Версия v25.12

В версии v25.12 добавлено: комментирование изменений настроек, изменение порядка контрмер политики, новая контрмера RECK, DNAT в Общую защиту IPv4, множество улучшений в механизм автодетектирования.

Расширена функциональность контрмер RETR, RETR6, HTTP, ATLS, DTLS, DNS, SLOW, BPF, SIP, HCA, USF, а также PCAP, рассылки уведомлений о событиях системы и отчетов, механизма синхронизации, отправки sFlow, массовых изменений в политиках защиты, взаимодействия по BGP и TACACS+.

Внесены множественные улучшения в UX.

Изменения версии v25.12

EventLog. Добавлено комментирование изменений настроек.

Для повышения прозрачности вносимых в настройки защиты изменений во время эксплуатации, а также для удобства фиксации как самих изменений, так и мотивации к ним, или другой дополнительной информации по проводимым работам, добавлена «Сессия редактирования».

Сессия редактирования – это режим, при запуске которого все изменения настроек, которые пользователь совершил во время сессии, привязываются к идентификатору сессии и сопровождаются комментарием. В Журнале событий для всех изменений, совершенных во время сессии редактирования, отображаются ID этой сессии.

В журнал событий добавлена новая вкладка, на которой отображается список всех сессий редактирования. Из каждой сессии можно перейти к событиям этой сессии.

При нажатии кнопки «Начать сессию» в верхней панели на любой странице Web-интерфейса открывается окно для ввода комментария и кнопка для запуска. Комментарий можно дополнять в любое время, пока активна сессия редактирования.

В профиль пользователя добавлен новый параметр «Использование сессии редактирования». Значением этого параметра определяется, каким образом пользователю позволено вносить изменения в настройки:

• Не используется – пользователь может вносить изменения в настройки без запуска сессии редактирования, как это было до версии MITIGATOR v25.12. Элементы управления сессией редактирования не отображаются;
• По желанию – пользователь может запускать сессию редактирования и логировать изменения, но система позволяет ему вносить изменения и без запуска сессии редактирования;
• Обязательно – чтобы внести любые изменения в настройки пользователь обязан запустить сессию редактирования.

По умолчанию задано значение «Не используется».

EventLog. Добавлено журналирование значений в событиях ручного изменения таблиц контрмер.

Теперь в журнале событий в поле «Подробности» фиксируются измененные значения при ручном редактировании таблиц контрмер.

Policy. Добавлена возможность изменять порядок контрмер политики.

Теперь на вкладке «Настройка» страницы политики защиты в карточке «Порядок применения контрмер» можно изменить порядок контрмер политики.

Расположение некоторых элементов изменить нельзя.

Новая политика защиты всегда создается со «стандартным» порядком контрмер. Если порядок контрмер был изменен, имеется возможность восстановить стандартный порядок. При копировании политики защиты копируется и текущий порядок контрмер в ней.

Важно: Изменение порядка применения контрмер позволяет адаптировать политику защиты под пользовательские сценарии, но сопряжено с рисками. При добавлении в MITIGATOR новой контрмеры ее расположение в цепочке обработки определяется, в том числе, ресурсоемкостью. В стандартной конфигурации к трафику сначала применяются менее ресурсоемкие контрмеры, а более сложные, требующие выделения больших ресурсов, применяются к оставшемуся трафику. При перемещении сложных контрмер в начало списка, они будут принимать на себя больше трафика, что может негативно сказаться на производительности системы.

Policy. Добавлены новые действия для массовых изменений политик защиты.

Добавлены действия:

• включение использования порогов по Flow для BGP;
• отключение использования порогов по Flow для BGP;
• изменение правил учета Flow;
• удаление правил учета Flow.

Detect. Добавлены пороги по относительному изменению за такт.

В дополнение к <element>.Xxx.Diff. порогам, которые срабатывали при абсолютном изменении отслеживаемой метрики, добавлены <element>.Xxx.Ratio.* пороги на относительное изменение метрики за такт, то есть на отношение метрики в текущем и предыдущем такте.

Подробнее во встроенной документации по автодетектированию.

Detect. Добавлены пороги по относительному и абсолютному изменению метрики для анонсирования по BGP по данным из Flow.

Для возможности делать BGP-анонсы при резком изменении трафика добавлены .Diff. и .Ratio. пороги по входящему и сброшенному трафику.

Detect. Добавлены пороги по относительному изменению для активации и статусов политики.

Добавлены пороги:

Detect. Добавлены пороги по количеству IP-адресов в TBL.

Для всех контрмер, политики и BGP-анонсов добавлены двусторонние пороги по количеству IP-адресов, находящихся в TBL: <element>.TBL.IPs.On и <element>.TBL.IPs.Off.

Также доступны аналогичные пороги <element>.TBL.IPs.Diff по изменению количества IP-адресов, находящихся в TBL. В частности, если задать <element>.TBL.IPs.On, но не задавать <element>.TBL.IPs.Off, получится порог, который удерживает контрмеру включенной, пока в TBL содержится заданное количество IP-адресов.

Detect. Добавлены пороги для регистрации инцидентов по входу в обработчик и данным Collector.

Теперь фиксация инцидентов запускается по порогам:

• Incidents.Input{Pps,Bps} по суммарному входящему трафику;
• Incidents.Drop{Pps,Bps} по суммарному сброшенному трафику;
• Incidents.Flow.Input{Pps,Bps} по суммарному входящему трафику по данным коллектора;
• Incidents.Flow.Drop{Pps,Bps} по суммарному сброшенному трафику по данным коллектора.

Также доступны пороги по абсолютному и относительному изменению скоростей .Diff. и .Ratio..

Подробнее во встроенной документации по автодетектированию.

Detect. Добавлены пороги по входящему трафику за вычетом пропущенного WL.

Добавлены пороги по входящему и пропущенному трафику за вычетом отправленного на выход контрмерой WL:

• <element>.Protected.Input{Pps,Bps}.{On,Off} — по входящему трафику;
• <element>.Protected.Pass{Pps,Bps}.{On,Off} — по пропущенному трафику;
• <element>.Protected.Input{Pps,Bps}.{Diff,Ratio}* — по изменению входящего трафика;
• <element>.Protected.Pass{Pps,Bps}.{Diff,Ratio}* — по изменению пропущенного трафика.

Detect. Добавлен механизм удержания контрмеры включенной при частом переключении.

Если контрмера <element> в течение <element>.Latch.ObservationTicks тактов переключается более <element>.Latch.SwitchLimit раз, то она включается и удерживается включенной в течение <element>.Latch.HoldTicks тактов.

Подробнее во встроенной документации по автодетектированию.

RECK. Добавлена новая контрмера RECK в Общую защиту.

В Общую защиту IPv4 добавлена контрмера RECK «Проверка повторением». Контрмера позволяет защищаться от Flood атак, без процедуры challenge-response.

По настройкам и способу обработки трафика похожа на RETR.

DNAT. Добавлена функция DNAT в Общую защиту IPv4.

HTTP. Добавлено ограничение количества HTTP-запросов с IP-адреса.

Теперь контрмера может ограничивать скорость прохождения HTTP-запросов с IP-адреса, либо заносить в TBL IP-адреса, превысившие ограничение.

ATLS. Добавлена пересборка сегментированных «ClientHello».

Добавлена опция, при активации которой контрмера собирает ClientHello из сегментов и обрабатывает. Сбор TLS-отпечатков также учитывает собранные ClientHello.

Если пересборка активирована, то она выполняется даже для ClientHello от уже аутентифицированного клиента.

SLOW. Добавлено независимое включение тестового режима.

Теперь тестовый режим для SLOW можно включать независимо от LCON.

BPF. Добавлена поддержка функции «Мониторинг соединений».

sFlow. Добавлена отправка sFlow по пропущенному трафику.

Теперь обработчик пакетов может отправлять sFlow по трафику, пропущенному на выход системы.

TACACS+. Добавлена возможность работы с несколькими серверами TACACS+.

При добавлении нескольких серверов сверка атрибутов учетной записи производится с первым в очереди сервером. Если он недоступен – со следующим по списку, и так далее.

Groups. Увеличены максимальные лимиты для ограничений в группах.

Теперь в группе можно ограничить:

• максимальное количество политик до 2000;
• максимальное количество правил маршрутизации до 5000;
• максимальное количество именованных списков IP-адресов, TLS-отпечатков и наборов правил до 1000.

Routing Rules. Добавлена возможность указывать в правилах маршрутизации ICMP6.

В поле «Протокол» для правил маршрутизации на политики защиты IPv6 теперь можно указывать алиас ICMP6.

Routing Rules. Добавлена фильтрация на страницу списка правил.

Теперь на странице списка правил маршрутизации доступна фильтрация по множеству критериев:

• протокол,
• префикс отправителя,
• порт отправителя,
• префикс получателя,
• порт получателя,
• название группы,
• название политики защиты,
• признак активности правила (включено/отключено),
• название именованного списка IP-адресов.

Фильтровать можно по одному или нескольким полям одновременно, по вхождению или полному соответствию вводимой строке.

Функциональность определения политики защиты по содержимому пакета сохранена, и вынесена на соседнюю вкладку.

Routing Rules. Добавлен переход к правилу по номеру строки.

Теперь можно перейти к строке таблицы правил, введя в поле его номер и нажав клавишу Enter.

Core. Режим пропуска трафика при перегрузке теперь управляется только через Web-интерфейс и не задается через dataplane.conf.

Теперь управление пропуском трафика при перегрузке системы осуществляется только при помощи флага «Пропускать трафик без обработки при перегрузке системы» на странице «Общие параметры» в настройках системы.

Требуется удалить параметр congestion_bypass из dataplane.conf. Подробнее в специальной инструкции по обновлению.

BGP. Добавлены системные списки префиксов .aggregated. и .protected. для IPv6.

Sync. Дополнен список контрмер, поддерживаемых механизмом синхронизации таблиц.

Теперь между экземплярами могут синхронизироваться данные таблиц в контрмерах:

• RETR «Аутентификация повторением»,
• RETR6 «Аутентификация повторением»,
• DTLS «Защита DTLS»,
• DNS «Защита от DNS flood атак»,
• SIP «Защита от атак на протокол SIP»,
• USF «Фильтр неизвестных сессий»,
• HCA «Challenge-response аутентификация для HTTPS».

Sync. Добавлено указание на источник блокировки при синхронизации TBL.

Ранее при включенной синхронизации таблиц на экземплярах, на которые запись в таблицу TBL добавлялась механизмом синхронизации, в источнике добавления отображалось sync. Теперь для всех экземпляров отображается краткое название контрмеры, которая изначально занесла IP-адрес в блокировку, а признак синхронизации стал булевым.

Пример:

instance_id,instance_name,ip,ttl,source,from_sync,policy_id,policy_name,country,city,as_number,as_name
1,Mitigator0,1.1.1.1,300,ATLS,false,1,Default,"Finland","Tampere",39699,"Lounea Palvelut Oy"

Overview. Добавлены экспорт и импорт пресетов виджетов для страницы «Обзор».

Теперь на странице «Обзор» можно скопировать набор и расположение виджетов в буфер обмена, а также добавить пресет из буфера. Это позволяет делиться конфигурацией дашборда с другими пользователями.

Overview. Добавлена настройка отображения виджетов секции.

Теперь на странице «Обзор» можно настроить вид отображения виджетов – количество столбцов в строке и высоту столбцов, как в Анализе Flow.

Анализ Flow. Добавлен виджет для вывода количества IP-адресов отправителей и получателей по каждому коллектору.

User. Добавлена поддержка отправки уведомлений в темы Telegram-чата.

В поле Telegram ID на странице профиля пользователя теперь можно указать идентификатор чата в формате 987654321/12345, что позволяет отправлять уведомления о событиях системы, отчеты по инцидентам и файлы с результатом захвата пакетов, выполненного вручную в конкретную тему Telegram-чата.

PCAP. Добавлена поддержка отправки файла автозахвата в темы Telegram-чата.

Reports. Добавлена поддержка отправки регулярных отчетов в темы Telegram-чата.

UX. Добавлена анимация обновления графиков.