Версия v25.12
В версии v25.12 добавлено: комментирование изменений настроек, изменение порядка контрмер политики, новая контрмера RECK, DNAT в Общую защиту IPv4, множество улучшение в механизм автодетектирвоания.
Расширена функциональность контрмер DNS, ATLS, SLOW, а также механизма синхронизации, взаимодействия по BGP и TACACS+.
Внесены множественные улучшения в UX.
Изменения версии v25.12
EventLog. Добавлено комментирование изменений настроек.
Для повышения прозрачности вносимых в настройки защиты изменений во время эксплуатации, а также для удобства фиксации как самих изменений, так и мотивации к ним, или другой дополнительной информации по проводимым работам, добавлена «Сессия редактирования».
Сессия редактирования – это режим, при запуске которого все изменения настроек, которые пользователь совершил во время сессии, привязываются к идентификатору сессии и сопровождаются комментарием. В Журнале событий для всех изменений, совершенных во время сессии редактирования, отображаются ID этой сессии.
В журнал событий добавлена новая вкладка, на которой отображаются все завершенные сессии. Из каждой завершенной сессии можно перейти к событиям этой сессии.
При нажатии кнопки «Начать сессию» в верхней панели на любой странице Web-интерфейса открывается окно для ввода комментария и кнопка для запуска. Комментарий можно дополнять в любое время, пока активна сессия редактирования.
В профиль пользователя добавлен новый параметр «Использование сессии редактирования». Значением этого параметра определяется, каким образом пользователю позволено вносить изменения в настройки:
- Не используется – пользователь может вносить изменения в настройки без запуска сессии редактирования, как это было до версии MITIGATOR v25.12. Элементы управления сессией редактирования не отображаются;
- По желанию – пользователь может запускать сессию редактирования и логировать изменения, но система позволяет ему вносить изменения и без запуска сессии редактирования;
- Обязательно – чтобы внести любые изменения в настройки пользователь обязан запустить сессию редактирования.
По умолчанию задано значение «Не используется».
EventLog. Добавлено журналирование значений в событиях ручного изменения таблиц контрмер.
Теперь в журнале событий в поле «Подробности» фиксируются измененные значения при ручном редактировании таблиц контрмер.
Policy. Добавлена возможность изменять порядок контрмер политики.
Теперь на вкладке «Настройка» страницы политики защиты в карточке «Порядок применения контрмер» можно изменить порядок контрмер политики.
Расположение некоторых элементов изменить нельзя.
Новые политики защиты создаются со стандартным расположением контрмер. При копировании политики защиты копируется и расположение контрмер.
В любой момент расположение контрмер в политике можно сбросить к стандартному.
Важно: Возможность изменять порядок контрмер позволяет адаптировать политику защиты под изощренные пользовательские сценарии, но сопряжена с рисками. При добавлении в MITIGATOR новой контрмеры ее положение в цепочке обработки определяется, в том числе, сложностью логики работы, а следовательно потреблением ресурсов системы. В стандартной конфигурации при обработке атакующего трафика сначала применяются простые контрмеры, снижающие объем трафика для обработки последующими контрмерами, а сложные применяются только к оставшемуся трафику. В случае перемещения сложных контрмер в начало списка, они будут принимать на себя весь атакующий трафик, что может сказаться на производительности системы.
Detect. Добавлены пороги по относительному изменению за такт.
В дополнение к <element>.Xxx.Diff. порогам, которые срабатывали при абсолютном изменении
отслеживаемой метрики, добавлены <element>.Xxx.Ratio. пороги на относительное изменение
метрики за такт, то есть на отношение метрики в текущем и предыдущем такте.
Подробнее во встроенной документации по автодетектированию.
Detect. Добавлены пороги по относительному и абсолютному изменению метрики для анонсирования по BGP по данным из Flow.
Для возможности делать BGP-анонсы при резком изменении трафика добавлены .Diff. и .Ratio.
пороги по входящему и сброшенному трафику.
| Основа имени | Описание |
|---|---|
BGP.<announce_type>.Flow.Input{Pps,Bps}.{Diff,Ratio}* |
по входящему трафику |
BGP.<announce_type>.Flow.Drop{Pps,Bps}.{Diff,Ratio}* |
по всему сброшенному трафику |
BGP.<announce_type>.Flow.Drop.Other{Pps,Bps}.{Diff,Ratio}* |
по трафику, сброшенному не на MITIGATOR |
Detect. Добавлены пороги по количеству IP-адресов в TBL.
Для всех контрмер, политики и BGP-анонсов добавлены двусторонние пороги по количеству
IP-адресов, находящихся в TBL: <element>.TBL.IPs.On и <element>.TBL.IPs.Off.
Также доступны аналогичные пороги <element>.TBL.IPs.Diff по изменению количества IP-адресов,
находящихся в TBL.
В частности, если задать <element>.TBL.IPs.On, но не задавать <element>.TBL.IPs.Off,
получится порог, который удерживает контрмеру включенной, пока в TBL содержится заданное
количество IP-адресов.
Detect. Добавлены пороги для регистрации инцидентов по входу в обработчик и данным Collector.
Теперь фиксация инцидентов запускается по порогам:
Incidents.Input{Pps,Bps}по суммарному входящему трафику;Incidents.Drop{Pps,Bps}по суммарному сброшенному трафику;Incidents.Flow.Input{Pps,Bps}по суммарному входящему трафику по данным коллектора;Incidents.Flow.Drop{Pps,Bps}по суммарному сброшенному трафику по данным коллектора.
Также доступны пороги по абсолютному и относительному изменению скоростей .Diff. и .Ratio..
Подробнее во встроенной документации по автодетектированию.
Detect. Добавлены пороги по входящему трафику за вычетом пропущенного WL.
Добавлены пороги по входящему и пропущенному трафику за вычетом отправленного на выход контрмерой WL:
<element>.Protected.Input{Pps,Bps}.{On,Off}— по входящему трафику;<element>.Protected.Pass{Pps,Bps}.{On,Off}— по пропущенному трафику;<element>.Protected.Input{Pps,Bps}.{Diff,Ratio}*— по изменению входящего трафика;<element>.Protected.Pass{Pps,Bps}.{Diff,Ratio}*— по изменению пропущенного трафика.
Detect. Добавлен механизм удержания контрмеры включенной при частом переключении.
Если контрмера <element> в течение <element>.Latch.ObservationTicks тактов
переключается более <element>.Latch.SwitchLimit раз,
то она включается и удерживается включенной в течение <element>.Latch.HoldTicks тактов.
Подробнее во встроенной документации по автодетектированию.
RECK. Добавлена новая контрмера RECK в Общую защиту.
В Общую защиту IPv4 добавлена контрмера RECK «Проверка повторением». Контрмера позволяет защищаться от Flood атак, без процедуры challenge-response.
По настройкам и способу обработки трафика похожа на RETR.
DNAT. Добавлена функция DNAT в Общую защиту IPv4.
ATLS. Добавлена пересборка сегментированных «ClientHello».
Добавлена опция, при активации которой контрмера собирает ClientHello из сегментов и обрабатывает. Сбор TLS-отпечатков также учитывает собранные ClientHello.
Если пересборка активирована, то она выполняется даже для ClientHello от уже аутентифицированного клиента.
DNS. Добавлены графики по типам запросов.
SLOW. Добавлено независимое включение тестового режима.
Теперь тестовый режим для SLOW можно включать независимо от LCON.
TACACS+. Добавлена возможность работы с несколькими серверами TACACS+.
При добавлении нескольких серверов сверка атрибутов учетной записи производится с первым в очереди сервером. Если он недоступен – со следующим по списку, и так далее.
Routing Rules. Добавлена возможность указывать в правилах маршрутизации ICMP6.
В поле «Протокол» для правил маршрутизации на политики защиты IPv6 теперь можно
указывать алиас ICMP6.
BGP. Добавлены системные списки префиксов .aggregated. и .protected. для IPv6.
Sync. Добавлено указание на источник блокировки при синхронизации TBL.
Ранее при включенной синхронизации таблиц на экземплярах, на которые запись в таблицу
TBL добавлялась механизмом синхронизации, в источнике добавления отображалось sync.
Теперь для всех экземпляров отображается краткое название контрмеры, которая изначально
занесла IP-адрес в блокировку, а признак синхронизации стал булевым.
Пример:
instance_id,instance_name,ip,ttl,source,from_sync,policy_id,policy_name,country,city,as_number,as_name
1,Mitigator0,1.1.1.1,300,ATLS,false,1,Default,"Finland","Tampere",39699,"Lounea Palvelut Oy"Overview. Добавлены экспорт и импорт пресетов виджетов для страницы Обзор.
Теперь на странице «Обзор» можно скопировать набор и расположение виджетов в буфер обмена, а также добавить пресет из буфера. Это позволяет делиться конфигурацией дашборда с другими пользователями.
Overview. Добавлена настройка отображения виджетов секции.
Теперь на странице «Обзор» можно настроить вид отображения виджетов – количество столбцов в строке и высоту столбцов, как в Анализе Flow.
