Детектирование атак с помощью Collector
Collector находится в стадии beta-тестирования и активной разработки.
По всем замечаниям и предложениям просим писать
в поддержку.
Обзор сценариев
Collector позволяет без направления трафика на MITIGATOR обнаруживать атаки и включать защиту для отдельных политик (защищаемых ресурсов):
Автодетектирование дает две основные возможности:
- Включать и выключать контрмеры в зависимости от трафика в политику по данным источников flow.
- Назначать и снимать анонсы BGP, направляющие трафик в политику через MITIGATOR.
Глобальные контрмеры MITIGATOR могут включаться и выключаться по порогам, привязанным к счетчикам на интерфейсах устройств и их комбинациям:
Функциональность является продвинутой и в настоящий момент из интерфейса недоступна.
Настройка взаимодействия
Для интеграции необходимо иметь работающий MITIGATOR и Collector, принимающий flow с сетевых устройств. Схема взаимодействия с параметрами по умолчанию:
Настройка Collector
Все настройки выполняются через переменные окружения, которые задаются
в файле .env. На рисунке и в листинге приведены одни и те же значения
по умолчанию:
COLLECTOR_NETFLOW_V5_PORT=9555
COLLECTOR_NETFLOW_V9_PORT=9995
COLLECTOR_IPFIX_UDP_PORT=4739
COLLECTOR_IPFIX_TCP_PORT=4739
COLLECTOR_SFLOW_PORT=6343
COLLECTOR_CLICKHOUSE_ADDRESS=clickhouse.mitigator:9000
COLLECTOR_METRICS_PORT=50054
COLLECTOR_API_PORT=50055
Порты для IPv6 трафика задаются автоматически и устанавливаются на единицу больше порта для IPv4, например, для netflow v5 по умолчанию будет использоваться порт 9556.
Настройка MITIGATOR
На стороне MITIGATOR список единиц Collector настраивается через
web-интерфейс или API. Например, для указания параметров, как на
рисунке, нужно задать адрес collector-backend.mitigator и порт 8853.