В версии v22.08 добавлен новый режим интеграции в сеть «Common LAN», именованные
наборы правил фильтрации, системные списки для сигнализации по BGP, редактирование
баз GeoIP, режим экономии памяти в политиках защиты.
Расширена функциональность Collector и PCAP, контрмер TBL, TBL6, ACL, ACL6, GEO,
GEO6, SLOB, ATLS. В общую защиту IPv6 добавлена новая контрмера FRAG6.
Перед обновлением MITIGATOR необходимо обновить Docker
на всех экземплярах системы до актуальной версии
(для docker-ce
— 20.10.10+
, для docker.io
— 20.10.5+
). Рекомендуется обновление из репозиториев
программного обеспечения для вашей ОС.
VAL. Изменен набор включенных по умолчанию опций валидатора.
Теперь флаг «Сбрасывать TCP-пакеты с нулевым Sequence и Acknowledgment number» по умолчанию установлен.
Policy. Добавлен режим экономии памяти в политиках защиты.
Теперь в политике защиты можно активировать режим экономии памяти, при котором
настройки контрмер данной политики заносятся в обработчик пакетов только в момент
активации контрмеры и включения политики. Если контрмера или политика отключены,
то память, выделенная под настройки контрмеры в обработчике пакетов, освобождается.
Память также не выделяются при активации в контрмере механизма автодетектирования,
пока не произойдет ее включение по заданному порогу срабатывания. Таким образом,
при работе контрмер в режиме автодетектирования, ресурсы системы будут выделяться
и высвобождаться по мере необходимости.
Режим экономии памяти активируется независимо для каждой политики защиты на вкладке
«Настройка политики».
ATLS. Добавлено журналирование причин блокировки IP-адреса.
Теперь IP-адреса, заблокированные различными механизмами контрмеры ATLS, могут добавляться в журнал с указанием причины блокировки. Также в журнале записываются параметры TLS, переданные отправителем в момент блокировки, в том числе JA3-отпечаток.
FRB. Добавлены комментарии к правилам.
Теперь перед правилом может быть задан текстовый комментарий, для его указания используется символ «#». Комментарий после правила или в одной строке с правилом не принимается.
RETR. Добавлены комментарии к правилам.
Теперь перед правилом может быть задан текстовый комментарий, для его указания используется символ «#». Комментарий после правила или в одной строке с правилом не принимается.
Deploy. Добавлен новый режим интеграции в сеть «Common LAN».
В дополнение к существующим вариантам интеграции в сеть добавлен способ подключения «Common LAN» при работе MITIGATOR в режиме L3-роутер. «Common LAN» следует использовать когда внешний и внутренний роутеры и MITIGATOR находятся в одной L2 и L3 сети. В данном режиме в таблице маршрутизации R ext для защищаемых префиксов указывается nexthop IPm. При этом трафик, исходящий из внутренней сети, может идти как через MITIGATOR, так и напрямую к внешнему роутеру.
Поддерживается работа в нескольких сегментах сети, разделенных при помощи VLAN. В этом случае для каждого VLAN задаются свои L3 настройки.
Все порты работают на всех VLAN и обрабатывают пакеты аналогично режиму On-a-stick.
NamedACL. Добавлены именованные наборы правил фильтрации.
Если требуется применять одинаковые правила фильтрации в разных политиках защиты, для удобства использования эти правила могут быть объединены в именованный набор. Наборы можно использовать в контрмере ACL. Для протоколов IPv4 и IPv6 именованные наборы задаются отдельно.
Именованный набор правил фильтрации не может содержать в себе другие именованные наборы правил или именованные списки IP-адресов. Набор правил может быть разрешен для применения в групповых политиках, иначе он будет в них недоступен.
ACL. Добавлена поддержка именованных наборов правил фильтрации.
Для применения следует указать %название_набора
в окне правил фильтрации.
Правила будут выполняться в том порядке, в котором они записаны, с учетом
содержимого набора.
ACL6. Добавлена поддержка именованных наборов правил фильтрации.
FRAG6. Добавлена новая контрмера «Обработка фрагментированных пакетов» в общую защиту IPv6.
Контрмера включена всегда, когда активирована защита. В отличие от контрмеры в общей защите IPv4, пересборка фрагментированных IP-пакетов не выполняется. Доступны 2 действия для фрагментированных пакетов: сбрасывать или пропускать без обработки.
SLOB. Добавлена возможность блокировать IP-адрес, устанавливающий короткие соединения.
Теперь контрмера может зафиксировать нарушение для IP-адреса, если соединение было закрыто прежде, чем был передан нужный для прохождения проверки объем данных.
GEO. Добавлена проверка принадлежности адреса автономной системе.
GEO6. Добавлена проверка принадлежности адреса автономной системе.
TBL. Расширено разделение источников добавления IP-адресов по типам.
Теперь если IP-адрес был добавлен в список блокировки анализатором логов,
то в списке заблокированных и в журнале изменений списка будет указано «Анализ
логов». Если IP-адрес был добавлен одним из трех пользовательских источников,
будет указано «Пользовательский источник №» и номер источника. Номер
пользовательского источника указывается в опциональном параметре
source
при работе через REST API.
TBL6. Расширено разделение источников добавления IP-адресов по типам.
BGP. Добавлена возможность указывать Large BGP Communities.
Теперь в списке Community можно задать значение тремя парами 32-битных чисел
в формате ASN:LOCAL_DATA_PART1:LOCAL_DATA_PART2
, где ASN
– номер автономной
системы, а LOCAL_DATA_PART1
и LOCAL_DATA_PART2
– значения, определяемые оператором.
BGP.
Добавлены системные списки для сигнализации операторам связи и MSSP по BGP.
Подробнее о сигнализации по BGP в отдельной статье.
Добавлены системные списки префиксов system.policy.signaling.*
, которые могут наполняться
по данным коллектора или на основе правил маршрутизации.
system.policy.signaling.prefixes
— наполняется префиксами получателя из правил маршрутизации,
ведущих на политику защиты;system.policy.signaling.ips
— наполняется IP-адресами, полученными от коллектора, скорость
поступления трафика на которые превышает установленный порог;system.policy.flowspec.signaling.rules
— в список подставляется полный набор параметров
из правил маршрутизации, ведущих на эту политику, для направления в blackhole;system.policy.flowspec.signaling.rules.ips
— в список подставляются значения IP-адресов,
полученных от коллектора, скорости поступления трафика на которые превышают
установленные пороги для blackhole.Списки FlowSpec-правил для blackhole system.policy.flowspec.signaling.rules
,
system.policy.flowspec.signaling.rules.ips
содержат в себе шаблон с действием
redirect $prefixes
или redirect $rules
.
Активация процесса наполнения списков управляется механизмом автодетектирования.
Пороги скорости в пакетах или битах для добавления IP-адресов в список system.policy.signaling.ips
задаются на странице «Политика защиты» на вкладке «BGP-анонсы».
Detect. Добавлены новые пороги для активации наполнения signaling списков.
Пороги Policy.BGP.Signaling.Input{Bps, Pps}.{On, Off}
управляют формированием системного
списка system.policy.signaling.prefixes
.
Пороги Policy.BGP.Flow.Signaling.Input{Bps, Pps}.{On, Off}
управляют формированием системного
списка system.policy.signaling.ips
.
Detect. Добавлены новые пороги для активации BGP-анонсирования по числу уникальных IP-адресов на коллекторе.
PCAP. Добавлена возможность отправки результатов захвата пакетов на сетевой ресурс.
Теперь результаты захвата пакетов могут быть отправлены на ftp, sftp, http-сервер. Для автоматического режима захвата адреса файловых серверов указываются в карточке «Захват пакетов».
При захвате в ручном режиме требуется указать адреса файловых серверов в профиле пользователя.
PCAP. Добавлена фильтрация по JA3-отпечаткам.
При использовании фильтрации по JA3-отпечатку будут захвачены только пакеты, соответствующие этому отпечатку. Вводимый текст должен содержать значения полей «TLSVersion», «Ciphers», «Extensions», «EllipticCurves» и «EllipticCurvePointFormats», записанные через разделитель: пробел, запятую или точку с запятой, остальные значения игнорируются. Между отпечатками используется разделитель перенос строки. Фильтрация по JA3-отпечаткам выполняется до фильтрации по правилам и регулярным выражениям.
GeoIP. Добавлена возможность редактировать загруженные базы данных GeoIP.
Теперь пользователь может вносить изменения в загруженные базы данных, изменяя принадлежность IPv4 и IPv6 адресов стране и ASN. Вносимые изменения сохраняются при обновлении баз.
GeoIP. Изменено расположение элементов управления загрузкой баз данных GeoIP.
Теперь управление базами GeoIP вынесено в отдельную карточку «Базы данных GeoIP» на странице «Настройка системы».
GeoIP. Добавлена проверка IP-адреса на принадлежность стране и автономной системе.
UX. Добавлена индикация работы BGP-анонсирования в списке политик.
Теперь на странице списка политик защиты напротив названия политики отображается иконка роутера, если в ней включено BGP-анонсирование.
IPList. Добавлена возможность оставить текстовый комментарий к именованному списку IP-адресов.
IPList. Добавлено указание токена для доступа к IP address feeds от команды MITIGATOR.
Указание токена позволяет MITIGATOR получить доступ к фидам с IP-адресами атакующих хостов, ботнетов, proxy и другим репутационным спискам. Доступ к спискам дополнительно лицензируется.
Collector. Добавлена конвертация формата Flow при пересылке.
Теперь при пересылке Flow на сторонние коллекторы можно указать, в какой формат он будет конвертироваться. Доступна конвертация в NetFlow пятой и девятой версий.
Collector. Добавлена подмена IP-адреса отправителя при пересылке flow.
Теперь, когда collector работает в режиме relay и пересылает данные на другие коллекторы, в исходящих пакетах с flow указывается IP-адрес источника, а не IP-адрес коллектора.
Collector. Добавлена выгрузка отчетов из коллектора.
Теперь на вкладке «Анализ Flow» страницы «Политика защиты» можно выгрузить CSV-файлы с данными за указанный временной интервал по сессиям, IP-адресам отправителей или полной информацией в том виде, в котором она хранится на коллекторе.