https://docs.mitigator.ru/v26.04/tags/tutorial/ Recent content in Tutorial on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/kb/quick-setup/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/quick-setup/ Материалы данной статьи призваны облегчить понимание основных принципов организации защиты при помощи MITIGATOR. Далее приводится пример настройки системы в первой итерации. Одна из особенностей MITIGATOR — порядок обработки трафика. Вначале все пакеты обрабатываются в «Общей защите», затем правила маршрутизации по 5-tuple распределяют трафик по политикам защиты, а после политик трафик возвращается в «Общую защиту» на оставшиеся контрмеры. Обработка обратного трафика от защищаемого ресурса в данной статье не рассматривается. Информация MITIGATOR поддерживает работу с коллекторами Flow. https://docs.mitigator.ru/v26.04/psg/psg-analysis/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/psg/psg-analysis/ В правом верхнем углу находятся иконки для: вызова данной справки. В зависимости от того, в каком разделе находится пользователь открывается соответствующий раздел документации; редактирования профиля пользователя; завершения пользовательской сессии. Сервис позволяет выполнить экспресс-анализ по IP-адресу, для этого требуется вписать значение адреса в поле «Express report by IP address и нажать на иконку с галочкой. После чего откроется страница с отчетом по IP-адресу. Запуск экспресс-анализа доступен с любой страницы интерфейса. Для получения подробных отчетов по спискам адресов нужно запускать полноценный анализ. https://docs.mitigator.ru/v26.04/kb/system-checklist/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/system-checklist/ Список шагов Настроить интеграцию в сеть. Указать лицензионный ключ и задать лимиты. Настроить взаимодействие по BGP. Загрузить в систему справочные базы данных GeoIP. Настроить каналы доставки уведомлений о событиях системы. Настроить рассылку уведомлений через syslog. Включить защиту. (Опционально) Загрузить логотипы и фоновые изображения для различных тем интерфейса. (Опционально) Выбрать тип темы интерфейса и стиль отображения графиков. Подробно 1. Настроить интеграцию в сеть. Настройка производится независимо для каждого экземпляра системы и зависит от организации сетевой инфраструктуры и решаемых задач. https://docs.mitigator.ru/v26.04/kb/policy-checklist/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/policy-checklist/ Список шагов Убедиться, что заданы правила маршрутизации для политики. Настроить в политике отображение только нужных контрмер. Настроить контрмеры. Настроить автоматический захват пакетов. Настроить автодетектирование. (Опционально) Проверить влияние на легитимный трафик через тестовый режим. Включить политику защиты. (Опционально) Настроить анализатор логов. (Опционально) Закрепить графики контрмер. Подробно 1. Убедиться, что заданы правила маршрутизации для политики. На вкладке «Настройка политики» страницы «Политика защиты» убедиться, что для политики заданы правила маршрутизации. 2. Настроить в политике отображение только нужных контрмер. https://docs.mitigator.ru/v26.04/kb/bpf/api/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bpf/api/ Документация API Обзор Программы загружаются в MITIGATOR в виде объектных файлов ELF. Они могут пользоваться функциями API из mitigator_bpf.h (скачать). Политика совместимости распространяется на BPF. Минимальная программа должна помещать метаданные и код в правильные секции объектного файла с помощью макросов: #include "mitigator_bpf.h" ENTRYPOINT enum Result program(Context ctx) { return RESULT_PASS; } PROGRAM_DISPLAY_ID("Example v0.1") Как правило, программы пишутся на С и компилируются clang (поддержка EBPF добавлена в GCC 10). Пример: clang -c -emit-llvm -fno-stack-protector -O2 program. https://docs.mitigator.ru/v26.04/kb/bpf/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bpf/ Когда не хватает готовых контрмер, MITIGATOR позволяет добавить свои с помощью контрмеры «Программируемый фильтр» (BPF). Написание программ требует небольшой квалификации, но позволяет оперативно решить сложные задачи: Защита для приложений и протоколов, которые еще не поддержаны. Если известно, как работает приложение, как защитить его трафик, не требуется обращаться к разработчикам и ждать очередной версии. Более сложные фильтры, чем позволяют контрмеры ACL и REX. Например, можно анализировать опции TCP и IP, любые соотношения параметров пакетов, заголовки и содержимое одновременно и как угодно.