Версия v24.10

В версии v24.10 добавлена страница «Обзор», массовые изменения политик защиты, выключение правил маршрутизации, групповые именованные списки, отправка syslog по сбросам тестового режима, глобальный мягкий стоп.
Расширена функциональность контрмер WL, WL6, TBL, FRAG, GEO, ACL, ACLI, FACL, LACL, FRB, RETR, SLOB, DNS, а также BGP, Инцидентов, PCAP, Logan, Collector и Active Sync. Внесены множественные изменения в UX.

Изменения версии v24.10

Мониторинг. Добавлена страница Обзор.

В раздел главного меню «Мониторинг» добавлена страница «Обзор». Страница внешне похожа на «Анализ Flow», и позволяет настроить одновременное отображение данных из различных разделов web-интерфейса, сведенных в один или несколько дашбордов. Каждый дашборд задается на отдельной вкладке. Название вкладки может быть изменено, чтобы отражать состав отображаемых данных. Для каждой вкладки может быть задано произвольное количество виджетов с данными, определен их размер и положение на экране. Переключение между вкладками позволяет быстро переключаться между несколькими наборами виджетов для решения различных задач.

Большинство виджетов – это области графиков из различных разделов web-интерфейса. Для удобства добавления виджеты разбиты на смысловые категории.

Также на страницу можно добавить виджеты журнала событий, списка инцидентов и индикацию превышений порогов как по всем политикам, так и только по выбранным.

Policy. Добавлено массовое изменений политик защиты.

Теперь на странице списка политик защиты можно единовременно применить одинаковое действие сразу к нескольким выбранным политикам защиты. На данный момент поддерживаются действия включения и отключения отдельных контрмер, а также добавление порогов автодетектирования.

Policy. Добавлена информация об использовании оперативной памяти политикой.

Теперь в настройках политики защиты можно выгрузить csv-файл с информацией о потреблении оперативной памяти.

Аналогичную информацию можно также получить на странице «Состояние системы» на вкладке «Ресурсы».

Routing Rules. Добавлено отключение правил маршрутизации.

Теперь в режиме редактирования можно отключить правило маршрутизации, не удаляя его.

Права. Добавлено право на просмотр графиков по экземплярам для групповых пользователей.

BGP. Добавлена поддержка IPv6.

На страницу политики IPv6 добавлены элементы управления BGP-анонсированием: переключатель «Отправлять BGP-анонсы», управление пороговыми значениями для blackhole и signaling, пороги автодетектирования и прочее, аналогично странице политики IPv4.

Списки префиксов и flowspec-правил для IPv4 и IPv6 вынесены на отдельные вкладки. Изменены названия всех списков. Теперь в названии указывается принадлежность к версии IP.

В политике анонса BGP-соседу IPv4 и IPv6 списки можно указывать одновременно.

BGP. Добавлена возможность анонсирования агрегированных префиксов.

BGP-соседу добавлено свойство «Источник агрегированных списков».

Добавлен новый список префиксов system.ipv4.aggregated.prefixes.

У всех списков префиксов появилось свойство «Наполнять». Если свойство проставлено, то такой список участвует в наполнении system.ipv4.aggregated.prefixes.

Список наполняется агрегатами, по которым обнаружено вхождение.

Пример:

Источник агрегированных списков сообщает префиксы 1.1.1.0/24 и 2.2.2.0/24.

Системный список system.ipv4.policy.prefixes и пользовательский список test1 имеют свойство «Наполнять».

В test1 вручную задано значение 1.1.1.1/32. Оно соответствует одному из значений в агрегированном списке.

В system.ipv4.policy.prefixes задано значение 192.168.0.0/16 из dst IP правила маршрутизации. Оно не соответствует ни одному из значений в агрегированном списке.

В результате в список system.ipv4.aggregated.prefixes будет добавлено значение 1.1.1.0/24, так как оно сообщено источником и по нему есть вхождение. По значению 2.2.2.0/24 нет вхождения, поэтому данный префикс в список не попадет. Значение 192.168.0.0/16 не оказывает влияния на system.ipv4.policy.prefixes, так как не входит ни в один префикс агрегированного списка.

Softstop. Добавлен глобальный «Мягкий стоп».

Теперь, если во множестве политик защиты используется SPLI, перед снятием трафика с MITIGATOR можно активировать глобальный «Мягкий стоп», чтобы не разрывать активные сессии. «Мягкий стоп» будет включен в SPLI всех политик, в которых проставлен одноименный чекбокс.

WL. Добавлена возможность пропускать трафик на dst IP.

Теперь WL в общей защите и политике может пропускать без обработки последующими контрмерами не только трафик с указанных src IP, но и на указанные dst IP.

Белый список получателей поддерживает:

  • префиксы;
  • IP-адреса;
  • номера автономных систем;
  • доменные имена;
  • именованные списки;
  • поконтрмерный bypass.

WL6. Добавлена возможность пропускать трафик на dst IP.
TBL. Добавлен график добавления механизмом синхронизации.

Добавлен график количества IP-адресов, занесенных в TBL механизмом синхронизации таблиц между экземплярами из списков блокировки других экземпляров за 5 секунд.

ACL. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.

Теперь префиксы отправителей и получателей в правилах ACL можно указывать диапазонами. Например:

DROP src (175.180.90.0-175.180.90.21)

ACLI. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
LACL. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
FRB. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
RETR. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
PCAP. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.
FRAG. Добавлены действия для ACL-правил в FRAG.

В прошлой версии появилась возможность отправлять на пересборку только пакеты, соответствующие заданным правилам, но в некоторых сценариях этого оказалось недостаточно.

Теперь в правилах поддерживаются действия PASS и DROP. Это позволяет более явно указать, какой трафик нужно пропустить на пересборку, а какой сбросить.

Например:

drop fragment IsF dst 10.10.10.0/24
pass

Такие правила означают, что фрагментированный трафик на 10.10.10.0/24 будет сбрасываться, а весь прочий пересобираться и обрабатываться последующими контрмерами.

SLOB. Добавлен пропуск трафика неизвестных соединений.

Теперь можно активировать режим работы, при котором пакеты соединений, которые контрмера ранее не видела, пропускаются сразу на выход контрмеры без проверки.

GEO. Добавлено действие блокировки отправителей по GEO-признаку.

Добавлено действие «Блокировать», позволяющее отправлять в TBL IP-адреса из определенных стран или автономных систем.

GeoIP. Добавлена возможность выгружать базу GeoIP из MITIGATOR.

Теперь пользователь может скачивать базу данных GeoIP, в том числе с учетом внесенных изменений по принадлежности IP-адресов стране и ASN.

Syslog. Добавлена возможность выбора политик и контрмер, по сбросам в которых требуется отправлять syslog-сообщения.

Syslog. Добавлена возможность отправки сообщений о сбросах в тестовом режиме.

Чтобы отличать тестовые сбросы на приемной стороне, они отправляются с отладочным приоритетом. Сообщение начинается с символов “<15>” (USER.DEBUG), вместо “<14>” (USER.INFO).

LOGAN. Добавлена возможность указания нескольких правил с одинаковой метрикой.

Теперь в Logan можно задать несколько правил с request, referer и user-agent. Это позволяет применять разную логику блокировок или уведомлений в зависимости от содержимого заголовков запросов.

Пример:

block 600 request ^ST|^T
block 1000 request /ajax/sendSmsCodeToUser/ limit 8 period 10

Также стало возможным указание одной и той же метрики с разными действиями:

alert src.rps limit 10 period 10
block 300 src.rps limit 100 period 10

Следует учитывать, что запрет на указание одинаковых метрик с одним и тем же действием сохраняется. Если в политике обрабатываются логи с несколькими токенами, и для разных токенов требуется задать различные пороги срабатывания, то во всех правилах с повторяющейся метрикой должна быть указана принадлежность конкретному токену.

То есть вместо:

token sometoken
token 2.2.2.2
alert src.rps limit 100 period 300 for sometoken
alert src.rps limit 100 period 200

следует указывать:

token sometoken
token 2.2.2.2
alert src.rps limit 100 period 300 for sometoken
alert src.rps limit 100 period 200 for 2.2.2.2
LOGAN. Добавлено журналирование причины срабатывания alert.

Теперь в поле custom журнала событий и в syslog сообщениях указывается сработавшее правило.

IPList. Добавлена возможность создания и управления именованными списками в группе.

Теперь на странице «Группа» в пункте подменю «Именованные списки IP-адресов» групповые пользователи могут создавать именованные списки IP-адресов и самостоятельно управлять их содержимым.

Максимальное количество списков в группе можно ограничить в настройках группы.

Active Sync. Добавлен выбор контрмер для синхронизации.

Теперь в настройках активной синхронизации можно указать, данные каких контрмер следует синхронизировать между обработчиками пакетов.

Collector. Изменен выбор точки сбора в Анализе Flow.

Теперь на вкладке «Дашборд» страницы «Анализ Flow» и на вкладку «Анализ Flow» в политике защиты точка сбора flow выбирается при добавлении конкретного виджета, а не влияет на весь дашборд.

Collector. Добавлена возможность задания лицензионного ключа и полосы для Collector через web-интерфейс.

Начиная с версии v24.10 Collector требует указания лицензионного ключа и используемой полосы, а также наличия постоянной связности с сервером лицензирования.

Collector. Добавлено взаимодействие с источниками flow по SNMPv3.

Collector. Добавлена фильтрация по TCP-флагам.

Теперь в фильтре Дашборда на странице «Анализ Flow» и на вкладке «Анализ Flow» в политике защиты можно указывать TCP-флаги с помощью ключевого слова tcp-flags. Значения флагов задаются аналогично контрмере ACL.

Collector. Добавлены геоданные для выгружаемой статистики.

На странице «Анализ Flow» и на вкладке «Анализ Flow» в политике защиты, выгрузки «IP-адреса отправителей» и «Статистика по src_ip» обогащаются геоданными.

Incidents. Добавлена сводка из журнала причин блокировок TLS.

Теперь, аналогично сводке по IP-адресам, занесенным в TBL, в информации об инциденте отображается статистика по причинам блокировки контрмерами ATLS и DTLS. Те же изменения внесены и в экспортируемый отчет по инциденту.

UX. Визуальные настройки web-интерфейса вынесены на отдельную вкладку.

Теперь управление темой оформления, заливкой графиков и расположением контента осуществляется на отдельной вкладке «Внешний вид» в настройках профиля пользователя.

UX. Добавлена настройка выравнивания контента.

Теперь можно настраивать расположение карточек на странице, по центру экрана или со смещением к главному меню.

UX. Добавлена системная тема.

Системная тема теперь выбрана по умолчанию. В зависимости от предпочитаемого цветового оформления в ОС будет автоматически выбираться подходящая тема оформления.

UX. Изменено главное меню в свернутом состоянии.

Теперь если главное меню свернуто, оно раскрывается при наведении курсора.

UX. Изменена страница «Группы».

Теперь разделы страницы «Группы» вынесены в подменю.

UX. Добавлена иконка наполнения из TBL для именованного списка с типом «Ввод».

Теперь, если именованный список имеет тип «Ввод» и наполняется из TBL, то помечается соответствующей иконкой.

UX. Добавлено отображение группы в настройках политики.

Теперь в настройках политики защиты отображается название группы, к которой относится данная политика.

UX. Добавлена индикация работы Logan на странице списка политик.

Теперь на странице списка политик защиты отображается статус Logan.

UX. Добавлен выбор интервала отображения в журнал событий.

UX. Добавлены заголовки для всех областей графиков при разворачивании вкладок общего графика.
UX. Увеличен лимит символов в префиксе названия группы.

Теперь префикс названия группы может содержать до 10 символов.

UX. Добавлен человеко-читаемый формат датапикера при копировании в буфер обмена.

Теперь, выделенный временной интервал копируется в буфер обмена в человеко-читаемом виде.