https://docs.mitigator.ru/v26.04/tags/protection/ Recent content in Protection on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/kb/quick-setup/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/quick-setup/ Материалы данной статьи призваны облегчить понимание основных принципов организации защиты при помощи MITIGATOR. Далее приводится пример настройки системы в первой итерации. Одна из особенностей MITIGATOR — порядок обработки трафика. Вначале все пакеты обрабатываются в «Общей защите», затем правила маршрутизации по 5-tuple распределяют трафик по политикам защиты, а после политик трафик возвращается в «Общую защиту» на оставшиеся контрмеры. Обработка обратного трафика от защищаемого ресурса в данной статье не рассматривается. Информация MITIGATOR поддерживает работу с коллекторами Flow. https://docs.mitigator.ru/v26.04/psg/psg-analysis/ip-lists/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/ip-lists/ IP Analyzer анализирует списки IPv4-адресов, предоставляя расширенный набор данных по каждому адресу списка. В анализ поступают только уникальные IP-адреса. Проверяется: наличие адресов в репутационных списках; соответствие базам GeoIP. Если в списке указан префикс от /16 до /32, то он раскладывается на отдельные адреса. Могут быть проанализированы: Текстовый файл со списком записей через разделитель. Допустимые разделители: запятая, пробел, точка с запятой, перенос строки. Запись может быть IP-адресом, IP-адресом с маской, IP-адресом с портом через двоеточие (порт игнорируется). https://docs.mitigator.ru/v26.04/psg/psg-analysis/rts-tree/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/rts-tree/ ACL Rules Generator анализирует дампы легитимного трафика и трафика атаки и формирует набор правил фильтрации ACL. Анализируются пакеты протоколов IP, TCP, UDP и ICMP. Дампы трафика выбираются из выпадающего списка, для чего они должны быть предварительно загружены на сервис на вкладке Uploads. Опционально можно указать дополнительные дампы, на которых будет проводиться тестирование полученных в ходе анализа правил. Если дополнительные дампы не заданы, то дампы для обучения делятся пропорционально на часть для обучения и часть для теста. https://docs.mitigator.ru/v26.04/kb/system-checklist/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/system-checklist/ Список шагов Настроить интеграцию в сеть. Указать лицензионный ключ и задать лимиты. Настроить взаимодействие по BGP. Загрузить в систему справочные базы данных GeoIP. Настроить каналы доставки уведомлений о событиях системы. Настроить рассылку уведомлений через syslog. Включить защиту. (Опционально) Загрузить логотипы и фоновые изображения для различных тем интерфейса. (Опционально) Выбрать тип темы интерфейса и стиль отображения графиков. Подробно 1. Настроить интеграцию в сеть. Настройка производится независимо для каждого экземпляра системы и зависит от организации сетевой инфраструктуры и решаемых задач. https://docs.mitigator.ru/v26.04/psg/psg-analysis/service/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/service/ Service Analyzer помогает в первоначальной настройке защиты за счет выявления сервисов в защищаемой сети на основе загруженного дампа. На текущий момент любой загруженный дамп воспринимается механизмом как дамп входящего трафика из внешней сети. В поле Five tuple threshold задается количество повторений уникального 5-tuple в дампе. Если число повторений меньше установленного лимита, то такой 5-tuple не попадет в отчет. Для данного механизма можно активировать следующие чекбоксы: Advanced report — для разделов “Used IP addresses in protected network” и “Services in protected network”. https://docs.mitigator.ru/v26.04/kb/policy-checklist/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/policy-checklist/ Список шагов Убедиться, что заданы правила маршрутизации для политики. Настроить в политике отображение только нужных контрмер. Настроить контрмеры. Настроить автоматический захват пакетов. Настроить автодетектирование. (Опционально) Проверить влияние на легитимный трафик через тестовый режим. Включить политику защиты. (Опционально) Настроить анализатор логов. (Опционально) Закрепить графики контрмер. Подробно 1. Убедиться, что заданы правила маршрутизации для политики. На вкладке «Настройка политики» страницы «Политика защиты» убедиться, что для политики заданы правила маршрутизации. 2. Настроить в политике отображение только нужных контрмер. https://docs.mitigator.ru/v26.04/kb/ss-feeds/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/ss-feeds/ Командой MITIGATOR формируются регулярно обновляемые репутационные списки IP-адресов, автономных систем и JA3-отпечатков (далее “фиды”). Фиды могут импортироваться в MITIGATOR в виде именованных списков и применяться в контрмерах и правилах маршрутизации. Для этого в качестве типа источника именованного списка следует указать Mitigator feeds и выбрать необходимый фид. Фиды недоступны для скачивания или просмотра содержимого, даже через Web-интерфейс MITIGATOR. Информация Доступ к фидам предоставляется по токену и дополнительно лицензируется. Для работы с фидами требуется MITIGATOR версии v23.