В версии v22.04 добавлена новая контрмера TLIM, изменено название контрмеры CPSL,
расширена функциональность взаимодействия по BGP, добавлены новые пороги
автодетектирования, добавлен график количества уникальных IP-адресов на выходе
из политики защиты, расширена информация об инциденте в записи журнала событий.
Расширена функциональность контрмер VAL, DNS, ATLS, TCP, BL, BL6, WL, WL6, TBL,
TBL6, TWL, TWl6 и анализатора логов.
DNS. Добавлена возможность не выполнять аутентификацию по UDP.
В режим UDP-аутентификации добавлена опция «Не проверять», которая отключает выполнение UDP-аутентификации DNS-запросов.
LogAnalyzer. Добавлена метрика по 405 коду обработки запроса.
Метрика src.405 позволяет отслеживать количество ответов с кодом 405 на один
src IP-адрес. Например, правило block 100 src.405 limit 10 period 60
занесет
на 100 секунд в список временной блокировки IP-адрес, с которого за минуту
поступило более 10 некорректных запросов.
LogAnalyzer. Добавлена обработка содержимого запроса.
Теперь при указании в правиле ключевого слова request
и регулярного выражения
можно задавать действие для запросов отправителей с указанным содержимым. Например,
правило block 300 request aaa|bbb|ccc
занесет на 300 секунд в список временной
блокировки IP-адрес в случае обнаружения в содержимом запроса значений “aaa”, “bbb”
или “ссс”.
LogAnalyzer. Отключено логирование блокировки IP-адресов.
Теперь в журнал событий не записываются события блокировки IP-адресов по действию
block
в правилах анализатора логов.
API.
Добавлен параметр no_logs
для отключения логирования при добавлении IP-адреса.
Теперь запросы на добавление IP-адресов в списки контрмер BL, BL6, WL, WL6, TBL, TBL6,
TWL и TWl6 могут выполняться с параметром no_logs
. Параметр позволяет не записывать
событие добавления IP-адреса в журнал событий.
UX. Добавлена синхронизация времени для выгрузки журналов.
Во всех контрмерах, в которых есть журнал изменений таблицы хранимых IP-адресов, временной диапазон в фильтре журнала автоматически синхронизируется с диапазоном на графиках. При необходимости диапазон может быть изменен вручную.
UX. Ускорено формирование журнала блокировок в контрмере TBL.
UX. Оптимизирована и ускорена работа Web-интерфейса.
ATLS. Добавлена блокировка IP-адресов отправителей без SNI в TLS Client Hello.
Если установлен чекбокс «Требовать SNI», контрмера ATLS будет сбрасывать все Client Hello без Server Name Indication (SNI) в «Extension». Если выбрано действие «Блокировка отправителя», IP-адрес отправителя будет занесен в список временной блокировки.
TCP. Добавлен график сбросов лимитера.
Добавлен график TCP Limiter Drop
, показывающий скорость сбрасываемого трафика сверх
установленного ограничения по числу SYN+ACK-пакетов.
BPF. Добавлена поддержка фильтра Блума.
Для программ контрмеры BPF добавлена поддержка методов add, check и reset в фильтре Блума. Подробнее в MITIGATOR BPF API.
EventLog. Добавлена дополнительная информация об инциденте в custom-поле записи журнала.
Теперь при формировании записи об инциденте в журнале событий в custom-поле записывается 5-tuple из правил маршрутизации, ведущих на политику, в которой произошел инцидент, а также имя и ID группы, в которую включено правило маршрутизации.
TLIM. Добавлена новая контрмера «Ограничение трафика по протоколу на IP-адрес получателя».
В общую защиту IPv4 добавлена новая контрмера, аналогичная контрмере DLIM, но позволяющая
задавать для каждого IP-адреса ограничение по скорости с учетом L4-протокола.
Ограничения могут быть заданы на скорость в пакетах в секунду или битах в секунду,
а также одновременно двумя способами.
NCL. Изменено название контрмеры CPSL.
VAL. Добавлена опция сброса TCP SYN-пакетов c ненулевым Acknowledgment number.
VAL. Добавлено включение опций по умолчанию.
Теперь при создании новой политики защиты в контрмере VAL по умолчанию активированы некоторые опции валидатора.
DNS. Добавлены опции валидатора.
Аналогично контрмере VAL в DNS появился перечень дополнительных критериев валидации, которые активируются в настройках контрмеры.
DNS. Добавлен список разрешенных доменных зон.
Если DNS-запрос по домену не из списка, то будет сброшен.
TWL. Изменено поведение временного белого списка IP-адресов.
Теперь обязательным условием удаления адреса из TWL является отсутствие с него трафика в течение заданного времени.
TWL6. Изменено поведение временного белого списка IP-адресов.
Теперь обязательным условием удаления адреса из TWL6 является отсутствие с него трафика в течение заданного времени.
BGP. Добавлена постановка на защиту IP-адреса при трафике на коллекторе выше порога.
Теперь в карточке «BGP-анонсы» на вкладке «Настройка политики» страницы «Политика защиты» можно задать пороги скорости в пакетах и битах в секунду. IP-адреса получателя, для которых на коллекторе превышены пороги, могут анонсироваться по BGP для постановки на защиту.
BGP. Добавлены системные списки префиксов и FlowSpec, формируемые по данным коллектора.
Добавлены новые системные списки префиксов:
system.policy.ips
— формируется из IP-адресов, полученных от коллектора, скорость
поступления трафика на которые превышает установленный порог;system.policy.ips.checked
— равен по содержанию списку system.policy.ips
, но
сравнивается с проверочным списком, во избежание blackhole.Добавлены новые системные списки FlowSpec:
system.policy.flowspec.ips
— формируется из IP-адресов, полученных от коллектора,
скорость поступления трафика на которые превышает установленный порог;system.policy.flowspec.ipsrules
— формируется из значений четырех параметров из
правил маршрутизации, ведущих на эту политику: протокол, префикс отправителя, порт
отправителя и порт получателя. В префикс получателя подставляются IP-адреса, полученные
от коллектора, скорости поступления трафика на которые превышают установленный порог.Переименованы системные списки:
system.policy.prefixes
переименован в system.policy.flowspec.prefixes
;system.policy.rules
переименован в system.policy.flowspec.rules
;system.flow.detect
переименован в system.policy.prefixes
;system.flow.detect.checked
переименован в system.policy.prefixes.checked
.Если в списки .ips
попал IP-адрес, принадлежащий политике защиты, то для избежания
дублирования правила маршрутизации на эту политику не учитываются при формировании
других системных списков.
Detect. Добавлены новые пороги по уникальным IP-адресам на выходе из политики защиты.
Добавлен порог активации механизма автодетектирования при изменении количества
уникальных адресов на выходе из политики <element>.Unique.SrcAddr.Out.{On, Off}
.
Добавлены пороги по возрастанию количества уникальных адресов на входе и выходе из
политики за такт: <element>.Unique.SrcAddr.{In, Out}.Diff
.
Добавлен порог нижнего предела чувствительности. Механизм автодетектирования
не включится или немедленно выключится если количество уникальных адресов на выходе
из политики не превышает <element>.Low.Unique.SrcAddr.Out
.
Detect. Переименованы пороги автодетектирования по уникальным IP-адресам на входе в политику.
<element>.Unique.SrcAddr.{On, Off}
переименован в <element>.Unique.SrcAddr.In.{On, Off}
;<element>.PerSrcAddr{Bps, Pps}.{On, Off}
переименован в <element>.PerSrcAddrIn{Bps, Pps}.{On, Off}
.UX. Добавлен подсчет количества уникальных IP-адресов на выходе из политики защиты.
Теперь на графике IP-адресов отображается количество уникальных адресов на входе и выходе политики защиты.
UX. Добавлено отображение текущих значений внешнего и внутреннего MAC-адресов.
Теперь при нажатии на иконку появляется тултип с текущим значением MAC-адреса.
UX. Добавлен уникальный префикс названий политик группы.
Добавлен префикс названий политик группы, показывающий принадлежность политик защиты к конкретной группе. Префикс автоматически добавляется перед названиями всех политик защиты данной группы через символ нижнего подчеркивания. Это позволяет пользователям разных групп создавать политики с одинаковыми названиями, а администратору системы легко различать политики защиты в общем списке. Поле принимает латиницу, кириллицу, цифры и специальные символы. Максимальная длина – 5 символов.
UX. Удалена проверка количества запросов до повторной аутентификации в контрмерах TCP, HTTP, ATLS, DNS.
UX. Добавлено отображение количества лицензируемых экземпляров в кластере.
UX. Обновлена встроенная справка на английском языке.