Детектирование атак с помощью Collector

Collector находится в стадии beta-тестирования и активной разработки.

По всем замечаниям и предложениям просим писать в поддержку.

Обзор сценариев

Collector позволяет без направления трафика на MITIGATOR обнаруживать атаки и включать защиту для отдельных политик (защищаемых ресурсов):

Автодетектирование дает две основные возможности:

  • Включать и выключать контрмеры в зависимости от трафика в политику по данным источников flow.
  • Назначать и снимать анонсы BGP, направляющие трафик в политику через MITIGATOR.

Глобальные контрмеры MITIGATOR могут включаться и выключаться по порогам, привязанным к счетчикам на интерфейсах устройств и их комбинациям:

Функциональность является продвинутой и в настоящий момент из интерфейса недоступна.

Настройка взаимодействия

Для интеграции необходимо иметь работающий MITIGATOR и Collector, принимающий flow с сетевых устройств. Схема взаимодействия с параметрами по умолчанию:

Настройка Collector

Все настройки выполняются через переменные окружения, которые задаются в файле .env. На рисунке и в листинге приведены одни и те же значения по умолчанию:

COLLECTOR_NETFLOW_V5_PORT=9555
COLLECTOR_NETFLOW_V9_PORT=9995
COLLECTOR_IPFIX_UDP_PORT=4739
COLLECTOR_IPFIX_TCP_PORT=4739
COLLECTOR_SFLOW_PORT=6343

COLLECTOR_CLICKHOUSE_ADDRESS=clickhouse.mitigator:9000

COLLECTOR_METRICS_PORT=50054
COLLECTOR_API_PORT=50055

Порты для IPv6 трафика задаются автоматически и устанавливаются на единицу больше порта для IPv4, например, для netflow v5 по умолчанию будет использоваться порт 9556.

Настройка MITIGATOR

На стороне MITIGATOR список единиц Collector настраивается через web-интерфейс или API. Например, для указания параметров, как на рисунке, нужно задать адрес collector-backend.mitigator и порт 8853.