Версия v25.02

В версии v25.02 добавлено: контрмера DNAT, отправка тестового сброса по sFlow, работа с несколькими LOGAN, поддержка работы ISN за NAT, облегченный backup, ручной запуск мягкого старта в контрмерах, возможность изменения конфигурации Web Challenger, поддержка доменных имен в именованных списках.
Расширена функциональность контрмер WL, WL6, TBL, TBL6, ACL6, FTLS, а также Инцидентов, PCAP, PCAP6, Collector и TAP-интерфейса. Контрмера JA3 переименована в FTLS.

Изменения версии v25.02

Policy. Добавлены новые действия для массовых изменений политик защиты.

Добавлены действия:

• включение политик защиты;
• отключение политик защиты;
• включение автодетектирования в контрмерах политик;
• отключение автодетектирования в контрмерах политик.

Policy. Добавлена информация о принадлежности группе в выгрузку по использованию оперативной памяти.

В CSV-файле с информацией о потреблении оперативной памяти, выгружаемом на вкладке «Настройка политики» страницы «Политика защиты» и вкладке «Ресурсы» на странице «Состояние системы», теперь содержится информация о номере и названии группы, к которой принадлежит политика.

PCAP. Добавлен фильтр по JA4-отпечаткам.

Теперь в захвате пакетов для общей защиты и политики можно задать фильтр по JA4-отпечатку.

PCAP6. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.

Softstart. Добавлен ручной запуск Мягкого старта.

Теперь во всех контрмерах, поддерживающий Мягкий старт, режим можно активировать вручную нажатием на кнопку «Запустить» при условии, что контрмера включена.

DNAT. Добавлена новая контрмера DNAT.

Для решения задачи перенаправления определенного трафика на стороннее L7-устройство фильтрации в политику защиты добавлена новая контрмера «Трансляция адреса получателя». Описание трафика, который должен транслироваться из политики, выполняется с помощью ACL-подобных правил.

WL. Добавлена возможность пропускать трафик из определенных стран.

Теперь, если загружены базы данных GeoIP для стран, в WL общей защиты и политик можно указать, трафик из каких стран должен пропускаться контрмерой без обработки. Поддерживается поконтрмерный байпас, позволяющий пропускать трафик из указанных стран мимо указанных контрмер.

Также добавлена возможность пропускать без обработки весь трафик неуказанных стран, как всеми контрмерами, так и только выбранными.

WL6. Добавлена возможность пропускать трафик из определенных стран.

TBL. Добавлена проверка вхождения префикса в списки блокировки.

Теперь можно выгрузить содержимое TBL с фильтром по префиксу.

TBL6. Добавлена проверка вхождения префикса в списки блокировки.

ACL6. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.

FTLS. Переименована контрмера JA3 в FTLS.

Контрмера JA3 «Фильтрация по JA3-отпечаткам» переименована в FTLS «Фильтрация TLS по отпечаткам».

FTLS. Добавлена поддержка JA4-отпечатков.

Теперь в правилах фильтрации можно указывать как JA3, так и JA4-отпечатки.

Deploy. Добавлена возможность принудительно отказаться от статуса VRRP-мастера на экземпляре.

Теперь можно принудительно отдать статус VRRP-мастера. В зависимости от настроек прежний мастер может остаться участником VRRP в качестве Backup, либо полностью прекратить участие в VRRP.

Deploy. Управление TAP-интерфейсом вынесено в отдельный подпункт главного меню.

Deploy. Добавлен режим зеркалирования трафика на TAP-интерфейс.

Deploy. Добавлено ограничение трафика, поступающего на TAP-интерфейс.

TACACS+. Добавлен выбор режима проверки пользователей при интеграции с TACACS+.

В режиме «Аутентификация» выполняется только аутентификация пользователей с помощью TACACS+. Пользователи, для которых в MITIGATOR еще нет учетных записей, не смогут войти в систему, даже если у них есть учетная запись TACACS+. Учетная запись MITIGATOR для них должна создаваться вручную системным администратором с последующей передачей функции аутентификации на сервис TACACS+.

Если выбран режим «Аутентификация и авторизация», то при первой попытке аутентификации для пользователя без учетной записи в MITIGATOR, но с учетной записью TACACS+, будет автоматически создана учетная запись в MITIGATOR с набором прав, указанном в настройках сервиса TACACS+.

Web challenger. Добавлена проверка работоспособности Web challenger.

Добавлен периодический опрос челенджеров для проверки работоспособности. В случае отказа контрмера HCA не будет направлять трафик на Web challenger.

Web challenger. Добавлена возможность вносить изменения в конфигурацию nginx на Web challenger.

Теперь с помощью полей http и server можно вносить изменения в конфигурацию nginx, что позволяет расширять функциональность Web challenger стандартными средствами nginx.

Указанное в поле http распространяется на все защищаемые домены. Указанное в поле server распространяется только на конкретный домен.

Примеры применений:

1. Для отправки логов с Web challenger.

Если задать формат логов

log_format myformat '$remote_addr - $remote_user [$time_local] "$request" $request_time $status $body_bytes_sent "$http_referer" "$http_user_agent"';

и параметры отправки,

access_log syslog:server=10.8.3.1:7201,tag=123456789abcdefg myformat;

то Web-challenger будет отправлять логи в combined формате, на 10.8.3.1:7201 с токеном 123456789abcdefg.

2. Передача оригинального IP-адреса клиента при работе через балансеры и прокси

В поле server задаются настройки для модуля ngx_http_realip_module.

real_ip_header X-Forwarded-For;
set_real_ip_from 192.168.1.0/24;
real_ip_recursive on;

В этом случае, если поступил запрос из подсети 192.168.1.0/24, то Web-challenger аутентифицирует не тот IP-адрес, который был указан в src_ip, а указанный в http-заголовке X-Forwarded-For.

Web challenger. Добавлен выбор режима челленджа для каждого защищаемого ресурса.

Теперь на вкладке «TLS-сертификаты» можно указать, какой режим проверки следует применять для конкретного защищаемого домена.

Collector. Добавлены графики трафика по метрикам, полученным по SNMP и проверка расхождений с Flow.

Collector. Дополнен список виджетов в Анализе Flow.

Collector. Добавлена выгрузка статистики в Анализе Flow по IP-адресам экспортеров.

Collector. Добавлена индикация для интерфейсов, которые не были переданы по SNMP, но есть во Flow.

LOGAN. Добавлена возможность использования нескольких LOGAN.

Теперь MITIGATOR может работать с несколькими LOGAN одновременно. Настройки LOGAN вынесены в отдельный пункт подменю «Анализаторы логов».

В политике защиты на вкладке «Анализ логов» теперь можно выбрать, по какому LOGAN показывать статистику. Если выбран вариант «Все экземпляры», то статистика отображается для каждого подключенного экземпляра LOGAN в отдельных блоках, размещенных друг под другом, и отделенных заголовком с названием экземпляра.

LOGAN. Добавлен график среднего времени обработки запроса.

На вкладку графика политики «Время запросов» в Анализе логов добавлен график, показывающий среднее время обработки запроса.

IPList. Добавлена поддержка доменных имен в именованных списках IP-адресов.

Теперь в именованных списках IP-адресов можно указывать доменные имена.

sFlow. Добавлена отправка sflow по сбросам в тестовом режиме.

Теперь обработчик пакетов может отправлять sFlow по тестовым сбросам.

ISN-агент. Добавлена поддержка работы ISN за NAT.

Ранее в сценариях защиты с использованием синхронизации параметров сессий возникали проблемы при нахождения защищаемого сервера за NAT. В карточке «Синхронизация параметров сессии» в таблице трансляции теперь можно сопоставить публичные и локальные IP-адреса и порты защищаемых сервисов.

Incidents. Добавлен счетчик инцидентов.

Теперь в списке инцидентов отображается количество инцидентов на выбранном временном интервале.

Incidents. Добавлен выбор способа получения выгружаемого отчета.

Теперь при нажатии кнопки «Экспорт» для получения отчета по инцидентам можно выбрать способ получения:

• скачать файл с отчетом;
• отправить файл с отчетом на email, указанный в профиле пользователя;
• отправить файл с отчетом в Telegram чат с ID, указанным в профиле пользователя.

Incidents. Добавлено ограничение на размер выгружаемого отчета.

Теперь в файл нельзя выгрузить отчет более чем по 100 инцидентам.

Reports. Добавлена статистика по максимальной и средней скоростям сброса для каждой контрмеры.

В экспортируемый отчет по инцидентам добавлена таблица значений среднего и максимального трафика, сброшенного за время инцидента каждой контрмерой.

Backup. Добавлена возможность создания облегченной резервной копии.

Добавлена возможность создания облегченной резервной копии данных кластера. Облегченная резервная копия не содержит данных журналов и инцидентов.

Инструкция по резервному копированию обновлена.

UX. Добавлен автоматический выбор первого токена из списка в Анализе логов.

Теперь на вкладке «Статистика» в «Анализе логов» автоматически выбирается первый токен из списка.

UX. Добавлен выбор версии протокола IP в Топ политик.

Теперь на вкладке «Топ политик» страницы «Мониторинг» можно посмотреть топы по IPv4 и IPv6 трафику независимо. Отображение графиков управляется кнопками IPv4 и IPv6.

UX. Изменено отображение элементов управления на странице Анализ Flow.

Кнопки для выбора версии протокола IP приведены к тому же виду, что и на вкладке «Топ политик» страницы «Мониторинг». Для групп элементов управления добавлены заголовки.

UX. Добавлен сброс фильтров на странице списка политик защиты.

Теперь в каждом поле фильтра на странице списка политик защиты есть иконка для сброса примененных фильтров.

UX. Добавлена возможность отредактировать интервал при скачивании журнала в TBL.

Ранее при выборе предустановленного временного интервала в датапикере журнала диалоговое окно закрывалось. Теперь выбранный интервал применяется только после подтверждения, что дает возможность скорректировать границы интервала.