changelog

Версия v25.12

В версии v25.12 добавлено: комментирование изменений настроек, изменение порядка контрмер политики, новая контрмера RECK, DNAT в Общую защиту IPv4, множество улучшение в механизм автодетектирвоания.

Расширена функциональность контрмер RETR, RETR6, ATLS, DTLS, DNS, SLOW, BPF, SIP, HCA, USF, а также PCAP, механизма синхронизации, взаимодействия по BGP и TACACS+.

Внесены множественные улучшения в UX.

Изменения версии v25.12

EventLog. Добавлено комментирование изменений настроек.

Для повышения прозрачности вносимых в настройки защиты изменений во время эксплуатации, а также для удобства фиксации как самих изменений, так и мотивации к ним, или другой дополнительной информации по проводимым работам, добавлена «Сессия редактирования».

Сессия редактирования – это режим, при запуске которого все изменения настроек, которые пользователь совершил во время сессии, привязываются к идентификатору сессии и сопровождаются комментарием. В Журнале событий для всех изменений, совершенных во время сессии редактирования, отображаются ID этой сессии.

В журнал событий добавлена новая вкладка, на которой отображаются все завершенные сессии. Из каждой завершенной сессии можно перейти к событиям этой сессии.

При нажатии кнопки «Начать сессию» в верхней панели на любой странице Web-интерфейса открывается окно для ввода комментария и кнопка для запуска. Комментарий можно дополнять в любое время, пока активна сессия редактирования.

В профиль пользователя добавлен новый параметр «Использование сессии редактирования». Значением этого параметра определяется, каким образом пользователю позволено вносить изменения в настройки:

  • Не используется – пользователь может вносить изменения в настройки без запуска сессии редактирования, как это было до версии MITIGATOR v25.12. Элементы управления сессией редактирования не отображаются;
  • По желанию – пользователь может запускать сессию редактирования и логировать изменения, но система позволяет ему вносить изменения и без запуска сессии редактирования;
  • Обязательно – чтобы внести любые изменения в настройки пользователь обязан запустить сессию редактирования.

По умолчанию задано значение «Не используется».

EventLog. Добавлено журналирование значений в событиях ручного изменения таблиц контрмер.

Теперь в журнале событий в поле «Подробности» фиксируются измененные значения при ручном редактировании таблиц контрмер.

Policy. Добавлена возможность изменять порядок контрмер политики.

Теперь на вкладке «Настройка» страницы политики защиты в карточке «Порядок применения контрмер» можно изменить порядок контрмер политики.

Расположение некоторых элементов изменить нельзя.

Новые политики защиты создаются со стандартным расположением контрмер. При копировании политики защиты копируется и расположение контрмер.

В любой момент расположение контрмер в политике можно сбросить к стандартному.

Важно: Возможность изменять порядок контрмер позволяет адаптировать политику защиты под изощренные пользовательские сценарии, но сопряжена с рисками. При добавлении в MITIGATOR новой контрмеры ее положение в цепочке обработки определяется, в том числе, сложностью логики работы, а следовательно потреблением ресурсов системы. В стандартной конфигурации при обработке атакующего трафика сначала применяются простые контрмеры, снижающие объем трафика для обработки последующими контрмерами, а сложные применяются только к оставшемуся трафику. В случае перемещения сложных контрмер в начало списка, они будут принимать на себя весь атакующий трафик, что может сказаться на производительности системы.

Detect. Добавлены пороги по относительному изменению за такт.

В дополнение к <element>.Xxx.Diff. порогам, которые срабатывали при абсолютном изменении отслеживаемой метрики, добавлены <element>.Xxx.Ratio.* пороги на относительное изменение метрики за такт, то есть на отношение метрики в текущем и предыдущем такте.

Подробнее во встроенной документации по автодетектированию.

Detect. Добавлены пороги по относительному и абсолютному изменению метрики для анонсирования по BGP по данным из Flow.

Для возможности делать BGP-анонсы при резком изменении трафика добавлены .Diff. и .Ratio. пороги по входящему и сброшенному трафику.

Основа имени Описание
BGP.<announce_type>.Flow.Input{Pps,Bps}.{Diff,Ratio}* по входящему трафику
BGP.<announce_type>.Flow.Drop{Pps,Bps}.{Diff,Ratio}* по всему сброшенному трафику
BGP.<announce_type>.Flow.Drop.Other{Pps,Bps}.{Diff,Ratio}* по трафику, сброшенному не на MITIGATOR
Detect. Добавлены пороги по относительному изменению для активации и статусов политики.

Добавлены пороги:

Основа имени Описание
Policy.Input{Pps,Bps}.Ratio.* управление состоянием политики и уведомлениями о превышении уровня входящего трафика
Policy.Drop{Pps,Bps}.Ratio.* управление уведомлениями о превышении уровня сбрасываемого трафика
Policy.Flow.Input{Pps,Bps}.Ratio.* управление уведомлениями о превышении уровня входящего трафика по данным Collector
Policy.Flow.Drop{Pps,Bps}.Ratio.* управление уведомлениями о превышении уровня сбрасываемого трафика по данным Collector
Policy.Status.Input{Pps,Bps}.Ratio.* управление индикацией превышения уровня входящего трафика
Policy.Status.Drop{Pps,Bps}.Ratio.* управление индикацией превышения уровня сбрасываемого трафика
Policy.Status.Flow.Input{Pps,Bps}.Ratio.* управление индикацией превышения уровня входящего трафика по данным Collector
Policy.Status.Flow.Drop{Pps,Bps}.Ratio.* управление индикацией превышения уровня сбрасываемого трафика по данным Collector
Detect. Добавлены пороги по количеству IP-адресов в TBL.

Для всех контрмер, политики и BGP-анонсов добавлены двусторонние пороги по количеству IP-адресов, находящихся в TBL: <element>.TBL.IPs.On и <element>.TBL.IPs.Off.

Также доступны аналогичные пороги <element>.TBL.IPs.Diff по изменению количества IP-адресов, находящихся в TBL. В частности, если задать <element>.TBL.IPs.On, но не задавать <element>.TBL.IPs.Off, получится порог, который удерживает контрмеру включенной, пока в TBL содержится заданное количество IP-адресов.

Detect. Добавлены пороги для регистрации инцидентов по входу в обработчик и данным Collector.

Теперь фиксация инцидентов запускается по порогам:

  • Incidents.Input{Pps,Bps} по суммарному входящему трафику;
  • Incidents.Drop{Pps,Bps} по суммарному сброшенному трафику;
  • Incidents.Flow.Input{Pps,Bps} по суммарному входящему трафику по данным коллектора;
  • Incidents.Flow.Drop{Pps,Bps} по суммарному сброшенному трафику по данным коллектора.

Также доступны пороги по абсолютному и относительному изменению скоростей .Diff. и .Ratio..

Подробнее во встроенной документации по автодетектированию.

Detect. Добавлены пороги по входящему трафику за вычетом пропущенного WL.

Добавлены пороги по входящему и пропущенному трафику за вычетом отправленного на выход контрмерой WL:

  • <element>.Protected.Input{Pps,Bps}.{On,Off} — по входящему трафику;
  • <element>.Protected.Pass{Pps,Bps}.{On,Off} — по пропущенному трафику;
  • <element>.Protected.Input{Pps,Bps}.{Diff,Ratio}* — по изменению входящего трафика;
  • <element>.Protected.Pass{Pps,Bps}.{Diff,Ratio}* — по изменению пропущенного трафика.
Detect. Добавлен механизм удержания контрмеры включенной при частом переключении.

Если контрмера <element> в течение <element>.Latch.ObservationTicks тактов переключается более <element>.Latch.SwitchLimit раз, то она включается и удерживается включенной в течение <element>.Latch.HoldTicks тактов.

Подробнее во встроенной документации по автодетектированию.

RECK. Добавлена новая контрмера RECK в Общую защиту.

В Общую защиту IPv4 добавлена контрмера RECK «Проверка повторением». Контрмера позволяет защищаться от Flood атак, без процедуры challenge-response.

По настройкам и способу обработки трафика похожа на RETR.

DNAT. Добавлена функция DNAT в Общую защиту IPv4.
ATLS. Добавлена пересборка сегментированных «ClientHello».

Добавлена опция, при активации которой контрмера собирает ClientHello из сегментов и обрабатывает. Сбор TLS-отпечатков также учитывает собранные ClientHello.

Если пересборка активирована, то она выполняется даже для ClientHello от уже аутентифицированного клиента.

SLOW. Добавлено независимое включение тестового режима.

Теперь тестовый режим для SLOW можно включать независимо от LCON.

BPF. Добавлена поддержка функции «Мониторинг соединений».
TACACS+. Добавлена возможность работы с несколькими серверами TACACS+.

При добавлении нескольких серверов сверка атрибутов учетной записи производится с первым в очереди сервером. Если он недоступен – со следующим по списку, и так далее.

Groups. Увеличены максимальные лимиты для ограничений в группах.

Теперь в группе можно ограничить:

  • максимальное количество политик до 2000;
  • максимальное количество правил маршрутизации до 5000;
  • максимальное количество именованных списков IP-адресов, TLS-отпечатков и наборов правил до 1000.
Routing Rules. Добавлена возможность указывать в правилах маршрутизации ICMP6.

В поле «Протокол» для правил маршрутизации на политики защиты IPv6 теперь можно указывать алиас ICMP6.

Routing Rules. Добавлена фильтрация на страницу списка правил.

Теперь на странице списка правил маршрутизации доступна фильтрация по множеству критериев:

  • протокол,
  • префикс отправителя,
  • порт отправителя,
  • префикс получателя,
  • порт получателя,
  • название группы,
  • название политики защиты,
  • признак активности правила (включено/отключено),
  • название именованного списка IP-адресов.

Фильтровать можно по одному иои нескольким полям одновременно, по вхождению или полному соответствию вводимой строке.

Функциональность определения политики защиты по содержимому пакета сохранена, и вынесена на соседнюю вкладку.

Routing Rules. Добавлен переход к правилу по его номеру.

Теперь можно перейти к требуемому правилу, введя в поле его номер и нажав клавишу Enter.

BGP. Добавлены системные списки префиксов .aggregated. и .protected. для IPv6.
Sync. Дополнен список контрмер, поддерживаемых механизмом синхронизации таблиц.

Теперь между экземплярами могут синхронизироваться данные таблиц в контрмерах:

  • RETR «Аутентификация повторением»,
  • RETR6 «Аутентификация повторением»,
  • DTLS «Защита DTLS»,
  • DNS «Защита от DNS flood атак»,
  • SIP «Защита от атак на протокол SIP»,
  • USF «Фильтр неизвестных сессий»,
  • HCA «Challenge-response аутентификация для HTTPS».
Sync. Добавлено указание на источник блокировки при синхронизации TBL.

Ранее при включенной синхронизации таблиц на экземплярах, на которые запись в таблицу TBL добавлялась механизмом синхронизации, в источнике добавления отображалось sync. Теперь для всех экземпляров отображается краткое название контрмеры, которая изначально занесла IP-адрес в блокировку, а признак синхронизации стал булевым.

Пример:

instance_id,instance_name,ip,ttl,source,from_sync,policy_id,policy_name,country,city,as_number,as_name
1,Mitigator0,1.1.1.1,300,ATLS,false,1,Default,"Finland","Tampere",39699,"Lounea Palvelut Oy"
Overview. Добавлены экспорт и импорт пресетов виджетов для страницы Обзор.

Теперь на странице «Обзор» можно скопировать набор и расположение виджетов в буфер обмена, а также добавить пресет из буфера. Это позволяет делиться конфигурацией дашборда с другими пользователями.

Overview. Добавлена настройка отображения виджетов секции.

Теперь на странице «Обзор» можно настроить вид отображения виджетов – количество столбцов в строке и высоту столбцов, как в Анализе Flow.

Анализ Flow. Добавлен виджет топа для вывода количества IP-адресов отправителей и получателей по каждому коллектору.

User. Добавлена поддержка отправки уведомлений в темы Telegram-чата.

В поле Telegram ID на странице профиля пользователя теперь можно указать идентификатор чата в формате 987654321/12345, что позволяет отправлять уведомления о событиях системы, отчеты по инцидентам и файлы с результатом захвата пакетов, выполненного вручную в конкретную тему Telegram-чата.

PCAP. Добавлена поддержка отправки файла автозахвата в темы Telegram-чата.
Reports. Добавлена поддержка отправки регулярных отчетов в темы Telegram-чата.
UX. Добавлена анимация обновления графиков.