Версия v26.06
В версии v26.06 добавлено: изменение определения принадлежности IP-адреса стране, перенос настроек политики защиты между кластерами, графики трафика, пропущенного контрмерами WL и TWL, обработка значений поля host в правилах Logan, настройки подключения к сервису PSG, отдельные права для доступа к разделам объекта мониторинга, поддержка мессенджера MAX, категория виджетов для построения графиков по пропущенному трафику в анализе flow.
Расширена функциональность контрмер FRB и FTLS.
Изменения версии v26.06
Мониторинг
Добавлены области графиков для топов по пропущенному WL и TWL трафику
Страница «Анализ Flow»
Общая защита
Добавлены графики трафика, пропущенного контрмерами WL и TWL
General WL + TWL Bypass– скорость трафика, пропущенного на выход системы контрмерами WL и TWL в общей защите;All Policies WL + TWL Bypass– суммарная скорость трафика, пропущенного на выход всех политик защиты контрмерами WL и TWL.
Политика защиты
Добавлен перенос настроек политики защиты между кластерами через буфер обмена
На вкладку “Настройка” в политику защиты добавлена кнопка для копирования настроек политики через буфер обмена.
При копировании выбирается область применения. Можно скопировать:
- параметры контрмер;
- параметры контрмер и настройки автодетектирования;
- все параметры и настройки политики.
Настройки сохраняются в буфер обмера в JSON-формате и могут быть применены к другой политике защиты, например, на другом кластере MITIGATOR. Применение полностью заменит все текущие настройки политики защиты новыми.
Так как в разных версиях MITIGATOR набор настроек может различаться, перенос настроек
политики следует выполнять между кластерами с одинаковой версией.
Корректность применения настроек при переносе между кластерами разных версий не гарантируется.
Контрмеры
FRB. Добавлено действие PASS для правил
Добавлено действие PASS, которое позволяет исключить из обработки контрмерой трафик,
соответствующий фильтру.
Для таких правил не требуется указание лимита и периода.
Пример:
# такой набор правил будет сбрасывать весь трафик с IP-адреса, пока с него
# поступает за 3 секунды больше 10 пакетов по протоколу TCP на порт 80,
# содержащих строку `\sLOGIN\s[^\n]{100}`, если это не трафик с IP-адреса 175.180.90.0.
PASS ACL src 175.180.90.0 dport 80
PACKETS 10 PERIOD 3 ACL tcp dport 80 REX \sLOGIN\s[^\n]{100}FTLS. Добавлено действие PASS для правил
Добавлено действие PASS, которое позволяет исключить из обработки контрмерой трафик,
соответствующий указанному TLS-отпечатку.
Например, если задано правило:
PASS JA3 771,4866-4867-4865-49191-255,11-10-35-22-23-13-43-45-51,29-23-30-25-24,0-1-2и установлен чекбокс “Применять пороги для прочих JA3/JA4” с порогом 10 пакетов в секунду, то при получении более 10 ClientHello в секунду контрмера FTLS будет блокировать прохождение любых ClientHello кроме тех, что соответствуют JA3-отпечатку из правила PASS.
Logan
Добавлена обработка значений поля host в правилах Logan
Теперь для правил c действиями block и alert можно проверять значение поля $host.
Поддерживаются регулярные выражения, что позволяет описать шаблон, которому должны (host)
или не должны (not host) соответствовать значения в поле.
Также добавлено ключевое слово host-ip. позволяющее реагировать на указание
в поле $host IP-адреса.
Примеры:
# Заблокировать на 300 секунд IP-адрес, у которого значение в поле $host
# соответствует шаблону `^api\.example\.com$`:
block 300 host ^api\.example\.com$
# Заблокировать на 120 секунд IP-адрес, у которого значение в поле $host
# не соответствует шаблону `^internal\.example\.com$`:
block 120 not host ^internal\.example\.com$
# Создать запись в журнале событий в случае получения от IP-адреса
# двух и более запросов за 10 секунд, содержащих IP-адрес в поле $host:
alert host-ip limit 2 period 10Каналы доставки
Добавлена поддержка мессенджера MAX
Добавлена поддержка отправки в мессенджер MAX для:
- уведомлений о событиях системы;
- файлов захвата пакетов;
- отчетов по инцидентам;
- регулярных отчетов.
PSG
Core
Изменен механизм определения принадлежности IP-адреса стране
Изменение позволяет оптимизировать потребление ресурсов обработчиком пакетов при наличии большого количества политик защиты с активированной гео-фильтрацией.
В текущей реализации данное изменение влияет на фильтрацию по номерам автономных систем в контрмере GEO. Указание номера автономной системы в контрмере GEO может приводить к более широкой ассоциации IP-адресов к указанной AS, чем содержит сама AS.
Если требуется пропускать трафик определенных автономных систем мимо контрмеры GEO,
следует использовать поконтрмерный байпас в контрмере WL, указав номер автономной системы.
При необходимости сбрасывать трафик указанных автономных систем используйте контрмеру BL.
Если дла вас критически важно применение фильтрации по номерам автономных систем непосредственно в контрмере GEO, не обновляйтесь на версию v26.06. В будущих версиях корректность фильтрации по номерам AS будет восстановлена.