https://docs.mitigator.ru/v26.04/tags/deployment/ Recent content in Deployment on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/kb/functionality/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/functionality/ В статье перечислены основные функциональные возможности программного комплекса для защиты от DDoS-атак MITIGATOR. Защита от DDoS-атак MITIGATOR защищает от атак на уровнях от сетевого до прикладного модели OSI (объёмных, на исчерпание сессий и уровня приложений). Создание сервиса Типовая конфигурация MITIGATOR поддерживает возможность создания сервиса по защите от DDoS-атак. Работа на стандартном оборудовании MITIGATOR работает на серверах стандартной конфигурации. Не требуется приобретение специализированной аппаратной платформы, что уменьшает расходы на обслуживание. Гибкость внедрения MITIGATOR устанавливается без перестраивания сети заказчика. https://docs.mitigator.ru/v26.04/kb/deploy/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/deploy/ В MITIGATOR реализована поддержка множества сценариев встраивания в сеть заказчика. Ниже описаны основные термины и способы внедрения в сеть, а также примеры внедрения. Внешняя и внутренняя сети Логически MITIGATOR подключается к двум сетям: Внешняя сеть (external) – сеть, из которой приходит трафик, требующий очистки; Внутренняя сеть (internal) – сеть, в которой расположены защищаемые ресурсы. Трафик из внешней сети – трафик, поступающий в MITIGATOR из внешней сети. Состоит из трафика атаки и легитимного трафика. https://docs.mitigator.ru/v26.04/install/multi/workers/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/workers/ Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Перед настройкой кластера необходимо настроить виртуальную сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. Общие базы данных для всех экземпляров MITIGATOR физически хранятся на сервере одного из них. К базовому экземпляру должны быть разрешены подключения с остальных экземпляров по следующим портам TCP: 8888, 2003, 3080, 5432. https://docs.mitigator.ru/v26.04/install/multi/failover/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/failover/ Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Перед настройкой кластера необходимо настроить виртуальную сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. В целях отказоустойчивости синхронизированные копии БД должны физически храниться на разных серверах (реплицироваться). При данной схеме реплики БД хранятся на тех же серверах, где работают экземпляры MITIGATOR. https://docs.mitigator.ru/v26.04/install/multi/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/ В режиме кластера несколько экземпляров системы MITIGATOR пользуются едиными базами данных и управляются централизованно. За счет добавления дополнительных экземпляров система допускает неограниченное масштабирование. Режим кластера позволяет обрабатывать трафик независимо на каждом экземпляре, но управлять ими из единого интерфейса. При плановом или аварийном отключении любого экземпляра сохраняется возможность управления остальными. Развертывание Между экземплярами настраивается виртуальная сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. https://docs.mitigator.ru/v26.04/install/multi/custom/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/custom/ Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из следующих способов. Перед настройкой кластера необходимо настроить виртуальную сеть (VPN). Для ее работы нужна сетевая связность между экземплярами. Подробные сведения по настройке и необходимым доступам описаны по ссылке. Данная схема внедрения подразумевает физическое хранение общих для всех экземпляров MITIGATOR баз данных на внешнем сервере. Работоспособность и отказоустойчивость всех СУБД обеспечивается силами администратора внешнего сервера под конкретные требования. https://docs.mitigator.ru/v26.04/install/multi/hybrid/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/install/multi/hybrid/ При сборке кластера схемы внедрения могут быть скомбинированы. Пример: Отказоустойчивое хранилище с дополнительными узлами фильтрации При такой схеме внедрения копии БД хранятся на разных серверах (реплицируются), но количество реплик БД меньше, чем количество экземпляров MITIGATOR в кластере. Часть экземпляров обращается к удаленным базам по портам TCP: 8888, 2003, 3080, 5432. В данном примере graphite и LOGAN размещены на отдельных серверах. Для корректной работы системы всем обработчикам пакетов, должно быть доступно одинаковое количество системных ресурсов. https://docs.mitigator.ru/v26.04/kb/graphite/grafana/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/grafana/ MITIGATOR в своей поставке включает Grafana, которую можно использовать для создания кастомизированных дашбордов. Обратитесь к документации Grafana, как именно это делать. Для получения доступа к веб-интерфейсу Grafana необходимо поднять сервис, который отключен по-умолчанию. Временно это можно сделать следующей командой: docker-compose up -d --scale grafana=1 grafana Чтобы включить grafana на постоянной основе, необходимо в docker-compose.yml изменить scale c 0 на 1. services: ... grafana: ... scale: 1 ... После настройки необходимо поднять контейнер Grafana: https://docs.mitigator.ru/v26.04/kb/graphite/grafbase/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/grafbase/ Перенос Graphite на отдельный сервер позволяет разделить нагрузку на два сервера. До переноса архива метрик, в интерфейсе MITIGATOR можно будет наблюдать только новые графики. Дальше по тексту Server1 – сервер с MITIGATOR, Server2 – сервер, на который выполняется перенос. Предполагается, что на Server2 уже установлен Docker и docker-compose и имеется способ доставки файловой базы с Server1 на Server2 (объем данных может составлять более 100 ГБ в зависимости от количества политик). https://docs.mitigator.ru/v26.04/kb/graphite/clickhouse-conf/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/clickhouse-conf/ Конфигурационные параметры ClickHouse делятся на пользовательские и серверные. Узнать про структуру файлов и их расположение можно в официальной документации. При конфигурации модуля хранения метрик в MITIGATOR нужно учитывать следующее: корневой элемент конфигурационных файлов — <yandex> пользовательские файлы конфигураций следует размещать в /etc/clickhouse-server/users.d внутри контейнера clickhouse файлы конфигурации сервера следует размещать в /etc/clickhouse-server/config.d внутри контейнера clickhouse Как сконфигурировать ClickHouse на примере ограничения используемой оперативной памяти сервером до 50Гб: Создать файл custom.xml с необходимыми параметрами https://docs.mitigator.ru/v26.04/kb/graphite/ext-grafana/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/ext-grafana/ Чтобы внешняя Grafana могла получать данные с Graphite нужно пробросить порт 3080 из контейнера, для чего: Cоздать, либо дополнить docker-compose.override.yml следующим: services: gateway: ports: - "13080:3080" Перезапустить MITIGATOR: docker-compose down && docker-compose up -d В Web-интерфейсе Grafana добавить источник данных: Выбрать тип Graphite и указать внешний адрес: Похожие статьи Graphite на отдельном сервере Доступ к интерфейсу Grafana Использование единого Graphite для нескольких кластеров MITIGATOR Настройка времени хранения метрик в Graphite Изменение конфигурационных параметров ClickHouse Экспорт метрик в Prometheus Анализатор логов Web-сервера Внешнее отказоустойчивое хранилище Внутреннее отказоустойчивое хранилище Гибридные схемы внедрения https://docs.mitigator.ru/v26.04/integrate/log-analyzer/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/log-analyzer/ Информация Функциональность анализа логов лицензируется отдельно. Logan это функциональность MITIGATOR для анализа логов защищаемого Web-сервера (HTTP, HTTPS), выявления аномалий и атакующих адресов. Защищаемые сервера отправляют свои логи на Logan, используя syslog RFC 3164 (UDP, TCP). Logan может располагаться на том же сервере, что и остальной MITIGATOR, или отдельно. Logan на экземпляре MITIGATOR Дальнейшие шаги предполагают, что экземпляр MITIGATOR уже установлен. В противном случае предварительно выполните установку одним из способов. https://docs.mitigator.ru/v26.04/integrate/syncookie/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/syncookie/ MITIGATOR имеет режим защиты TCP с синхронизацией ISN, в котором после проверки клиента соединение не разрывается, фильтрация получается прозрачной и удобной. Для этого нужно установить на защищаемый сервер модуль ядра, который будет выдавать нужную информацию, и агент синхронизации, который будет опрашиваться системой MITIGATOR. Режим работы с синхронизацией ISN поддерживается в контрмерах TCP, MINE, ATLS, DNS и BPF. Системные требования MITIGATOR v23.08.0 и выше. На защищаемом сервере: Linux с ядром 4.13 и выше. https://docs.mitigator.ru/v26.04/kb/graphite/onegraphite/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/onegraphite/ Использование единого Graphite для нескольких MITIGATOR позволяет снизить нагрузку на вычислительные ресурсы комплексов обработки трафика, упростить администрирование, настроить сложный мониторинг. Настройка Настройка сходна с переносом Graphite на отдельный сервер. Если имеется хост с настроенным Graphite, необходимо перейти к этапу настройки MITIGATOR для работы с внешним общим Graphite. Создайте директорию под сервисы: mkdir -p /opt/mitigator-graphite Скачайте docker-compose.yml: wget https://docs.mitigator.ru/v26.04/dist/grafbase/docker-compose.yml \ -O /opt/mitigator-graphite/docker-compose.yml Скачайте файл сервиса: wget https://docs.mitigator.ru/v26.04/dist/grafbase/docker-compose@.service \ -O /etc/systemd/system/docker-compose@.service Активируйте службу: https://docs.mitigator.ru/v26.04/integrate/web-challenger/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/integrate/web-challenger/ Web Challenger (WebC) — это docker-контейнер, содержащий NGINX и модуль обработки запросов HTTP/HTTPS, работающий в паре с контрмерой HCA в MITIGATOR. Возможности Контрмера HCA перенаправляет HTTP/HTTPS-запросы с неаутентифицированных IP-адресов на WebC (проверяющий сервер), где выполняется проверка отправителя. Если проверка прошла успешно, IP-адрес отправителя добавляется в таблицу аутентифицированных контрмеры HCA. Также HCA может работать со сторонними устройствами L7-защиты. Несколько обработчиков пакетов при работе в кластере могут работать с одним WebC. Несколько WebC могут работать с одним обработчиком пакетов. https://docs.mitigator.ru/v26.04/kb/graphite/retention/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/retention/ MITIGATOR хранит данные графиков в Graphite-ClickHouse. Свежие данные хранятся с меньшим разрежением, затем прореживаются: Срок Разрежение меньше суток 5 секунд от суток до недели 10 секунд от недели до месяца 1 минута от месяца до 145 дней 5 минут свыше 145 дней 10 минут Времена хранения не суммируются, то есть данные за последний день последней недели хранятся с разрежением 5 секунд, а следующие 6 дней (не 7) хранятся с разрежением 10 секунд.