Версия v25.02

В версии v25.02 добавлено: контрмера DNAT, отправка тестового сброса по sFlow, работа с несколькими LOGAN, поддержка работы ISN за NAT, облегченный backup, ручной запуск мягкого старта в контрмерах, возможность изменения конфигурации и health check для Web Challenger, поддержка доменных имен в именованных списках, контрмеры CRB6 и SPRB6 в политики защиты IPv6, и новые пороги автодетектирования.
Расширена функциональность контрмер WL, WL6, BL, TBL, TBL6, ACL, ACL6, FTLS, а также Облачной сигнализации, Инцидентов, PCAP, PCAP6, Collector, TACACS+ и TAP-интерфейса, внесены множественные улучшения в UX. Контрмера JA3 переименована в FTLS.

Изменения версии v25.02.1

Detect. Добавлены BGP пороги автодетектирования по flow по сбросам сторонних устройств.

Добавлены BGP пороги по трафику, сброшенному сторонними устройствами по данным коллектора: Policy.BGP.{Signaling,Announce,Blackhole,Amplification}.Flow.Drop.Other{Bps,Pps}.{On,Off}.

Detect. Добавлена возможность задать минимальное значение diff-порогов.

Добавлены пороги <element>.Xxx.Diff.OffMin{Bps,Pps}, ограничивающие нижнюю границу для отключения diff-порогов. Подробнее во строенной документации по автодетектированию.

UX. Изменен тултип на графиках.

Теперь вертикальный маркер под курсором на графике дублируется на все графики на странице. При нажатии клавиши Alt на каждом графике отображается тултип.

Изменения версии v25.02

CloudSignaling. Добавлен механизм отправки динамически изменяемых защищаемых префиксов по протоколу Тип 1.

Теперь список защищаемых префиксов может формироваться динамически по данным из правил на политики и HPD. Наполнение списка может управляться механизмом автодетектирования в политике защиты с помощью порогов Type1.*.

Policy. Добавлены новые действия для массовых изменений политик защиты.

Добавлены действия:

• включение политик защиты;
• отключение политик защиты;
• включение автодетектирования в контрмерах политик;
• отключение автодетектирования в контрмерах политик;
• включение автодетектирования в политике защиты;
• отключение автодетектирования в политике защиты.

Detect. Удалены пороги для регистрации инцидентов по умолчанию.

Ранее при создании политики защиты в ней всегда были заданы пороги Incidents.Drop* с нулевым значением. Это приводило к регистрации инцидентов при наличии любого единичного сброса. При обновлении на v25.02 пороги Incidents. с нулевыми значениями будут удалены.

Detect. Добавлено управление коэффициентом отключения для порогов по ускорению.

Теперь с помощью .Xxx.Diff.OffFactor можно задать коэффициент скорости трафика для отключения. Подробнее во строенной документации по автодетектированию.

PCAP. Добавлен фильтр по JA4-отпечаткам.

Теперь в захвате пакетов для общей защиты и политики можно задать фильтр по JA4-отпечатку.

PCAP. Добавлено указание точек захвата.

Теперь в файле захвата сохраняется информация о том, в каких точках выполнялся захват.

PCAP. Добавлены подсказки для ACL фильтров в PCAP.

PCAP6. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.

PCAP6. Добавлено указание точек захвата.

PCAP6. Добавлены подсказки для ACL фильтров в PCAP.

Softstart. Добавлен ручной запуск Мягкого старта.

Теперь во всех контрмерах, поддерживающий Мягкий старт, режим можно активировать вручную нажатием на кнопку «Запустить» при условии, что контрмера включена.

DNAT. Добавлена новая функция DNAT.

Для решения задачи перенаправления определенного трафика на стороннее L7-устройство фильтрации в политику защиты добавлена новая функция «Трансляция адреса получателя». Описание трафика, который должен транслироваться из политики, выполняется с помощью ACL-подобных правил.

WL. Добавлена возможность пропускать трафик из определенных стран.

Теперь в WL общей защиты и политик можно указать, трафик из каких стран должен пропускаться контрмерой без обработки. Поддерживается поконтрмерный байпас, позволяющий пропускать трафик из указанных стран мимо указанных контрмер.

Также добавлена возможность пропускать без обработки весь трафик неуказанных стран, как всеми контрмерами, так и только выбранными.

WL. Добавлена поддержка кириллических доменных имен.

WL6. Добавлена возможность пропускать трафик из определенных стран.

BL. Добавлена поддержка кириллических доменных имен.

TBL. Добавлена проверка вхождения префикса в списки блокировки.

Теперь можно выгрузить содержимое TBL с фильтром по префиксу.

TBL6. Добавлена проверка вхождения префикса в списки блокировки.

ACL. Добавлена поддержка кириллических доменных имен.

ACL6. Добавлена возможность указания в правилах фильтрации диапазонов IP-адресов для src и dst.

FTLS. Переименована контрмера JA3 в FTLS.

Контрмера JA3 «Фильтрация по JA3-отпечаткам» переименована в FTLS «Фильтрация TLS по отпечаткам».

FTLS. Добавлена поддержка JA4-отпечатков.

Теперь в правилах фильтрации можно указывать как JA3, так и JA4-отпечатки.

GAME. Добавлена поддержка функции Мониторинг соединений.

CRB6. Добавлена контрмера CRB в политики защиты IPv6.

SPRB6. Добавлена контрмера SPRB в политики защиты IPv6.

Deploy. Добавлена возможность принудительно отказаться от статуса VRRP-мастера на экземпляре.

Теперь можно принудительно отдать статус VRRP-мастера. Новый мастер выбирается согласно заданным значениям приоритета.

Deploy. Управление TAP-интерфейсом вынесено в отдельный пункт настроек системы.

Deploy. Добавлен режим зеркалирования трафика на TAP-интерфейс.

Добавлен режим работы, при котором входящий трафик из внешней и внутренней сети может зеркалироваться на TAP-интерфейс.

Deploy. Добавлено ограничение трафика, поступающего на TAP-интерфейс.

Deploy. Добавлена возможность изменять VLAN ID для обратного трафика.

В dataplane.conf добавлена настройка challenge_vlan_id. Если настройка задана, в ответных пакетах активных контрмер, идущих во внешнюю сеть, изменяется VLAN ID на указанный в настройке. Настройка работает только для режимов интеграции в сеть On a Stick и Common LAN.

TACACS+. Добавлен выбор режима проверки пользователей при интеграции с TACACS+.

В режиме «Аутентификация» выполняется только аутентификация пользователей с помощью TACACS+. Пользователи, для которых в MITIGATOR еще нет учетных записей, не смогут войти в систему, даже если у них есть учетная запись TACACS+. Учетная запись MITIGATOR для них должна создаваться вручную системным администратором с последующей передачей функции аутентификации на сервис TACACS+.

Если выбран режим «Аутентификация и авторизация», то при первой попытке аутентификации для пользователя без учетной записи в MITIGATOR, но с учетной записью TACACS+, будет автоматически создана учетная запись в MITIGATOR с набором прав, указанном в настройках сервиса TACACS+.

Web challenger. Добавлена проверка доступности Web challenger по mgmt.

Добавлен периодический опрос челенджеров для проверки доступности по mgmt. В случае отказа контрмера HCA не будет направлять трафик на Web challenger.

Web challenger. Добавлена возможность вносить изменения в конфигурацию nginx на Web challenger.

Теперь с помощью полей http и server можно вносить изменения в конфигурацию nginx, что позволяет расширять функциональность Web challenger стандартными средствами nginx.

Указанное в поле http распространяется на все защищаемые домены. Указанное в поле server распространяется только на конкретный домен.

Примеры применений:

1. Для отправки логов с Web challenger, например на Logan.

Если задать формат логов

log_format myformat '$remote_addr - $remote_user [$time_local] "$request" $request_time $status $body_bytes_sent "$http_referer" "$http_user_agent"';

и параметры отправки,

access_log syslog:server=10.8.3.1:7201,tag=123456789abcdefg myformat;

то Web-challenger будет отправлять логи в combined формате, на 10.8.3.1:7201 с токеном 123456789abcdefg.

2. Передача оригинального IP-адреса клиента при работе через балансеры и прокси

В поле server задаются настройки для модуля ngx_http_realip_module.

real_ip_header X-Forwarded-For;
set_real_ip_from 192.168.1.0/24;
real_ip_recursive on;

В этом случае, если поступил запрос из подсети 192.168.1.0/24, то Web-challenger аутентифицирует не тот IP-адрес, который был указан в src_ip, а указанный в http-заголовке X-Forwarded-For.

Web challenger. Добавлен выбор режима челленджа для каждого защищаемого ресурса.

Теперь на вкладке «TLS-сертификаты» можно указать, какой режим проверки следует применять для конкретного защищаемого домена.

Collector. Дополнен список виджетов в Анализе Flow.

Collector. Добавлена выгрузка статистики в Анализе Flow по IP-адресам экспортеров.

Collector. Добавлены статусы получения номеров интерфейсов по SNMP.

Теперь можно увидеть, для каких интерфейсов, полученных из Flow, есть информация по SNMP.

LOGAN. Добавлена возможность использования нескольких LOGAN.

Теперь MITIGATOR может работать с несколькими LOGAN одновременно. Настройки LOGAN вынесены в отдельный пункт настроек системы «Анализаторы логов».

В политике защиты на вкладке «Анализ логов» теперь можно выбрать, по какому LOGAN показывать статистику. Если выбран вариант «Все экземпляры», то статистика отображается для каждого подключенного экземпляра LOGAN в отдельных блоках, размещенных друг под другом, и отделенных заголовком с названием экземпляра. Также, при стриме логов теперь отображается название экземпляра, на который поступил лог.

LOGAN. Добавлен график среднего времени обработки запроса.

На вкладку графика политики «Время запросов» в Анализе логов добавлен график, показывающий среднее время обработки запроса.

IPList. Добавлена поддержка доменных имен в именованных списках IP-адресов.

Теперь в именованных списках IP-адресов можно указывать доменные имена.

IPList. Добавлена поддержка кириллических доменных имен.

sFlow. Добавлена отправка sflow по сбросам в тестовом режиме.

Теперь обработчик пакетов может отправлять sFlow по тестовым сбросам.

ISN-агент. Добавлена поддержка работы ISN за NAT.

Ранее в сценариях защиты с использованием синхронизации параметров сессий возникали проблемы при нахождения защищаемого сервера за NAT. В карточке «Синхронизация параметров сессии» в таблице трансляции теперь можно сопоставить публичные и локальные IP-адреса и порты защищаемых сервисов.

Multi. Добавлена балансировка нагрузки на базы данных метрик в кластерной инсталляции.

Для улучшения отзывчивости интерфейса запросы на отрисовку графиков теперь могут распределяться по серверам, хранящим метрики. Для включения балансировки требуется внести изменения в файлы конфигурации согласно специальной инструкции.

Incidents. Добавлен счетчик инцидентов.

Теперь в списке инцидентов отображается количество инцидентов на выбранном временном интервале.

Incidents. Добавлен выбор способа получения выгружаемого отчета.

Теперь при нажатии кнопки «Экспорт» для получения отчета по инцидентам можно выбрать способ получения:

• скачать файл с отчетом;
• отправить файл с отчетом на email, указанный в профиле пользователя;
• отправить файл с отчетом в Telegram чат с ID, указанным в профиле пользователя;
• выгрузить на файловый сервер.

Incidents. Добавлено ограничение на размер выгружаемого отчета.

Теперь в файл нельзя выгрузить отчет более чем по 100 инцидентам. Для выгрузки большого количества инцидентов следует использовать другие способы получения.

Reports. Добавлена статистика по максимальной и средней скоростям сброса для каждой контрмеры.

В экспортируемый отчет по инцидентам добавлена таблица значений среднего и максимального трафика, сброшенного за время инцидента каждой контрмерой.

Reports. Добавлена выгрузка регулярного отчета на файловый сервер.

Backup. Добавлена возможность создания облегченной резервной копии.

Добавлена возможность создания облегченной резервной копии данных кластера. Облегченная резервная копия не содержит следующих данных:

• Журнал событий;
• Инциденты и расширенная статистика по Flow;
• Журнал добавления аутентифицированных IP-адресов;
• Журнал активации адресной защиты HPD;
• Журнал изменений списка блокировки TBL;
• Журнал адресной активации TCP;
• Журнал адресной активации SPLI;
• Журнал блокировки IP-адресов ATLS;
• Журнал блокировки IP-адресов DTLS;
• Журнал блокировки IP-адресов анализатора логов;
• Журнал записи сканеров;
• Журнал триггеров DLIM;
• Журнал триггеров PLIM;
• Журнал триггеров PLIM6;
• Журнал триггеров TLIM.

Инструкция по резервному копированию обновлена.

System State. Добавлена информация о принадлежности группе в выгрузку по использованию оперативной памяти.

В CSV-файле с информацией о потреблении оперативной памяти, выгружаемом на вкладке «Настройка политики» страницы «Политика защиты» и вкладке «Ресурсы» на странице «Состояние системы», теперь содержится информация о номере и названии группы, к которой принадлежит политика.

UX. Добавлен автоматический выбор первого токена из списка в Анализе логов.

Теперь на вкладке «Статистика» в «Анализе логов» автоматически выбирается первый токен из списка.

UX. Добавлен выбор версии протокола IP в Топ политик.

Теперь на вкладке «Топ политик» страницы «Мониторинг» можно посмотреть топы по IPv4 и IPv6 трафику независимо. Отображение графиков управляется кнопками IPv4 и IPv6.

UX. Изменено отображение элементов управления на странице Анализ Flow.

Кнопки для выбора версии протокола IP приведены к тому же виду, что и на вкладке «Топ политик» страницы «Мониторинг». Для групп элементов управления добавлены заголовки.

UX. Добавлен сброс фильтров на странице списка политик защиты.

Теперь в каждом поле фильтра на странице списка политик защиты есть иконка для сброса примененных фильтров.

UX. Добавлена возможность отредактировать интервал при скачивании журнала в TBL.

Ранее при выборе предустановленного временного интервала в датапикере журнала диалоговое окно закрывалось. Теперь выбранный интервал применяется только после подтверждения, что дает возможность скорректировать границы интервала.

UX. Добавлена группировка полей в профиле пользователя в тематические группы.

UX. Изменена индикация запущенного захвата пакетов.

UX. Изменена форма управления именованными списками.

Изменена форма управления именованными списками IP-адресов, правил фильтрации и JA3/JA4-отпечатков.