Версия 20.12

В версию v20.12 добавлена кластеризация экземпляров MITIGATOR, создание динамических сигнатур трафика, реализованы первые изменения алгоритма защиты TCP при асимметрии.

Изменения версии v20.12

Multi. Добавлена совместная работа нескольких экземпляров MITIGATOR.

Экземпляры MITIGATOR, объединенные в один кластер, управляются через единый интерфейс и имеют одинаковые настройки контрмер, политик защиты и правил маршрутизации. Количество экземпляров в кластере лицензируется отдельной лицензией.

Подробней про настройку MITIGATOR в режиме кластера.

Softstart. Добавлена возможность активации глобального режима «Мягкий старт».

Новый глобальный выключатель позволяет единовременно перевести все активные контрмеры в режим «Мягкий старт». Подобная необходимость возникает, например, когда на MITIGATOR возвращается трафик после обновления или каких-то работ с экземпляром системы (инстансом). Режим «Мягкий старт» позволяет сохранить сессии, которые были установлены в момент неактивности контрмеры.

RTS. Добавлена контрмера «Сигнатуры реального времени».

Новая экспериментальная контрмера RTS позволяет автоматически выделять сигнатуры во входящем или пропущенном трафике и применять сигнатуры для фильтрации. Созданные сигнатуры преобразуются в набор правил для L3-L4 заголовков и регулярных выражений для L4 payload.

RTS можно использовать для формирования сигнатуры как легитимного трафика, так и трафика атаки.

RTS поддерживает работу в режиме автодетектирования. При выявлении аномалии запускается процесс формирования сигнатуры и правил фильтрации. Нужно с осторожностью использовать автоматический режим на критических сервисах, т.к. контрмера находится в статусе экспериментальной, и алгоритмы работы будут в дальнейшем улучшаться.

TCP. Добавлен механизм HPA (Host Protection Activator).

HPA позволяет применять механизмы защиты только для адресов для которых замечена аномалия. HPA актуален для политик защиты, в которые направляется трафик множества сервисов.

Пример №1:

В политику защиты попадает трафик подсети Х.Х.Х.Х/24, но атака идет на Х.Х.Х.100/32. В обычном режиме контрмера начнет фильтровать трафик всей сети, что может негативно отразиться на сервисах не под атакой. При активации HPA будет фильтроваться только трафик Х.Х.Х.100/32.

Пример №2:

В политику попадает трафик определенного сервиса со всей сети, например, tcp dport 80. Атака на один из web-серверов активирует защиту для всех, что нежелательно. Использование HPA позволяет избежать подобных ситуаций.

Активация TCP HPA происходит при превышении порога количества пакетов с определенным флагом за указанный интервал.

TCP. Добавлен механизм защиты с синхронизацией ISN.

Одним из концептуальных недостатков активной защиты протокола TCP в асимметричной схеме внедрения является необходимость клиентскому хосту переустановить TCP-соединение после успешного прохождения проверки. Некоторые клиентские приложения не готовы к такому поведению защиты. Разрыв сессий портит пользовательский опыт для защищаемого сервиса. Одним из вариантов частичного решения этой проблемы является синхронизация ISN (Initial Sequence Number) между системой защиты и защищаемым сервером. В этом режиме работы после прохождения проверки ACK-пакет клиента передается на защищаемый сервер, который подхватывает соединение, и разрыва не происходит.

В контрмеру TCP добавлен режим защиты c синхронизацией ISN. Механизм защиты работает c серверами под управлением ОС Linux c ядром 4.13 и выше. В этой версии параметры задаются через backend API. В дальнейшем работа с механизмом защиты будет упрощена.

TCP. Добавлен лимитер по SYN-ACK пакетам.

В некоторых сценариях использования защита от SYN-ACK reflection attack неэффективна. Для сохранения работоспособности основного сервиса можно использовать лимитирование прошедших пакетов с флагами SYN-ACK.

SCAN. Добавлена защита от сканирования.

В крупных корпоративных сетях наблюдается ситуация, когда при агрессивном сканировании всего публичного адресного пространства на stateful FW происходит деградация производительности и потери легитимного трафика.

Контрмера SCAN позволяет защититься от агрессивного горизонтального и вертикального сканирования. Адрес нарушителя может ограничиваться на создание новых соединений или отправляться в TBL.

Для исключения из блокировки систем внешнего мониторинга в контрмере предусмотрен локальный белый список.

SPLI. Добавлена поддержка режима «Мягкий старт».

Теперь активация защиты TCP при симметричной схеме внедрения может происходить без сброса сессии.

SPLI. Добавлен режим проверки по первой сессии.

Контрмера перехватывает только первую сессию, чтобы аутентифицировать адрес, последующие сессии устанавливаются напрямую с сервером. Данный режим позволяет уменьшить влияние контрмеры на легитимный трафик и проводить отключение контрмеры без разрыва установленных соединений.

SPLI. Добавлено включение по автодетектированию.

С учетом возможностей мягкого старта и проверки по первой сессии стало доступно автоматическое включение и выключение контрмеры без влияния на легитимный трафик.

ACL. Добавлено действие BLOCK.

Иногда можно выявить адреса ботов по характерным признакам в L3-L4 заголовках. Пакеты, попавшие под условия BLOCK, будут сброшены, а их адреса источников будут занесены в TBL.

ACL. Добавлено указание действий COUNT и BLOCK без условий.

Если указать COUNT или BLOCK без условий, то действие будет применено для всех пакетов, дошедших до этого правила.

ACL. Добавлена поддержка указания доменных имен в правилах.

Иногда возникает необходимость разрешить или запретить прохождение трафика с определенного сервиса, но сервис со временем может поменять свой IP-адрес. Для автоматического поддержания списка правил в актуальном состоянии добавлена возможность работы с доменными именами.

Контрмера позволяет задавать IP-адреса через указание доменного имени, при этом в список добавляются все IP-адреса, соответствующие доменному имени. Период обновления значений задается в настройках системы.

WL. Добавлена поддержка указания доменных имен в списке.

BL. Добавлена поддержка указания доменных имен в списке.

GAME. Добавлена защита для игры «GTA ALT:V».

sFlow. Добавлена возможность отправки sFlow.

В некоторых вариантах внедрения возникает ситуация, когда нет возможности получить телеметрию по *flow c сетевого оборудования, стоящего перед MITIGATOR, но при этом есть желание анализировать сетевой трафик в различных срезах, которые недоступны в интерфейсе MITIGATOR.

Теперь можно настроить MITIGATOR для отправки во внутреннюю сеть телеметрии трафика по протоколу sFlow. Параметры отправки указывается отдельно в настройках каждого инстанса.

RETR. Добавлена поддержка нескольких REX в правиле.

В рамках одного набора ACL-параметров можно использовать несколько выражений REX для перечисления вариантов содержимого пакета.

FRB. Добавлена поддержка нескольких REX в правиле.

BPF. Добавлена поддержка комментариев в параметрах.

Формат параметров к программам для BPF может быть достаточно сложным. Теперь можно оставить себе напоминание.

DLIM. Добавлена возможность удаления префикса.

VAL. Добавлен дополнительный набор критериев безусловного сброса пакетов.

VAL. Доступны через API детализированные счетчики причин сбросов.

Detect. Добавлены предикаты по счетчикам COUNT в ACL и REX.

Для любой контрмеры можно задать пороги детектирования *.ACLCount.{Pps, Bps}.{On, Off, Diff} и *.REXCount.{Pps, Bps}.{On, Off, Diff} для управления включением.

Используя действие COUNT в ACL и REX, можно описать целевой трафик, по появлению которого должны активироваться контрмеры.

Notifications. Добавлена возможность доставки уведомлений в «Telegram».

Теперь пользователь наравне с e-mail и сервисом «Весточка» может получать уведомления в «Telegram». Подробности по настройке описаны во встроенной документации.

EventLog. Добавлено сохранение в журнал событий информации о сработавшем предикате.

EventLog. Изменен журнал событий на странице мониторинга у группового пользователя.

PCAP. Добавлено скачивание файлов в архиве.

В единый архив добавляются дампы со всех направлений и всех экземпляров MITIGATOR в кластере. Формирование архива упрощает процедуру скачивания и уменьшает размер скачиваемых данных.

PCAP. Добавлено разделение файла захвата на несколько писем.

Теперь если собранный автозахватом дамп трафика превышает допустимый размер вложения, то формируется многотомный архив. Каждый том отправляется отдельным письмом.

UX. Изменена панель выбора интервала графика.

Добавлено:

  • индикатор автообновления графика;
  • указание интервала, если выбран из предустановленных;
  • кнопки навигации по истории выбранных интервалов;
  • сочетания клавиш Alt+Z и Alt+C для навигации по истории выбранных интервалов.

UX. Добавлено сохранение временного интервала при переходе из раздела «Топ политик» в выбранную политику.

При изучении графиков в разделе «Топ политик» часто возникает необходимость перейти в конкретную политику за подробностями. Теперь после перехода не нужно повторно выбирать интересующий интервал.

UX. В адресной строке сохраняется выбранный временной интервал.

Данное поведение позволяет делиться ссылкой на политику, сразу указывая, на события в каком интервале нужно обратить внимание.

UX. Добавлена подсветка записей в журнале событий.

В политике защиты при наведении курсора на график в журнале событий подсвечиваются записи за указанное время.

UX. Изменено отображение графика добавленных адресов TBL.

Теперь график добавления адресов контрмерами показывает количество добавленных адресов за 5 секунд.

UX. Добавлена возможность указания используемого логотипа для каждой темы оформления.

API. Добавлен запрос на указание новых порогов автодетектирования без перечисления существующих.

API. Добавлено управление уровнем логирования для модулей бэкенда.

API. Изменена верстка страницы с описанием REST API.