Версия v24.04

В версии v24.04 переработан детектор адресной защиты, переработан раздел «Анализ Flow», добавлена поддержка диапазонов IP-адресов в правилах маршрутизации, дополнены отчеты по инцидентам, добавлены раздельные настройки отправки sflow, внесены множественные улучшения в UX.
Расширена функциональность контрмер TBL, MSSB, ATLS, RTS, DNS, DNS6, SLOB, RETR, а также Collector, Logan и Web challenger.

Изменения версии v24.04

HPD. Переработан детектор адресной защиты.

Теперь детектор адресной защиты подсчитывает сетевые пакеты, поступающие на каждый IP-адрес за период, согласно заданным правилам. Проверка пакетов на соответствие правилам происходит в порядке следования правил в списке. Правило может содержать порог и фильтр, состоящий из ACL и REX. Сначала проверяется соответствие трафика шаблону, и только после этого соответствующий шаблону трафик подсчитывается правилом.

Кроме порога в пакетах или битах в секунду можно задавать пороги по количеству TCP-флагов или по количеству UDP-трафика за период, а также несколько порогов одновременно.

После проверки по правилам может быть активирован еще один набор счетчиков, которые подсчитывают весь трафик, не соответствующий правилам.

Сохранена возможность помечать трафик, поступивший с ненадежных префиксов.

Routing Rules. Добавлена поддержка диапазонов IP-адресов.

Теперь в префиксах отправителя или получателя в правилах маршрутизации на политики защиты можно указывать диапазоны IP-адресов. Например, запись 178.163.234.0-178.163.236.89 эквивалентна следующему набору подсетей в нотации CIDR:

178.163.234.0/23
178.163.236.0/26
178.163.236.64/28
178.163.236.80/29
178.163.236.88/31

MSSB. Добавлена возможность задавать раздельные пороги для TCP и UDP трафика.

ATLS. Добавлен подсчет метрик ClientHello при выключенной контрмере.

В контрмеру добавлен переключатель сбора метрик ClientHello. Это позволяет механизму автодетектирования активировать другие контрмеры по метрикам ATLS, даже если сама контрмера ATLS выключена.

RTS. Добавлен просмотр списка сгенерированных правил.

Теперь в контрмере можно просмотреть все сгенерированные правила, даже если они не были применены для фильтрации.

DNS. Добавлен выбор транспортного протокола, для которого применяется ограничение по типам DNS-записей.

Теперь заданные ограничения могут применяться только для TCP-запросов, только для UDP-запросов, или суммарно для обоих.

DNS6. Добавлена контрмера DNS в политики защиты IPv6.

Контрмера аналогична DNS из политик защиты IPv4, но пока не поддерживает работу в режиме синхронизации параметров ISN с агентом синхронизации на защищаемом сервере.

SLOB. Добавлена поддержка функции «Мониторинг соединений».

RETR. Добавлена поддержка функции «Мониторинг соединений».

TBL. Добавлено логирование IP-адресов, добавленных в список временной блокировки по API.

В запрос на добавление IP-адресов в список временной блокировки добавлен опциональный параметр items=true, позволяющий логировать список занесенных IP-адресов в custom журнала событий и отправлять по syslog.

Incidents. Добавлен комментарий политики защиты.

В расширенную информацию по инциденту добавлен комментарий к политике, который был у политики в момент инцидента. Также комментарий к политике теперь добавлен в syslog-сообщение об инциденте.

Detect. Добавлены пороги по тестовому сбросу.

Добавлены пороги автодетектирования *.TestDrop.Policy.{Pps,Bps}.{On,Off}, отслеживающие трафик, помеченный для сброса контрмерами в тестовом режиме.

Detect. Добавлены пороги управления статусом политики защиты по данным Collector.

Добавлены пороги автодетектирования Policy.Status.Flow.Input{Bps, Pps} и Policy.Status.Flow.Drop{Bps, Pps}, которые управляют статусом политики защиты.

Reports. Добавлены причины блокировок ATLS и DTLS в отчет по инцидентам.

В экспортируемый отчет по инцидентам теперь можно добавить информацию о причинах блокировок IP-адресов из журналов блокировок контрмер ATLS и DTLS.

Reports. Ограничено количество записей журнала событий при выгрузке отчета.

Теперь в отчете отображаются только первые 50 и последние 50 записей журнала событий за время инцидента.

Reports. Добавлена информация по данным из коллектора в экспортируемые отчеты по инцидентам.

Добавлена информация по данным из коллектора по входящему и сброшенному трафику в табличном представлении по Топ 10 pps и bps по срезам:

• IP-адрес отправителя;
• IP-адрес получателя;
• Протокол-Порт отправителя;
• Протокол-Порт получателя;
• Страна отправителя;
• AS отправителя;
• Длина пакетов;
• TCP-флаги.

Всего 32 различных топа.

Reports. Добавлены графики входящего и сброшенного трафика с вкладки «Коллектор» в политике защиты в экспортируемые отчеты по инцидентам.

LOGAN. Добавлена возможность исключить из обработки запросы с определенных IP-адресов.

В правила добавлено действие allowed-src, позволяющее указать префиксы, запросы от которых не будут учитываться правилами Logan.

LOGAN. Добавлена возможность применять правило с request, user-agent и referrer с указанием количества повторений.

Теперь для правил c request, user-agent и referrer можно указать количество повторений для срабатывания правила.

Например:

block 300 request ^POST\s/\s.{8} - заблокирует отправителя при первом обнаружении запроса, соответствующего регулярному выражению.

block 300 request ^POST\s/\s.{8} limit 3 period 1 - заблокирует отправителя при обнаружении трех запросов, соответствующих регулярному выражению, за секунду.

LOGAN. Добавлен параметр, управляющий резолвингом IP-адресов.

LOGAN_DNS_RESOLVE может принимать следующие значения:

• none - отключает резолвинг;
• all - резолвинг работает во всех политиках защиты;
• crawlers - резолвинг работает только в политиках защиты с allowed-crawlers.

По умолчанию - crawlers.

Web challenger. Добавлена поддержка HTTP.

Теперь Web challenger может обрабатывать http-запросы.

sFlow. Добавлена возможность указания MAC-адреса получателя в параметрах отправки sFlow.

sFlow. Добавлены раздельные настройки отправки sflow по трафику из внешней и внутренней сети.

Теперь можно настроить отправку sFlow для входящего и сброшенного трафика, поступившего из внешней и внутренней сети независимо и с разными параметрами семплирования.

Collector. Изменена страница «Анализ Flow».

Вкладки «Трафик» и «Скорости» объединены в одну новую вкладку «Дашборд».

Теперь пользователь может создавать собственные пресеты дашбордов, в которых задает произвольные набор и компоновку виджетов.

Виджетами могут быть различные графики трафика или таблицы со статистикой в различных срезах. Пользователь может отфильтровать Flow, по которому строится статистика в виджетах секции.

Есть возможность не только выбирать из предустановленных виджетов, но также формировать собственные.

Также добавлена выгрузка статистики по IP-адресам отправителей за выбранный интервал с учетом введенных фильтров.

Collector. Изменена вкладка «Анализ Flow» в политике защиты.

Отображение информации с коллектора приведено к такому же виду, что и на странице «Анализ Flow».

Collector. Добавлен опрос интерфейсов экспортера коллектором по SNMP.

Теперь коллектор может опрашивать интерфейсы экспортеров Flow и отображать в Web-интерфейсе их названия, номера и статусы.

Collector. Добавлена единая точка загрузки баз GeoIP.

Теперь на обработчики пакетов и подключенные коллекторы одновременно загружаются одинаковые базы GeoIP по странам и ASN. Загрузка на коллекторы происходит автоматически и только если в MITIGATOR загружены и база по странам и база по ASN.

Core. Добавлена ручная переинициализация обработчика пакетов.

В настройки экземпляра добавлена кнопка, которая перезагружает на обработчик пакетов все настройки из «Primary» базы данных. Следует применять для синхронизации настроек обработчика пакетов в случае, когда выполнено восстановление кластера после распада.

Core. Изменен режим работы контейнера dataplane.

Теперь контейнер dataplane по умолчанию запускается в хостовом режиме сети.

Файл docker-compose.hostmode.yml с базовой конфигурацией для сетевых карт Mellanox удален, настройки перенесены в docker-compose.yml.

UX. Обновлен фильтр временного периода.

• Выбранный в календаре интервал применяется только по нажатию на кнопку “OK”.
• Добавлена возможность задавать период отображения на графиках через указание произвольного количества минут, часов или дней от текущего момента.
• Добавлена возможность сохранять выбранный период отображения в буфере обмена и применять его из буфера.

UX. Добавлены графики тестового сброса в топ политик.

На вкладку «Топ политик» страницы «Мониторинг» добавлены графики тестового сброса.

UX. Добавлена индикация работающего захвата пакетов на странице списка политик.

Теперь на странице списка политик защиты у политик защиты, в которых запущен захват пакетов отображается значок PCAP.

UX. Добавлена фильтрация на странице списка инцидентов.

Доступны фильтры по контрмерам, типу атаки, тэгам и комментариям.

UX. Добавлено отображение скоростей трафика в системе.

В верхней панели Web-интерфейса теперь отображаются скорости входящего, пропущенного и сброшенного трафика для всего кластера. Нажатие на счетчики открывает расширенную статистику.

UX. Добавлена фильтрация заданий очистки НСПА.

Доступны фильтры по статусу заданий, типу источника, времени запуска и остановки.

UX. Добавлено отображение применяемых контрмер в задании очистки.

UX. Добавлено визуальное разделение порогов автодетектирования.

Теперь блоки порогов автодетектирования по разным контрмерам и механизмам отделены друг от друга пустой строкой.

UX. Добавлен вариант отображения графиков с градиентной заливкой.

UX. Добавлено отображение скорости трафика по данным Collector на странице списка политик защиты.

На странице списка политик защиты теперь отображаются скорости входящего и сброшенного трафика по данным Collector.

Если пороги по входящему или сброшенному трафику превышены, рядом со значением скорости отображается точка.

Добавлена фильтрация по статусу, позволяющая отобразить только политики защиты, в которых превышены пороги по входящему или сброшенному трафику, как по данным MITIGATOR, так и по данным Collector.

Также доступна сортировка по значениям скоростей.

UX. Добавлено отображение текущих скоростей трафика по данным с Collector на странице политики защиты.

Теперь в правом углу верхней панели отображаются скорости входящего, пропущенного и сброшенного трафика по данным обработчика пакетов и скорости входящего и сброшенного трафика по данным Collector.

UX. Изменена страница BGP.

Теперь разделы BGP вынесены в отдельное подменю.