Версия v25.06

Внимание

Обновление до версии v25.06 следует выполнять согласно специальной инструкции.

В версии v25.06 добавлено: объекты мониторинга, правила учета flow в политиках защиты, анализатор сервисов, новые контрмеры TCP6 и LCON6, механизм автоподбора порогов в контрмерах, кнопка принудительной смены лидерства.

Расширена функциональность контрмер TBL, TBL6, TWL, TWL6, CRB, CRB6, LCON, RETR, TCP, MINE, SLOB, ATLS, HTTP, DNS, FRB, SERB, SORB, SORB6, BPF, USF, NCL, NCL6, HCA, а также BGP, Инцидентов, Именованных списков, Logan, Collector, WebC и Active Sync.

Внесены множественные улучшения в UX.

Изменения версии v25.06

MO. Добавлены объекты мониторинга.

В дополнение к принципу ассоциации flow по правилам на политики защиты вводится новый принцип ассоциирования трафика по объектам мониторинга.

В рамках объекта мониторинга отдельно подсчитывается статистика по трафику для целей детектирования и визуализации.

Принципиальное отличие ассоциирования flow к объекту мониторинга и политике защиты заключается в том, что:

  • flow может ассоциироваться только с одной политикой защиты, но с несколькими объектами мониторинга. Например, разные объекты мониторинга описывают AS, префикс в ней, хост и сервис, тогда трафик соединения с сервисом может быть учтен во всех четырех объектов мониторинга;
  • порядок указания правил ассоциирования (правил маршрутизации) для политик имеет значение, а для объектов мониторинга - нет.
  • для объектов мониторинга существуют понятия границы сети и процедура дедупликации flow.

Добавлены механизмы автоматической классификации интерфейсов и определение границ сети.

Policy. Добавлен автоподбор порогов в контрмерах политики защиты.

Для решениях задачи установки порогов, не оказывающих влияния на прохождение легитимного трафика, добавлен механизм автоматического подбора порогов в контрмерах политики защиты.

При запуске автоподбора контрмера включается в тестовом режиме, а также же в ней отключается функция занесения IP-адресов в список временной блокировки контрмеры TBL.

Далее механизм подбирает значения порогов.

По окончании подбора значения порогов могут быть применены вручную или автоматически.

Механизм поддержан в контрмерах CRB, CRB6, LCON, LCON6, FRB, SERB, SORB, SORB6, NCL, NCL6.

Policy. Добавлены правила учета flow в политиках защиты.

Теперь в политике защиты с помощью FlowDesc-правил можно описать, какие flow следует обрабатывать (accept), а какие игнорировать (ignore) в счетчиках и детектировании.

Например, таким образом эксплуатант может описать flow с какого интерфейса и направления следует учитывать в политиках.

Синтаксис FlowDesc-правил

FlowRules = FlowRule* .
FlowRule = ("accept" | "ignore") FlowDesc .
FlowDesc = FlowDescComponent* .
FlowDescComponent =
		("src" (PrefixSpec | ("(" PrefixSpec+ ")"))) |
		("dst" (PrefixSpec | ("(" PrefixSpec+ ")"))) |
		("sport" (Range | ("(" Range+ ")"))) |
		("dport" (Range | ("(" Range+ ")"))) |
		("fragmented" ("true" | "false")) |
		("protocol" (ProtocolRange | ("(" ProtocolRange+ ")"))) |
		("tcp" | "udp" | "icmp" | "icmpv6")+ |
		("tcp-flags" (MaskedTCPFlags | ("(" MaskedTCPFlags+ ")"))) |
		("ipv4" | "ipv6") |
		("icmp-type" (Range | ("(" Range+ ")"))) |
		("icmp-code" (Range | ("(" Range+ ")"))) |
		("exporter" (Exporter | ("(" Exporter+ ")"))) |
		("ingress-interface-index" (Range | ("(" Range+ ")"))) |
		("egress-interface-index" (Range | ("(" Range+ ")"))) .
PrefixSpec = Prefix | <asn> .
Prefix = <ipv4> | <ipv6> | (<cidrv4> | <cidrv6>) .
Range = <int> ("-" <int>)? .
ProtocolRange = ("tcp" | "udp" | "icmp" | "icmpv6") | Range .
MaskedTCPFlags = <tcpflags>? "/" <tcpflags> .
Exporter = <int> | (<ipv4> | <ipv6>) | <string> .
TBL. Добавлена фильтрация по префиксу при выгрузке журнала TBL.

Теперь можно выгрузить содержимое журнала блокировок TBL с фильтром по префиксу.

TBL6. Добавлена фильтрация по префиксу при выгрузке журнала TBL6.
TCP6. Добавлена контрмера TCP в политики защиты IPv6.
LCON6. Добавлена контрмера LCON в политики защиты IPv6.
ATLS. Добавлен опциональный фильтр по версии TLS-записи.

Теперь в контрмере можно указать список разрешенных версий отдельно для TLS Handshake и прочих TLS записей.

HTTP. Добавлен режим работы с перенаправлением на HTTPS.

Добавлен режим перенаправления HTTP-запроса на HTTPS. Перенаправление может выполняться как после прохождения любого челенджа, так и без него.

DNS. Добавлено режим ответа nxdomain для запросов к доменам не из списка разрешенных.

Добавлена опция, при активации которой на запросы к доменным именам, которых нет в списке разрешенных и списке, сформированном во время обучения, будет отправляться nxdomain.

Multi. Добавлена кнопка смены лидера.

Добавлена кнопка принудительной смены лидерства Backend. Кнопка работает аналогично уже существующему API-запросу.

Active Sync. Добавлена периодическая отправка GARP.

Для корректной работы отправки MDP-трафика в L2-режимах интеграции в сеть добавлена периодическая отправка Gratuitous ARP пакетов во внутреннюю или внешнюю сеть.

Incidents. Добавлена фильтрация списка инцидентов по максимальной скорости сброса.

Теперь в списке инцидентов можно применить фильтрацию по максимальной скорости сброса в пакетах и битах в секунду.

EventLog. Добавлено журналирование изменений правил маршрутизации.

Теперь при создании, удалении, изменении содержимого правила маршрутизации или при изменении порядка правил, в поле «Подробности» журнала событий отображаются внесенные изменения.

Journals. Добавлена настройка глубины хранения журнала изменений правил маршрутизации.
BGP. Добавлен next-hop IPv6 по умолчанию.

Теперь в настройках соседа можно указать next-hop по умолчанию для IPv6 протокола.

NamedACL. Добавлена возможность создания и управления именованными наборами правил фильтрации в группе.

Теперь на странице «Группа» в пункте подменю «Именованные наборы правил фильтрации» групповые пользователи могут создавать списки правил и самостоятельно управлять их содержимым.

Максимальное количество списков в группе можно ограничить в настройках группы.

Права. Добавлены отдельные права на BGP.

Добавлены независимые права на чтение и запись для разных страниц раздела BGP. По умолчанию у системного пользователя права на BGP не установлены.

Права. Добавлена возможность просматривать таблицу использования именованных списков для группового пользователя.

Теперь групповой пользователь может видеть, в каких его политиках и контрмерах применяются системные списки IP-адресов и TLS-отпечатков, а также именованные наборы правил.

Core. Обновлен DPDK до v25.03
Core. Изменен подсчет сбросов внутреннего маршрутизатора системы.

Для упрощения отладки счетчик Router Discard разделен на два: Input Router Discard и Output Router Discard. Теперь на графике Input Router Discard отображаются сбросы L3-маршрутизации входящих пакетов и невалидные LACP-пакеты. На графике Output Router Discard отображаются сбросы L3-маршрутизации исходящих пакетов.

Docker. Изменены параметры деплоя контейнеров согласно требованиям CIS Benchmarks.
Web challenger. Добавлено отключение проверки доступности Web challenger по mgmt.

В версии v25.02 был добавлен периодический опрос челенджеров для проверки доступности по mgmt. В случае отказа контрмера HCA не направляла трафик на челенджеры, от которых не получен ответ. Теперь эту проверку можно отключить для случаев, когда перенаправление в контрмере HCA выполняется не на Web challenger, а на сторонние системы L7-защиты.

Collector. Добавлен анализатор сервисов в Анализ Flow.

Теперь на странице «Анализ Flow» и на вкладке «Анализ Flow» в политике защиты доступна выгрузка отчетов по трафику защищаемой сети, что помогает в настройке защиты за счет выявления сервисов в защищаемой сети. Механизм работы и типы отчетов аналогичны Service Analyzer на сервисе анализа дампов psg.mitigator.ru, но данные для построения статистики берутся из Collector.

Collector. Добавлена поддержка названий протоколов в фильтрах Анализа Flow.

Теперь в фильтре страницы «Анализ Flow» и на вкладке «Анализ Flow» в политике защиты можно указать названия протоколов icmp, icmp6, udp, tcp.

Collector. Изменен виджет графика «Идентификатор политики».

Виджет графика «Идентификатор политики» в Анализе Flow переименован в «Политика защиты». В легенде графика теперь вместо ID отображается название политики.

Collector. Добавлен фильтр по признаку учета flow.

Если для политик защиты заданы правила учета flow, то можно фильтровать статистику на странице Анализ Flow по признаку учета.

Collector. Добавлен виджет Признак учета Flow в политике.
LOGAN. Оптимизирована и ускорена работа Logan.
UX. Изменена вкладка настройки внешнего вида интерфейса в профиле.

Теперь тема интерфейса, заливка графиков и настройка выравнивания содержимого применяются сразу при выборе соответствующей радиокнопки и не требуют подтверждения.

UX. Изменено окно выбора фильтров для flow по сбросам.

На странице «Анализ Flow» и на вкладке «Анализ Flow» в политике защиты изменено окно выбора фильтров для flow по сбросам. Теперь настройка выполняется сразу в поле фильтра без дополнительного модального окна.

UX. Изменена страница «Сигнализация».

Теперь разделы страницы «Сигнализация» вынесены в подменю.

UX. Добавлен 95% процентиль в легенду графиков.

Теперь в легенде всех графиков появилась дополнительная колонка, в которой отображается значение 95% процентиля для кривой.

UX. Добавлено суммарное количество трафика за интервал.

Теперь в легенде всех графиков появилась дополнительная колонка, в которой отображается количество трафика за выбранный период.

UX. Добавлено скрытие отображения большого количества префиксов в правилах маршрутизации.

Теперь в полях Префикс отправителя и Префикс получателя в правиле маршрутизации отображаются только префиксы, которые помещаются в 200 символов. Для раскрытия полного списка нужно кликнуть на спойлер в конкретном правиле или на галочку раскрытия для всех правил в заголовке таблицы правил. Поиск по странице через Ctrl+F работает даже для скрытых префиксов.

UX. Изменено всплывающее сообщение, возникающее при проверке вхождения в список.

В ряде контрмер есть функциональность проверки вхождения IP-адреса в список или таблицу. Теперь во всплывающем сообщении, появляющемся при нажатии на кнопку «Проверить», отображается не только информация о наличии IP-адреса в списке, но и указание на экземпляры кластера.

Изменения коснулись контрмер TWL, TBL, MCR, RETR, TCP, MINE, SLOB, HTTP, DNS, BPF, USF, HCA.

UX. Изменены модальные окна выбора политик защиты из списка.

Теперь элементы управления составом списка всегда видны, даже если политик защиты много.

Config. Добавлена возможность задать разные адреса для доступа к хосту контейнеров и клиентов.

Ранее переменная MITIGATOR_HOST_ADDRESS в файле .env использовалась как для сообщения контейнеров с хостом, так и в качестве адреса экземпляра, на который перенаправлялись клиенты API и UI. Теперь адрес для клиентов API и UI указывается в переменной MITIGATOR_PUBLIC_ADDRESS. Рекомендуется в MITIATOR_HOST_ADDRESS задать IP-адрес, чтобы проблемы DNS не влияли на взаимодействие контейнеров; В MITIGATOR_PUBLIC_ADDRESS допустимо задать IP-адрес или доменное имя. Если MITIGATOR_PUBLIC_ADDRESS совпадает с MITIGATOR_HOST_ADDRESS, то поведение остается старым.