Защита TCP с синхронизацией ISN

MITIGATOR имеет режим защиты TCP с синхронизацией ISN, в котором после проверки клиента соединение не разрывается, фильтрация получается прозрачной и удобной. Для этого нужно установить на защищаемый сервер модуль ядра, который будет выдавать нужную информацию, и агент синхронизации, который будет опрашиваться системой MITIGATOR.

Режим работы с синхронизацией ISN поддерживается в контрмерах TCP, MINE, ATLS, DNS и BPF.

Системные требования:

  • MITIGATOR v23.08.0 и выше.
  • На защищаемом сервере:
    • Linux с ядром 4.13 и выше.
    • FreeBSD 12 или 13.
  • Время на защищаемом сервере и MITIGATOR синхронизировано.
    Фактически, нужно настроить NTP на обоих серверах.

Установка

  1. Скачайте архив с модулем ядра и агентом синхронизации для вашей ОС.
Скачать архив
Скачать архив

  1. Распакуйте архив и перейдите в извлеченный каталог.

  2. Установите новый агент синхронизации с помощью скрипта. Запускается от root. Старый агент синхронизации, если он был установлен, будет удален автоматически.

    ./install

  3. Разрешите TCP-подключения к порту 7100, если используется firewall.

  4. Администратор системы MITIGATOR предоставит публичный ключ такого вида:

    ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1

    Допишите полученный ключ в файл /opt/mitigator_agent/keys:

    head -1 >> /opt/mitigator_agent/keys
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIDO7P4aiE3fgdsVieFiFaUKjU54yFpU9FdiimsFHd6eZ mitigator1

    Здесь mitigator1 – название экземпляра MITIGATOR в кластере. Помогает идентифицировать экземпляр, опрашивающий агента синхронизации, по журналам.

Настройка в web-интерфейсе

Синхронизация параметров позволяет контрмерам MITIGATOR выполнять проверки без лишнего обмена пакетами или разрыва соединения с клиентом, потому что параметры установления TCP-сессии генерируются по данным, полученным системой от агента синхронизации.

IP-адрес управления, по которому доступен агент синхронизации, может отличается от IP-адреса сервиса, к которому обращаются через MITIGATOR. Поэтому нужно задать соответствие между IP-адресами сервисов и IP-адресами агентов синхронизации, установленных на серверах этих сервисов. Один агент синхронизации может отвечать за несколько IP-адресов сервисов, либо наоборот несколько агентов синхронизации могут быть установлены на различных серверах, отвечающих за один IP-адрес сервиса. Если задать только IP-адрес агента, он же считается и IP-адресом сервиса.

В контрмерах политики, поддерживающих работу в режиме синхронизации параметров сессии, следует задать соответствующий режим работы.

Обновление агента синхронизации

Запустите установочный скрипт еще раз. Настроенные ключи сохранятся.

./install

Удаление агента синхронизации

Запустите установочный скрипт с параметром -u.

./install -u