно указать MAC-адрес экземпляра получателя сообщений синхронизации для случая, когда отправитель и получатель находятся в одном сегменте L2-сети.
Collector. Добавлено разделение IP-адресов экспортера для приема Flow и SNMP.
Теперь при настройке экспортера можно указать различные IP-адреса для получения от него Flow и для приема SNMP.
Collector. Настройки коллекторов трафика вынесены в отдельный пункт главного меню.
Collector. Добавлены графики flow на подключенных коллекторах и графики производительности.
Collector. Расширена статистика по интерфейсам экспортеров.
На вкладку «Дашборд» страницы «Анализ Flow» и на вкладку «Анализ Flow» в политику защиты добавлены сложные скорости:
- IP-адрес источника flow + Интерфейс входящий
- IP-адрес источника flow + Интерфейс исходящий
А также в виджеты «Интерфейс исходящий» и «Интерфейс входящий» добавлено поле «Источник».
Incidents. Добавлена статистика по сбросам из Flow.
Теперь в инцидентах отображается статистика по сбросам, полученная от Collector. Также теперь статистика в пакетах и битах отображается одновременно.
SNMP. Добавлена передача метрик по SNMP.
Теперь MITIGATOR может отдавать ряд метрик по SNMP. Для работы механизма требуется включить отправку в карточке «Общие параметры» страницы «Настройка системы».
Настройка получения статистики от SNMP агента.
Graph. Изменен формат хранения данных графиков.
Требует выполнения миграции. См. специальную инструкцию.
Вместо накопительных счетчиков хранятся предрассчитанные скорости — изменения за секунду. Увеличивает точность графиков за отдаленные промежутки времени. Уменьшает риск потери точек при нестабильном соединении между экземплярами кластера.
Docker. Поддержана работа с docker compose v2.
Users. Добавлено управление парольной политикой.
Теперь администраторы системы могут настраивать парольную политику для учетных записей пользователей.
UX. Изменены страницы «Настройка системы» и «Экземпляры».
Теперь разделы страниц «Настройка системы» и «Экземпляры» вынесены в подменю.
UX. Добавлено отображение порогов автодетектирования в карточках контрмер.
Теперь при нажатии на шестеренку рядом с переключателем автодетектирования в контрмерах политики защиты можно посмотреть, какие пороги автодетектирования для нее заданы. В этом же окне можно изменить состав порогов и их значения. Для применения изменений нужно нажать на кнопку с галочкой.
UX. Изменена карточка «Отправка sFlow».
Теперь настройки отправки sFlow для IPv4 и IPv6 отображаются на одной вкладке. Также добавлена возможность применять единые настройки отправки sFlow независимо от версии протокола IP, аналогично отправке информации о сбросах в syslog.
UX. Добавлены тултипы для иконок управления виджетами в «Анализе Flow».
Теперь на вкладке «Дашборд» страницы «Анализ Flow» и на вкладке «Анализ Flow» в политике защиты при наведении курсора на иконки управления виджетами появляются подсказки, описывающие назначение иконок.
UX. Добавлен набор виджетов по умолчанию.
Теперь на вкладке «Дашборд» страницы «Анализ Flow» и на вкладке «Анализ Flow» в политике защиты по умолчанию отображается базовый набор виджетов.
UX. Добавлены графики трафика, полученного от проверяющих серверов.
На вкладку «Активная синхронизация» страницы «Состояние системы» добавлены графики трафика от Web Challenger, который создается при работе через management-интерфейс.
UX. Добавлена возможность уменьшать область списка контрмер в политике защиты.
Повышает удобство изучения графиков на небольших экранах.
