Версия 23.02
В версии v23.02 добавлен детектор адресной защиты, новая контрмера ACLI,
именованные списки JA3, поддержка FHRP
в режиме интеграции в сеть «Common LAN», поддержка баз GeoIP2.
Расширена функциональность Collector и PCAP, контрмер ATLS, DTLS, JA3, TBL, TBL6,
RETR, RETR6, VAL, VAL6, DNS, WL, WL6.
Изменения версии v23.02
HPD. Добавлен «Детектор адресной защиты».
Для ситуации когда в политику защиты направляется трафик множества dst IP и необходимо активировать фильтрацию только для трафика адресов под атакой, добавлен механизм «Детектор адресной защиты» (HPD). Механизм позволяет активировать фильтрацию в отдельных контрмерах только для IP-адресов, трафик на которые превышает установленный порог в пакетах или битах.
В зависимости от выбранного режима работы детектора на обработку контрмерами политики может быть направлен:
- весь трафик политики защиты;
- только трафик адресов, для которых превышен порог. Остальной трафик будет пропускаться на выход политики без обработки.
Если в политику направляется весь трафик, то контрмеры политики независимо друг от друга могут обрабатывать трафик согласно персональных настроек адресной защиты.
Когда детектор адресной защиты обнаруживает превышение порога, в журнале событий формируется соответствующая запись. Пользователю может направляться уведомление о событии срабатывания детектора, если настроены каналы отправки уведомлений о событиях системы.
Также, на основании данных детектора адресной защиты могут формироваться списки
префиксов и списки FlowSpec-правил для анонсирования по BGP. В названиях таких
списков присутствует суффикс .hpd..
HPD совместим с механизмом автодетектирования и адресной защитой (HPA) в
контрмерах TCP и MINE.
HPD поддерживается в следующих контрмерах политики:
BL, TBL, ACL, GEO, RTS, SOUR, RETR, TCP, MINE, CRB, LCON, SLOB, HTTP, ATLS, JA3,
DTLS, GAME, WG, DNS, SIP, SPLI, FRB, SERB, SORB, SPRB, REX, BPF, USF, NCL, LIM.
ACLI. Добавлена новая контрмера «Фильтрация по правилам трафика из внутренней сети» в общую защиту IPv4.
Контрмера предназначена для фильтрации трафика, поступающего из внутренней
сети. По принципу действия и синтаксису аналогична контрмере ACL, но не
поддерживает действие block.
Теперь на MITIGATOR можно поддерживать сценарии использования двунаправленного и высокопроизводительного stateless firewall с большим набором правил.
JA3Lists. Добавлены именованные списки JA3-отпечатков.
В настройках системы теперь можно задать именованные списки JA3-отпечатков. Логика
работы и источники значений такие же как для именованных списков IP-адресов.
Именованные списки JA3 можно применять в контрмерах ATLS, DTLS, JA3 и в PCAP для
фильтрации.
Поддерживается импортирование фидов от команды MITIGATOR при указании токена.
ATLS. Добавлена поддержка именованных списков JA3.
Теперь в контрмере ATLS для указания белого списка, черного списка и списка
разрешенных используется поле ввода, в котором можно указать именованный список
JA3-отпечатков. Сохранена возможность загрузки файла.
При загрузке файла, его содержимое добавляется к текущим значениям и
отображается в поле ввода.
DTLS. Добавлена поддержка именованных списков JA3.
Теперь в контрмере для белого списка, черного списка и списка разрешенных можно указать именованный список JA3-отпечатков.
JA3. Добавлена поддержка именованных списков JA3.
JA3. Добавлена возможность указывать в правиле более одного JA3 отпечатка.
Перед каждым отпечатком следует указывать ключевое слово JA3. Между отпечатками применяется логическое «ИЛИ».
TBL. Добавлен механизм наполнения именованного списка заблокированными IP-адресами.
Теперь в TBL можно выбрать именованный список, который будет наполняться значениями заблокированных IP-адресов. Таким образом, можно наполнять именованный список данными из нескольких TBL и использовать в других контрмерах и политиках.
TBL. Изменен способ отображения названий контрмер в журнале TBL.
Теперь в журнале блокировок TBL вместо полного названия контрмеры, добавившей IP-адрес в список блокировки, отображается краткое название.
TBL6. Добавлен механизм наполнения именованного списка заблокированными IP-адресами.
TBL6. Изменен способ отображения названий контрмер в журнале TBL6.
RETR. Добавлено действие BYPASS.
Иногда может потребоваться исключить влияние контрмеры на трафик,
соответствующий определенному шаблону, поэтому добавлено действие BYPASS,
при котором не задаются пороги. Трафик, соответствующий шаблону в таком
правиле, пропускается на выход контрмеры, а IP-адрес отправителя не заносится
в таблицу аутентифицированных.
RETR6. Добавлено действие BYPASS.
VAL. Добавлены новые опции сбросов.
Теперь контрмера может сбрасывать:
- TCP-сегменты с флагом ACK и одинаковыми Sequence и Acknowledgment number;
- пакеты, в которых указаны зарезервированные биты в TCP-заголовке, определенные в RFC 9293.
Оба флага по умолчанию установлены.
VAL6. Добавлены новые опции сбросов, аналогичные добавленным в VAL.
DNS. Добавлен новый режим аутентификации по TCP.
WL. Добавлена возможность пропускать трафик мимо контрмеры BL.
WL. В общую защиту IPv4 добавлена возможность пропускать пакет без обработки только конкретными контрмерами аналогично политике защиты.
WL6. Добавлена возможность пропускать трафик мимо контрмеры BL6.
WL6. В общую защиту IPv6 добавлена возможность пропускать пакет без обработки только конкретными контрмерами аналогично политике защиты.
PCAP. Добавлена возможность указания нескольких Telegram ID в автозахвате.
PCAP. Добавлена информация о настройках sFlow.
Теперь в комментарии к файлу захвата указываются настройки формирования sFlow.
PCAP. Добавлена индикация времени начала и продолжительности захвата.
Теперь после запуска захвата напротив заголовка «Захватывать пакеты» отображаются время начала захвата и его продолжительность.
PCAP. Добавлена поддержка именованных списков JA3-отпечатков в поле фильтрации.
PCAP. Добавлено объединение файлов захвата с разных экземпляров.
Для удобства захвата пакетов в кластере с множеством экземпляров добавлен флаг «Объединить результаты захвата со всех экземпляров в один файл». Если флаг установлен, то захваченные пакеты со всех экземпляров кластера в рамках выбранной точки захвата объединяются в единый файл. В комментарии к пакету указываются номер и название экземпляра, на котором произошел его захват.
PCAP. Добавлена возможность захватывать сбросы политик в общей защите.
Теперь, выполняя захват в общей защите по точке захвата «Сброшенные», можно
указать список политик защиты, сброшенные пакеты из которых войдут в результирующий
файл.
Если установлен чекбокс «Захватывать сбросы всех политик», то в файл захвата будут
добавлены пакеты, сброшенные во всех политиках защиты, а не только в указанных.
GeoIP. Добавлена поддержка баз GeoIP2.
GeoIP.
Добавлена возможность загружать базы Geo в формате .mmdb.
Collector. Добавлено отображение статистики с Collector по всем политикам защиты.
Добавлена новая страница интерфейса «Анализ Flow». На ней отображается данные в виде графиков трафика и таблиц со статистикой, сгруппированной по различным критериям, аналогично вкладке «Анализ Flow» отдельных политик.
Deploy. Добавлена поддержка FHRP для режима интеграции в сеть «Common LAN».
Если внешние или внутренние роутеры присылают кадры с указанием реальных MAC-адресов устройств вместо виртуального, следует указать в настройках список реальных IP-адресов роутеров, чтобы MITIGATOR мог определить соответствующие им MAC-адреса. В случае если кадры от всех устройств FHRP приходят с указанием виртуального MAC-адреса, достаточно указать только виртуальный IP-адрес.
UX. Добавлено отображение информации о количестве экземпляров системы в кластере.
Теперь в карточке «Лицензия» на странице «Экземпляр» отображается, какое количество экземпляров системы использовано данным кластером из общего числа лицензированных экземпляров.
UX. Добавлен режим одновременного отображения графиков Мониторинга в pps и bps.
EventLog. Добавлено логирование изменившихся параметров контрмер в журнале событий.
Теперь при внесении изменений в настройки контрмер в поле «Подробности» журнала событий отображаются измененные значения.
