Обновление 3 для веб-интерфейса Spider

Данное обновление является "мажорным": вносит глобальные изменения в систему управления, добавляет множество новых уникальных функций и механизмов, открывает новые подходы к защите разных сетевых инфраструктур.

Реализован уникальный механизм компонентов

С версии 3 "компоненты" являются одним из самых больших преимуществ системы управления DosGate.

Стандарт рынка подразумевает что сетевая инфраструктура разделяется на разные объекты защиты, каждый объект защиты несет настроенный администратором набор контрмер или правил, а также набор IP-масок получателя (в некоторых случаях и портов получателя) по которым определяется какой набор правил должен быть применен к сетевому пакету.

В больших или даже среднего размера сетях, объектов защиты может быть 100+, как минимум - 10. Раньше, в случае если администратору требовалось обновить какой-то набор правил в 50 из 100 объектах защиты (или профилях защиты), он должен был использовать API, писать собственные скрипты автоматизации, или делать это полностью вручную. Введение массовых изменений на систему защиты могло занимать десятки часов рабочего времени. Администратор мог применить набор правил на все объекты защиты сразу (верхний слой защиты), или был вынужден модернизировать их по одиночке (нижний слой защиты, объекты защиты). При этом проблемы возникаемые при массовом изменении половины или только выбранных профилей защиты никем не была решена как зарубежом, так и Российскими вендорами. Сегодня - решение этой проблемы появилось в DosGate.

Обновление 3 превращает все пресеты-контрмеры и пресеты-профили в действующие компоненты. Изменяя сам компонент - он в автоматическом или полу-автоматическом режиме (с подтверждением администратора) применяется в тех местах где он размещен.

Таким образом, например, создав 2 разных пресета-контрмеры ACL, вы можете разместить в 1-50 профилях 1ую вариацию, в 51-100 профилях 2ую вариацию, и обновлять выбранный пресета-контрмеру из единого места, а новые версии будут сами публиковаться в профили где компоненты расположены. Вам больше не придется редактировать профили защиты при изменении наборов правил, почти всё управление системой при желании можно построить через систему компонентов. По нашим подсчетам новый механизм позволит ускорить работу инженера более чем в 5 раз, в зависимости от объема системы.

При этом система всегда позволяет отключить авто-обновления выбранных компонентов или даже полностью разорвать с связь правил и компонента. Реализована совместимость со всеми функциями системы, включая историю версий. За системой компонентов стоит мощный сервис синхронизации и валидации на который было потрачено более 300 часов инженерной команды.

Система компонентов полностью интегрирована с базой вредоносных сигнатур, таким образом компоненты могут не только контролироваться администратором платформы, но и обновляться нашими системами аналитики.

Реализована интегрированная база вредоносных сигнатур

Раньше база вредоносных сигнатур была основана на файлах и их синхронизации. С версии 3 база вредоносных сигнатур является отдельным набором пресетов-контрмер и пресетов-профилей, а также глобальных префикс-сетов которые вы получаете посредством API напрямую в веб-интерфейс.

Передаваемый набор сигнатур уникален для каждого клиента, это также позволяет нам реализовать новый гибкий вариант обращений в техническую поддержку. Теперь запросив реализацию того или иного набора правил или помощи в защите от конкретной атаки - мы можем не присылать вам инструкцию (если только вы не попросите), а сразу направить набор правил в ваш веб-интерфейс в виде пресета-контрмеры или пресета-профиля, он сразу будет готов к применению за несколько кликов.

База вредоносных сигнатур содержащая не только IP-маски, но и целые готовые пресеты-контрмеры и пресеты-профили позволяет нам также говорить что с обновления 3 DosGate может работать в режиме "plug & play" (защита требуемая минимальных дополнительных настроек). Администратор платформы может сразу взять готовое обновляемое автоматически решение с набором вредоносных сигнатур и применить его к выбранному сетевому сегменту или сервисам.

Добавлена поддержка чейнов в пресетах

Теперь, при создании пресета-профиля, вы можете также указывать или получать с нашей базы вредоносных сигнатур содержимое "чейнов". Это сильно упрощает формирование больших наборов правил, позволяет нам разделять правила фильтрации для разного типа трафика. Например, можно применять разные правила фильтрации для разных протоколов, регионов, стран, портов, или просто разного типа трафика (размечая его по любой характеристике сетевого пакета и его отправителя).

Добавлена возможность отключения анимаций

В случае если вы используете веб-интерфейс через RDP (например, из-за политик безопасности), мы понимаем что анимации могут выглядеть не такими плавными и только мешать. Поэтому мы реализовали полноценный механизм отключения всех анимаций внутри системы.

Управление аппаратным байпасом перенесено в веб-интерфейс

Если вы используете ПАК DosGate вместе с сетевыми картами с аппаратным байпасом (hw bypass), например производителя Silicom, с обновления 3.9.7 вы сможете управлять всеми ее настройками напрямую в веб-интерфейсе. В веб-интерфейсе можно переключать поведение сетевой карты: когда bypass должен включиться, а когда выключиться. А также вручную контролировать состояние сетевой карты.

Десятки ключевых функций интерфейса переведены на WebSocket

Перевод на ws это наш первый шаг в сторону уникального режима "мультиплеера" который мы планируем выпустить в следующем "мажорном" обновлении. С версии 3 когда пользователь обновляет профиль, создает правило, применяет его, или даже обновляет компонент - всё это видно не только на резервных интерфейсах (active+active), но и у других пользователей в реальном времени.

С системой стало намного проще работать если ей управляют сразу несколько инженеров, ваши действия теперь полностью синхронизируются и вы видите изменения друг друга в реальном времени.

За счет перевода на ws мы также смогли сильно ускорить общую выгрузку профилей и префикс-сетов на больших высоконагруженных системах (300+ профилей, 20+ очистителей). Теперь она занимает не более минуты (+ задержка, если ЦО разбит географически) и сохраняется в локальный кэш пока список профилей не изменится, после первой загрузки список профилей отдается пользователю моментально до обнаружения изменений.

Обновлены графики

Старые графики были красивыми, но очень неудобными. Они размещались на черном фоне и "резали глаза", расположение легенды мешало смотреть последнюю точку, неудобно работал ховер, изменение временного диапазона указывалось индивидуально для каждого графика и отсутствовала возможность выделения периодов на самом графике.

В версии 3 мы полностью переработали графики. Мы обновили их дизайн, изменили легенду на более удобную, добавили возможность сделать скриншот выбранного графика по нажатию на виджет, добавили удобный массовый выбор временного диапазона.

Другие QoL-изменения

  • Ускорена работа с метками (быстрыми таблицами данных), теперь из веб-интерфейса можно запрашивать более 100 000 записей одновременно.
  • Исправлен баг с драг-дропом правил в пресетах.
  • Исправлено отображение dirty-чейнов.
  • Проведена оптимизация HTTP запросов, исключены повторные и ускорены текущие.
  • Исправлены состояния загрузки в чейнах и префикс-сетах.
  • У sport/dport-совпадений убрано ограничение по использованию 0го порта.
  • Исправлен баг с позиционированием окна создания чейнов (Safari).
  • Доработан поиск dirty-чейнов для отображения статуса и общего кол-ва неприменённых правил.
  • Добавлено состояние "занятого" профиля, чтобы отображать процесс обновления на клиенте и избежать коллизии.
  • Добавлена возможность выбрать срок хранения логов.
  • Добавлена возможность отключения автоматической синхронизации нод.
  • Множество мелких исправлений и существенного ускорения для старого кода.

Инструкция по обновлению

Для обновления веб-интерфейса на версию 3, пожалуйста следуйте инструкции.