Версия v26.06

В версии v26.06 добавлено: изменение определения принадлежности IP-адреса стране, перенос настроек политики защиты между кластерами, графики трафика, пропущенного контрмерами WL и TWL, обработка значений поля host в правилах Logan, настройки подключения к сервису PSG, отдельные права для доступа к разделам объекта мониторинга, поддержка мессенджера MAX, категория виджетов для построения графиков по пропущенному трафику в анализе flow.

Расширена функциональность контрмер FRB и FTLS.

Изменения версии v26.06

Мониторинг

Добавлены области графиков для топов по пропущенному WL и TWL трафику
На вкладку “Топ политик” страницы “Мониторинг” добавлены области графиков “WL + TWL Bypass топ IPv4, пакеты/с” и “WL + TWL Bypass топ IPv4, биты/с”, на которых отображается топ политик защиты с наибольшим пропуском трафика контрмерами WL и TWL.

Страница «Анализ Flow»

Добавлена категория виджетов для построения графиков по пропущенному трафику

Добавлена категория виджетов «Пропуск». В виджетах категории отображается sFlow c MITIGATOR по пропущенному трафику.

Общая защита

Добавлены графики трафика, пропущенного контрмерами WL и TWL
  • General WL + TWL Bypass – скорость трафика, пропущенного на выход системы контрмерами WL и TWL в общей защите;
  • All Policies WL + TWL Bypass – суммарная скорость трафика, пропущенного на выход всех политик защиты контрмерами WL и TWL.

Политика защиты

Добавлен перенос настроек политики защиты между кластерами через буфер обмена

На вкладку “Настройка” в политику защиты добавлена кнопка для копирования настроек политики через буфер обмена.

При копировании выбирается область применения. Можно скопировать:

  • параметры контрмер;
  • параметры контрмер и настройки автодетектирования;
  • все параметры и настройки политики.

Настройки сохраняются в буфер обмера в JSON-формате и могут быть применены к другой политике защиты, например, на другом кластере MITIGATOR. Применение полностью заменит все текущие настройки политики защиты новыми.

Заметка

Так как в разных версиях MITIGATOR набор настроек может различаться, перенос настроек политики следует выполнять между кластерами с одинаковой версией.
Корректность применения настроек при переносе между кластерами разных версий не гарантируется.

Контрмеры

FRB. Добавлено действие PASS для правил

Добавлено действие PASS, которое позволяет исключить из обработки контрмерой трафик, соответствующий фильтру. Для таких правил не требуется указание лимита и периода.

Пример:

# такой набор правил будет сбрасывать весь трафик с IP-адреса, пока с него
# поступает за 3 секунды больше 10 пакетов по протоколу TCP на порт 80,
# содержащих строку `\sLOGIN\s[^\n]{100}`, если это не трафик с IP-адреса 175.180.90.0.

PASS ACL src 175.180.90.0 dport 80
PACKETS 10 PERIOD 3 ACL tcp dport 80 REX \sLOGIN\s[^\n]{100}
FTLS. Добавлено действие PASS для правил

Добавлено действие PASS, которое позволяет исключить из обработки контрмерой трафик, соответствующий указанному TLS-отпечатку.

Например, если задано правило:

PASS JA3 771,4866-4867-4865-49191-255,11-10-35-22-23-13-43-45-51,29-23-30-25-24,0-1-2

и установлен чекбокс “Применять пороги для прочих JA3/JA4” с порогом 10 пакетов в секунду, то при получении более 10 ClientHello в секунду контрмера FTLS будет блокировать прохождение любых ClientHello кроме тех, что соответствуют JA3-отпечатку из правила PASS.

Logan

Добавлена обработка значений поля host в правилах Logan

Теперь для правил c действиями block и alert можно проверять значение поля $host.

Поддерживаются регулярные выражения, что позволяет описать шаблон, которому должны (host) или не должны (not host) соответствовать значения в поле.

Также добавлено ключевое слово host-ip. позволяющее реагировать на указание в поле $host IP-адреса.

Примеры:

# Заблокировать на 300 секунд IP-адрес, у которого значение в поле $host
# соответствует шаблону `^api\.example\.com$`:

block 300 host ^api\.example\.com$

# Заблокировать на 120 секунд IP-адрес, у которого значение в поле $host
# не соответствует шаблону `^internal\.example\.com$`:

block 120 not host ^internal\.example\.com$

# Создать запись в журнале событий в случае получения от IP-адреса 
# двух и более запросов за 10 секунд, содержащих IP-адрес в поле $host:

alert host-ip limit 2 period 10

Роли и права

Добавлены отдельные права для доступа к разделам объекта мониторинга

Каналы доставки

Добавлена поддержка мессенджера MAX

Добавлена поддержка отправки в мессенджер MAX для:

  • уведомлений о событиях системы;
  • файлов захвата пакетов;
  • отчетов по инцидентам;
  • регулярных отчетов.

PSG

Добавлены настройки подключения к сервису PSG

В Настройки системы добавлена новая страница “Сервис PSG”, на которой можно задать параметры подключения к сервису и определить уровень доступа к функциям сервиса для групп.

Core

Изменен механизм определения принадлежности IP-адреса стране

Изменение позволяет оптимизировать потребление ресурсов обработчиком пакетов при наличии большого количества политик защиты с активированной гео-фильтрацией.

Заметка

В текущей реализации данное изменение влияет на фильтрацию по номерам автономных систем в контрмере GEO. Указание номера автономной системы в контрмере GEO может приводить к более широкой ассоциации IP-адресов к указанной AS, чем содержит сама AS.

Если требуется пропускать трафик определенных автономных систем мимо контрмеры GEO, следует использовать поконтрмерный байпас в контрмере WL, указав номер автономной системы.
При необходимости сбрасывать трафик указанных автономных систем используйте контрмеру BL.

Если дла вас критически важно применение фильтрации по номерам автономных систем непосредственно в контрмере GEO, не обновляйтесь на версию v26.06. В будущих версиях корректность фильтрации по номерам AS будет восстановлена.