MITIGATOR v20.12. Обзор изменений.
Доступна для установки v20.12.2
В версию добавлена кластеризация экземпляров MITIGATOR, создание динамических сигнатур трафика, реализованы первые этапы изменения алгоритма работы защиты TCP при асимметрии.
Multi. Добавлена совместная работа нескольких экземпляров MITIGATOR
Экземпляры MITIGATOR, объединенные в один кластер, управляются через единый интерфейс и имеют одинаковые настройки контрмер, политик защиты и правил маршрутизации. Количество экземпляров в кластере лицензируется отдельной лицензией.
Подробней про MIGIATOR в режиме кластера и организацию отказоустойчивости PostgreSQL
Softstart. Добавлена возможность активации глобального режима “мягкий старт”.
Новый глобальный выключатель позволяет разом перевести все активные контрмеры в режим “мягкого старта”. Подобная необходимость возникает, например, когда на MITIGATOR возвращается трафик после обновления или каких-то работ с инстансом.
Режим “мягкого старта” позволяет сохранить сессии, которые были установлены в момент неактивности контрмеры.
RTS. Добавлена контрмера «Сигнатуры реального времени»
Новая экспериментальная контрмера RTS позволяет автоматически выделять сигнатуры во входящем или пропущенном трафике и применять сигнатуры для фильтрации. Созданные сигнатуры преобразуются в набор правил для L3-L4 заголовков и регулярных выражений для L4 payload.
RTS можно использовать для формирования сигнатуры как легитимного трафика, так и трафика атаки.
RTS поддерживает работу в режиме автодетектирования. При выявлении аномалии запускается процесс формирования сигнатуры и правил фильтрации. Нужно с осторожностью использовать автоматический режим на критических сервисах, т.к. контрмера находится в статусе экспериментальной и алгоритмы работы будут в дальнейшем улучшаться.
TCP. Добавлен механизм HPA (Host Protection Activator)
HPA позволяет применять механизмы защиты только для адресов для которых замечена аномалия. HPA актуален для политик защиты, в которые направляется трафик множества сервисов.
Например, в политику защиты попадает трафик подсети Х.Х.Х.Х/24, но атака идет на Х.Х.Х.100/32. В обычном режиме контрмера начнет фильтровать трафик всей сети, что может негативно отразиться на сервисах не под атакой. При активации HPA будет фильтроваться только трафик Х.Х.Х.100/32.
Другой пример. В политику попадает трафик определенного сервиса со всей сети, например, tcp dport 80. Атака на один из web-серверов активирует защиту для всех, что нежелательно. Использование HPA позволяет избежать подобных ситуаций.
В TCP HPA активация сделана по превышению порога количества пакетов с определенным флагом за указанный интервал.
TCP. Добавлен механизм защиты с синхронизацией ISN
Одним из концептуальных недостатков активной защиты протокола TCP в асимметричной схеме внедрения является необходимость клиентскому хосту переустановить TCP-соединение после успешного прохождения проверки. Некоторые клиентские приложения не готовы к такому поведению защиты и негативно реагируют, портя пользовательский опыт для защищаемого сервиса. Как один из вариантов частичного решения этой проблемы — синхронизация ISN (Initial Sequence Number) между системой защиты и защищаемым сервером.
В контрмеру TCP добавлен режим защиты c синхронизацией ISN. Механизм защиты работает c серверами под управлением ОС Linux c ядром 4.13 и выше. В этой версии параметры задаются через backend API. В дальнейшем работа с механизмом защиты будет упрощена. Инструкция по настройке сервера на https://docs.mitigator.ru/
TCP. Добавлен лимитер по SYN-ACK пакетам
В некоторых сценариях использования защита от SYN-ACK reflection attack неэффективна. Для сохранения работоспособности основного сервиса можно использовать лимитирование прошедших пакетов с флагами SYN-ACK.
SCAN. Добавлена защита от сканирования
В крупных корпоративных сетях наблюдается ситуация, когда при агрессивном сканировании всего публичного адресного пространства на stateful FW происходит деградация производительности и потери легитимного трафика.
Контрмера SCAN позволяет защититься от агрессивного горизонтального и вертикального сканирования. Адрес нарушителя может ограничиваться на создание новых соединений или отправляться в TBL.
Для исключения из блокировки систем внешнего мониторинга в контрмере предусмотрен локальный белый список.
SPLI. Добавлена поддержка мягкого старта.
Теперь активация защиты TCP при симметричной схеме внедрения может происходить без сброса сессии.
SPLI. Добавлен режим проверки по первой сессии.
Контрмера перехватывает только первую сессию, чтобы аутентифицировать адрес, последующие сессии устанавливаются напрямую с сервером. Данный режим позволяет уменьшить влияние контрмеры на легитимный трафик и проводить отключение контрмеры без разрыва установленных соединений.
SPLI. Добавлено включение по автодетектированию.
С учетом возможностей мягкого старта и проверки по первой сессии стало доступно автоматическое включение и выключение контрмеры без влияния на легитимный трафик.
ACL. Добавлено действие BLOCK
Иногда можно выявить адреса ботов по характерным признакам в L3-L4 заголовках. Пакеты, попавшие под условия BLOCK, будут сброшены, а их адреса источников будут занесены в TBL.
ACL. Добавлено указание действий COUNT и BLOCK без условий.
Если указать COUNT или BLOCK без условий, то действие будет применено для всех пакетов, дошедших до этого правила.
ACL. Добавлена поддержка указания доменных имен в правилах.
Иногда возникает необходимость разрешить или запретить прохождение трафика с определенного сервиса, но сервис со временем может поменять свой IP-адрес. Для автоматического поддержания списка правил в актуальном состоянии добавлена возможность работы с доменными именами.
Контрмера позволяет задавать IP-адреса через указание доменного имени, при этом в список добавляются все IP-адреса, соответствующие доменному имени. Период обновления значений задается в настройках системы.
WL. Добавлена поддержка указания доменных имен в списке.
BL. Добавлена поддержка указания доменных имен в списке.
GAME. Добавлена защита для игры GTA ALT:V.
sFlow. Добавлена возможность отправки sFlow.
В некоторых вариантах внедрения возникает ситуация, когда нет возможности получить телеметрию по *flow c сетевого оборудования, стоящего перед MITIGATOR, но при этом есть желание анализировать сетевой трафик в различных срезах, которые недоступны в интерфейсе MITIGATOR.
Теперь можно настроить митигатор для отправки во внутреннюю сеть телеметрии трафика по протоколу sFlow. Параметры отправки указывается отдельно в настройках каждого инстанса.
RETR. Добавлена поддержка нескольких REX в правиле
В рамках одного набора ACL-параметров можно использовать несколько выражений REX для перечисления вариантов содержимого пакета .
FRB. Добавлена поддержка нескольких REX в правиле.
BPF. Добавлена поддержка комментариев в параметрах
Формат параметров к программам для BPF может быть достаточно сложным. Теперь можно оставить себе напоминание.
DLIM. Добавлена возможность удаления префикса.
VAL. Добавлен дополнительный набор критериев безусловного сброса пакетов
VAL. Доступны через API детализированные счетчики причин сбросов
Detect. Добавлены предикаты по счетчикам COUNT в ACL и REX.
Для любой контрмеры можно задать пороги детектирования *.ACLCount.{Pps, Bps}.{On, Off, Diff} и *.REXCount.{Pps, Bps}.{On, Off, Diff} для управления включением.
Используя действие COUNT в ACL и REX, можно описать целевой трафик, по появлению которого должны активироваться контрмеры.
Notifications. Добавлена возможность доставки уведомлений в Telegram
Теперь пользователь наравне с email и Весточка может получать уведомления в Telegram. Подробности по настройке описаны во встроенной документации.
EventLog. Добавлено сохранение в журнал событий информации о сработавшем предикате.
EventLog. Изменен журнал событий на странице мониторинга у группового пользователя.
PCAP. Добавлено скачивание файлов в архиве.
В единый архив добавляются дампы со всех направлений и всех экземпляров MITIGATOR в кластере. Формирование архива упрощает процедуру скачивания и уменьшает размер скачиваемых данных.
PCAP. Добавлено разделение файла захвата на несколько писем.
Если собранный автозахватом дамп трафика превышает допустимый размер вложения, то формируется многотомный архив. Каждый том отправляется отдельным письмом.
UX. Изменена панель выбора интервала графика
Добавлено:
- индикатор автообновления графика
- указание интервала, если выбран из предустановленных
- кнопки навигации по истории выбранных интервалов
- хоткей Alt+Z и Alt+C для навигации по истории выбранных интервалов
UX. Добавлено сохранение временного интервала при переходе из раздела “Топ политик” в выбранную политику.
При изучении графиков в разделе “Топ политик” часто возникает необходимость перейти в конкретную политику за подробностями. Теперь после перехода не нужно повторно выбирать интересующий интервал.
UX. В адресной строке сохраняется выбранный временной интервал.
Данное поведение позволяет делиться ссылкой на политику, сразу указывая, на события в каком интервале нужно обратить внимание.
UX. Добавлена подсветка записей в журнале событий
В политике защиты при наведении курсора на график в журнале событий подсвечиваются записи за указанное время.
UX. Изменено отображение графика добавленных адресов TBL
Теперь график добавления адресов контрмерами показывает количество добавленных адресов за 5 секунд.
UX. Добавлена возможность указание используемого логотипа для каждой темы
API. Добавлен запрос на указание новых порогов автодетектирования без перечисления существующих
API. Добавлено управление уровнем логирования для модулей бекенда
API. Изменена верстка страницы с описанием REST API
Телеграм-канал @mitigator с новостями про MITIGATOR
