https://docs.mitigator.ru/v26.04/integrate/ Recent content in Интеграция on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/integrate/fail2ban/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/fail2ban/ Описана настройка следующей схемы защиты web-сервера: Nginx модулем ngx_http_limit_req выявляет превышение лимита запросов; fail2ban анализирует error.log, куда Nginx пишет о превышениях; IP добавляется в список заблокированных через MITIGATOR API. Клиент MITIGATOR API Имеется скрипт mitigator.py (скачать) для управления MITIGATOR, в частности, для временной блокировки IP-адреса через MITIGATOR API. При необходимости скрипт можно доработать самостоятельно для совершения любых других действий на MITIGATOR. Скрипт использует только стандартные модули, работает с Python 2.7+ и Python 3. https://docs.mitigator.ru/v26.04/integrate/log2ban/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/log2ban/ Описана настройка следующей схемы защиты web-сервера: log2ban анализирует access.log, куда Nginx пишет о запросах; IP добавляется в список заблокированных через MITIGATOR API. Клиент MITIGATOR API Имеется скрипт mitigator.py (скачать) для управления MITIGATOR, в частности, для временной блокировки IP-адреса через MITIGATOR API. При необходимости скрипт можно доработать самостоятельно для совершения любых других действий на MITIGATOR. Скрипт использует только стандартные модули, работает с Python 2.7+ и Python 3. Для запуска скрипта нужна учетная запись MITIGATOR и ID политики защиты (например, 42 в URL . https://docs.mitigator.ru/v26.04/integrate/mcr/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/mcr/ Совет Здесь описан протокол MITIGATOR Challenge Response (MCR) для разработчиков внешних систем. Контрмера MCR описана во встроенной справке. MITIGATOR Challenge Response (MCR) — протокол для аутентификации IP на MITIGATOR. Протокол может быть реализован как защищаемым приложением, так и отдельно, например, игровой лаунчер проходит проверку, а пропускается трафик игр. Программа, которая реализует протокол и проходит проверку, называется клиентом (в примере выше клиент — лаунчер). MCR существует в вариантах для TCP и UDP. https://docs.mitigator.ru/v26.04/integrate/snmp/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/snmp/ Агент SNMP включен на экземпляре MITIGATOR по умолчанию на порту 1161, однако никакие community не объявлены. Метрики всех экземпляров MITIGATOR доступны только через экземпляр-лидер. Под OID 1.3.6.1.4.1.88778 находятся: метрики портов MITIGATOR (ext*, int*) метрики работы MITIGATOR (производительность, метрики защиты) стандартные метрики Wireguard-интерфейса wg0 контейнера сервиса gateway Список доступных OID и MIB-файл. Получение доступа к статистике Создать дополнительный конфигурационный файл для SNMP в рабочей директории /srv/mitigator: echo "rocommunity $(tr -dc A-Za-z0-9 </dev/urandom | head -c 10)" | tee snmp. https://docs.mitigator.ru/v26.04/integrate/log-analyzer/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/log-analyzer/ Информация Функциональность анализа логов лицензируется отдельно. Logan это функциональность MITIGATOR для анализа логов защищаемого Web-сервера (HTTP, HTTPS), выявления аномалий и атакующих адресов. Защищаемые сервера отправляют свои логи на Logan, используя syslog RFC 3164 (UDP, TCP). Logan может располагаться на том же сервере, что и остальной MITIGATOR, или отдельно. Logan на экземпляре MITIGATOR Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из способов. https://docs.mitigator.ru/v26.04/integrate/syslogng/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/syslogng/ Настроив syslog-ng, а также трансляцию syslog на стороне MITIGATOR, можно выполнять произвольные скрипты: скрипты блокировки, переключения защиты, переключение маршрутов BGP и так далее. Формат записи syslog. Настройка syslog-ng Конфигурация записывается в /etc/syslog-ng/conf.d/mitigator.conf. Параметры приема сообщений (протокол, порт) должны соответствовать настройкам в web-интерфейсе MITIGATOR. Опция expect-hostname необходима, так как имя хоста указывается в сообщениях. source s_udp { syslog(transport("udp") flags(expect-hostname)); }; Все сообщения MITIGATOR имеют одинаковое имя программы, по которому можно их отфильтровать: https://docs.mitigator.ru/v26.04/integrate/syncookie/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/syncookie/ MITIGATOR имеет режим защиты TCP с синхронизацией ISN, в котором после проверки клиента соединение не разрывается, фильтрация получается прозрачной и удобной. Для этого нужно установить на защищаемый сервер модуль ядра, который будет выдавать нужную информацию, и агент синхронизации, который будет опрашиваться системой MITIGATOR. Режим работы с синхронизацией ISN поддерживается в контрмерах TCP, MINE, ATLS, DNS и BPF. Системные требования MITIGATOR v23.08.0 и выше. На защищаемом сервере: Linux с ядром 4.13 и выше. https://docs.mitigator.ru/v26.04/integrate/fastnetmon/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/fastnetmon/ Описана следующая схема защиты: FastNetMon анализирует трафик, выявляет атаки и вызывает скрипт при началах и окончаниях атак. Скрипт анализирует отчет FastNetMon и переключает состояние защиты на MITIGATOR в зависимости от характеристик атаки. Обзор FastNetMon FastNetMon выявляет начало, окончание и характеристики атаки, анализируя трафик, который может сниматься с сетевых интерфейсов или поступать от агрегаторов (NetFlow, sFlow). FastNetMon не выявляет источник атаки (IP-адреса отправителей или признаки пакетов), но можно определить, какие ресурсы требуется защищать от каких видов атак. https://docs.mitigator.ru/v26.04/integrate/vestochka/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/vestochka/ БИФИТ Весточка ― бесплатное мобильное приложение для агрегации push-сообщений. Система MITIGATOR может использовать «Весточку» для доставки уведомлений. Сервисный доступ к «Весточке» для отправки сообщений предоставляется при наличии активной услуги технический поддержки MITIGATOR. «Весточка» полезна: Администраторам системы для уведомлений на мобильный телефон. При организации сервиса на базе MITIGATOR: можно предоставить клиентам удобный канал оперативных уведомлений без настройки SMS-шлюза (требуется интернет). Настройка Интеграция с «Весточкой» включается на странице общих настроек (Система ⟶ Настройка системы) в модуле «Рассылка сообщений через сервис «Весточка». https://docs.mitigator.ru/v26.04/integrate/web-challenger/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/web-challenger/ Web Challenger (WebC) — это docker-контейнер, содержащий NGINX и модуль обработки запросов HTTP/HTTPS, работающий в паре с контрмерой HCA в MITIGATOR. Возможности Контрмера HCA перенаправляет HTTP/HTTPS-запросы с неаутентифицированных IP-адресов на WebC (проверяющий сервер), где выполняется проверка отправителя. Если проверка прошла успешно, IP-адрес отправителя добавляется в таблицу аутентифицированных контрмеры HCA. Также HCA может работать со сторонними устройствами L7-защиты. Несколько обработчиков пакетов при работе в кластере могут работать с одним WebC. Несколько WebC могут работать с одним обработчиком пакетов. https://docs.mitigator.ru/v26.04/integrate/prometheus/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/prometheus/ Метрики в MITIGATOR хранятся в Graphite. Есть возможность экспортировать метрики в Prometheus через graphite_exporter. Для организации отправки необходимо развернуть и настроить graphite_exporter (основной файл конфигурации и файл конфигурации соответствия метрик), настроить отправку метрик на graphite_exporter. Краткая последовательность действий: Написание конфигурации соответствия метрик под конкретные нужды. Развертывание graphite_exporter с этой конфигурацией. Настройка отправки данных в системе MITIGATOR. Конфигурация соответствия метрик graphite_exporter Список метрик с кратким описанием доступен по ссылке. Информация Не гарантируется, что имена метрик не будут меняться между версиями.