changelog

Версия v26.04

Внимание

Обновление до версии v26.04 следует выполнять согласно специальной инструкции.

В версии v26.04 добавлено: автозахват пакетов в общую защиту, улучшения ISN-агента, динамическое семплирование sFlow, страница соотношения Flow/SNMP в Collector, режим распределения обработки GRE-трафика по ядрам, режим пропуска трафика выше лицензионной полосы, графики трафика из внутренней сети в политиках защиты, обновлена версия PostgreSQL.

Расширена функциональность контрмер ACL, ACL6, ACLI, LACL, LACL6, ATLS, ITLS, SPLI, DNS, USF, BPF, а также Collector, HPD, страницы «Обзор», «Анализ Flow», «Журнала событий» и именованных наборов правил фильтрации.

Внесены множественные улучшения в UX.

Изменения версии v26.04

Детектор адресной защиты

Добавлена возможность помечать в HPD трафик по данным Collector
Теперь детектор адресной защиты может помечать трафик на IP-адреса, для которых на Collector обнаружено превышение порога.
Добавлено журналирование причины срабатывания HPD

В Журнале адресной активации теперь сохраняется не только факт активации механизма для конкретного IP-адреса, но также причина активации и правило, при его наличии.

instance_id,instance_name,created_at,action,dst_ip,reason,rule
1,Mitigator0,2022-09-02 10:44:31.53622 +0000 UTC,added,10.0.2.254,LimitBps,BITS 200 ACL udp
1,Mitigator0,2022-09-02 10:44:41.51245 +0000 UTC,added,10.0.2.254,UntrustedSource,
Увеличен максимальный лимит битов
Теперь в правилах и счетчике для прочих пакетов можно задать ограничение до 10 Gbps.

Захват пакетов

Добавлен автозахват пакетов в общую защиту

В Общую защиту IPv4 и IPv6 добавлен автоматический захват пакетов, аналогичный автозахвату в политиках защиты.

Политики защиты

Добавлена проверка TCP опции Timestamps ISN-агентом

Теперь при проверке SYN+ACK пакетов можно выбрать режим обработки без учета Timestamp.

Так как не все серверы отправляют Timestamp, проверку можно отключить, установив флаг «Без timestamp» в настройках синхронизации параметров сессии для конкретного сервера. Параметр применяется на все серверы, которые перечислены в строке. Если нужно применить только для одного, то нужно вынести его в отдельную запись. Если агент синхронизации используется в нескольких политиках защиты, и хотя бы в одной из них параметр «Без timestamp» задан, то будет применяться во всех политиках.

Добавлены графики трафика из внутренней сети в политиках защиты

Теперь на графиках политики защиты можно увидеть кривые для трафика из внутренней сети, ассоциированного с данной политикой.

Включение подсчета трафика из внутренней сети для отображения на графиках выполняется на странице «Общие параметры» в настройках системы и влияет на все политики защиты.

Контрмеры

Удалены функции работы с VLAN ID в mitigator_bpf.h

Из публичного API BPF-программ удалены функции работы с VLAN ID. Если эти функции использовались в ваших программах для BPF, при их пересборке с новым заголовком mitigator_bpf.h необходимо добавить эти функции в исходный код программы:

#define VLAN_ID_MASK 0x0fff

/** @brief Get VLAN ID from 802.1q header. */
LOCAL uint16_t
vlan_get_id(const struct VlanHeader* vlan) {
    return bswap16(vlan->control) & VLAN_ID_MASK;
}

/**
 * @brief Set VLAN ID in 802.1q header.
 *
 * If you don't need to keep rarely used DEI and PRI, a faster alternative is:
 * @code
 * vlan->control = bswap16(id);
 * @endcode
 */
LOCAL void
vlan_set_id(struct VlanHeader* vlan, uint16_t id) {
    uint16_t bits = vlan->control & ~bswap16(VLAN_ID_MASK);
    vlan->control = bswap16(bswap16(bits) | id);
}
Добавлены графики по типам запросов в контрмеру DNS
На график контрмеры DNS добавлена вкладка «Типы», на которой отображаются скорости поступления DNS-запросов с различными типами.
Изменены графики отслеживаемых сессий в контрмере USF

Теперь на графиках контрмеры отображается количество сессий, наблюдаемых как внутри окна глубины игнорирования последних сессий, так и за его пределами:

  • USF Allowed sessions – число отслеживаемых сессий, которые наблюдались за пределами окна глубины игнорирования последних сессий;

  • USF Ignored sessions – число отслеживаемых сессий, которые наблюдались только внутри окна глубины игнорирования последних сессий.

Добавлена поддержка алиаса icmp6 в правилах для контрмер с ACL
Теперь в правилах для HPD, ACL, FRAG, FACL, RETR, FRB, LACL, ACLI, DNAT можно указать алиас icmp6 вместо protocol 58.
Добавлены действия BYPASS и COUNT BYPASS в контрмеру ACL
Действие BYPASS пропускает трафик, соответствующий правилу, на выход политики защиты для ACL в политике или на выход системы для ACL в общей защите. Действие COUNT BYPASS дополнительно подсчитывает пропущенный трафик и отображает его на графике.
Добавлены действия BYPASS и COUNT BYPASS в контрмеру ACL6
Добавлены действия BYPASS и COUNT BYPASS в контрмеру ACLI
Добавлено действие BYPASS в контрмеру LACL
Добавлено действие BYPASS в контрмеру LACL6
Добавлена поддержка сценария TLS FALLBACK в контрмеру ATLS
Добавлен график количества аутентифицированных IP-адресов в контрмеру SPLI
Добавлена поддержка механизма автодетектирования в контрмеру ITLS

sFlow

Добавлено динамическое семплирование при отправке sFlow

Теперь можно задать разные значения семплирования sFlow для разных скоростей трафика. При превышении установленного порога скорости значение семплирования изменится автоматически. Можно задать до четырех значений семплирования для различных диапазонов скоростей трафика.

Collector

Добавлена страница для отображения соотношения среднего трафика на интерфейсах источника Flow

На страницу «Источники Flow» добавлена вкладка «Соотношение Flow/SNMP», на которой отображается статистика по трафику на всех интерфейсах источника, полученная по Flow и SNMP.

На вкладке также задается «Порог надежности», определяющий допустимое отклонение в отношении средней скорости трафика, полученной по Flow к полученной по SNMP. Например, при пороге надежности 90% нормальным считается отношение значений метрик Flow/SNMP от 0.9 до 1.1.

Если соотношение значений средней скорости трафика, полученных по Flow, к полученным по SNMP не соответствует порогу надежности, это может означать, что система настроена некорректно, либо данные не поступают. Для таких интерфейсов в строке появляется соответствующая индикация.

Таблица интерфейсов источника Flow перенесена на отдельную вкладку
Добавлен новый статус интерфейса источника Flow

Теперь в колонке «Статус» таблицы интерфейсов источника Flow у интерфейса отображается один из трех статусов по данным из SNMP:

  • статус интерфейса UP;
  • статус интерфейса DOWN;
  • статус интерфейса неизвестен.

Core

Добавлен режим распределения обработки GRE-трафика по ядрам

При активации функции «GRE-туннель со сторонним сервисом» в настройках экземпляра обработка GRE-трафика по умолчанию выполняется только на одном ядре CPU. Если флаг установлен, будет выполняться балансировка между всеми ядрами. Настройка применима только, если используются сетевые карты Mellanox, для других сетевых карт настройка игнорируется.

Обновлена версия PostgreSQL
В связи с обновлением версии PostgreSQL обновление MITIGATOR до версии v26.04 обязательно выполнять согласно специальной инструкции.
Добавлен режим пропуска без обработки трафика выше лицензионной полосы

ISN-агент

Обновлен ISN-агент для версии v25.06+
На Github размещена обновленная версия ISN-агента для Linux с поддержкой дополнительных инструкций на версиях ядра 6.12 и выше. Обновите ISN-агент, если используете ядро 6.12+.

Сервер аналитики

Добавлено указание даты истечения токена для доступа к серверу аналитики

Роли и права

Добавлены права для групповых пользователей на создание регулярного отчета

Именованные списки

Добавлено ограничение на размер правил в именованном наборе правил фильтрации
Теперь размер именованного набора правил фильтрации не может быть больше 10000 байт.

Страница «Обзор»

Добавлена возможность изменять расположение вкладок на странице «Обзор»

Ранее вкладки сортировались в алфавитном порядке, теперь нажав на кнопку «Изменить порядок вкладок», можно перемещать вкладки.

Страница «Анализ Flow»

Добавлена категория виджетов для построения графиков по пропущенному трафику
Добавлена категория виджетов «Пропуск». В виджетах категории отображается sFlow c MITIGATOR по пропущенному трафику.
Добавлены виджеты с графиками скоростей по кодировкам НСПА
Добавлен виджет топа по кодировкам НСПА
Добавлена фильтрация по кодировкам НСПА
Добавлен виджет с топом по TTL пакетов

Журнал событий

Добавлено журналирование путей к файлам захвата пакетов
Теперь при размещении на файловом сервере файлов с результатами захвата пакетов в поле «Подробности» журнала событий фиксируются пути к этим файлам.
Добавлено журналирование токена при срабатывании действия ALERT в Logan
Теперь при срабатывании действия ALERT в правилах Logan в поле «Подробности» журнала событий фиксируются token, для которого сработало правило.

Интерфейс

Добавлена возможность задавать значения порогов с разными десятичными приставками

Для повышения удобства задания порогов и упрощения восприятия уже заданных добавлена возможность изменять десятичные приставки при указании значения.

В качестве эксперимента, в текущий момент функциональность добавлена в HPD, BPF и TAP-интерфейс, в дальнейшем планируем распространить изменение на все остальные механизмы и контрмеры.

Унифицирован порядок следования даты и времени в полях, отображающих время выполнения действия
Теперь во всех элементах интерфейса, где указывались дата и время выполнения действия, порядок указания одинаков: yyyy-mm-dd HH:MM:SS.