RU2797264C1 - Method and system for tunnelling traffic in a distributed network to detonate malicious software - Google Patents
Method and system for tunnelling traffic in a distributed network to detonate malicious software Download PDFInfo
- Publication number
- RU2797264C1 RU2797264C1 RU2022114307A RU2022114307A RU2797264C1 RU 2797264 C1 RU2797264 C1 RU 2797264C1 RU 2022114307 A RU2022114307 A RU 2022114307A RU 2022114307 A RU2022114307 A RU 2022114307A RU 2797264 C1 RU2797264 C1 RU 2797264C1
- Authority
- RU
- Russia
- Prior art keywords
- packet
- gateway
- traffic
- central server
- address
- Prior art date
Links
Images
Abstract
Description
ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY
Данное техническое решение относится к области вычислительной техники, а именно к способам и системам туннелирования трафика в распределенной сети для детонации вредоносного программного обеспечения (ВПО).This technical solution relates to the field of computer technology, namely to methods and systems for tunneling traffic in a distributed network to detonate malware.
УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE INVENTION
Данное техническое решение относится к области вычислительной техники, а именно к способам и системам туннелирования трафика в распределенной сети для детонации вредоносного программного обеспечения.This technical solution relates to the field of computer technology, namely to methods and systems for tunneling traffic in a distributed network to detonate malicious software.
Эксперты из области кибербезопасности прогнозируют, что количество и техническая сложность киберпреступлений продолжит возрастать. Злоумышленники быстро адаптируют ВПО для повышения его эффективности и преодоления известным способам борьбы с ВПО. В ответ на техническое развитие ВПО происходит развитие технических средств для противодействия ВПО, таким образом, происходит своеобразная "гонка вооружений". Предлагаемый к патентованию метод является очередной итерацией в упомянутой "гонке вооружений" со стороны, противодействующей злоумышленникам, и позволяет реализовать усовершенствованного вида песочницу.Cybersecurity experts predict that the number and technical complexity of cybercrime will continue to increase. Attackers quickly adapt malware to increase its effectiveness and overcome known methods of combating malware. In response to the technical development of malware, there is a development of technical means to counteract malware, thus, a kind of "arms race" is taking place. The method proposed for patenting is another iteration in the mentioned "arms race" from the side that counteracts intruders, and allows you to implement an improved sandbox.
Уже давно известно об использовании в области кибербезопасности песочниц, то есть специальных изолированных сред для детонации и анализа программного обеспечения и выявления его вредоносности. Подробнее песочницы описаны в статье https://ru.wikipedia.org/wiki/Песочница_(безопасность). В ответ на создание песочниц, злоумышленниками были реализованы более сложные виды ВПО. Такие ВПО, например, способны анализировать среду, в которую они попадают. В случае, если ВПО попадает в песочницу, его поведение может отличаться от его поведения в неизолированной среде.It has long been known about the use of sandboxes in the field of cybersecurity, that is, special isolated environments for detonating and analyzing software and identifying its maliciousness. Sandboxes are described in more detail in the article https://ru.wikipedia.org/wiki/Sandbox_(security). In response to the creation of sandboxes, attackers implemented more complex types of malware. Such malware, for example, is capable of analyzing the environment into which they enter. If malware enters a sandbox, its behavior may differ from its behavior in a non-isolated environment.
Известно, что некоторым ВПО удается преодолеть статический анализ программного обеспечения, который производится посредствам анализа различных ресурсов исполняемого файла без его выполнения и изучения каждого его компонента в отдельности. А некоторым ВПО даже удается остаться не обнаруженными после динамического анализа. Динамический анализ выполняется путем наблюдения за поведением ВПО, когда оно фактически работает в песочнице. Преодолеть песочницы незамеченными некоторым ВПО удается благодаря тому, что они не содержат вредоносного кода. Вместо этого они загружают вредоносный код с удаленного сервера, но только в том случае, если ВПО оказалось в сети клиента. Так, например, злоумышленники, подготавливая таргетированную атаку на определенную организацию могут сконфигурировать удаленный сервер таким образом, чтобы он выслал вредоносный код только если, запрос приходит из одной из корпоративных подсетей, принадлежащих организации - жертве атаки. Если же удаленный сервер получит запрос с любого IP-адреса, не принадлежащего к корпоративной подсети организации, то удаленный сервер, мимикрируя под обычный веб-сервер, вышлет не вредоносный ответ.It is known that some malware manages to overcome static analysis of software, which is performed by analyzing various resources of an executable file without executing it and studying each of its components separately. And some malware even manages to remain undetected after dynamic analysis. Dynamic analysis is performed by observing the behavior of the malware when it actually runs in the sandbox. Some malware is able to overcome sandboxes undetected due to the fact that they do not contain malicious code. Instead, they download malicious code from a remote server, but only if the malware is on the client's network. So, for example, when preparing a targeted attack on a specific organization, attackers can configure a remote server so that it sends malicious code only if the request comes from one of the corporate subnets belonging to the organization - the victim of the attack. If the remote server receives a request from any IP address that does not belong to the corporate subnet of the organization, then the remote server, mimicking a regular web server, will send a non-malicious response.
Очевидным решением для такой ситуации может показаться технология подмены IP-адреса на желаемый, например, натирование. Натирование также имеет второе название - маскарадинг. Натирование является способом трансляции сетевого адреса, при котором IP-адрес отправителя проставляется динамически в зависимости от назначенного интерфейсу IP-адреса. Подробнее натирование описано здесь https://ru.wikipedia.org/wiki/Маскарадинг и здесь https://ru.wikipedia.org/wiki/NAT.An obvious solution for such a situation may seem to be the technology of replacing the IP address with the desired one, for example, nating. Nating also has a second name - masquerading. Nating is a network address translation method in which the sender's IP address is set dynamically depending on the IP address assigned to the interface. Nating is described in more detail here https://ru.wikipedia.org/wiki/Masquerading and here https://ru.wikipedia.org/wiki/NAT.
К сожалению, самая простая реализация натирования, при которой IP-адрес песочницы, не находящейся в корпоративной подсети, будет просто заменен на IP-адрес корпоративной подсети, не сработает. Удаленный сервер злоумышленника, получив запрос из корпоративной подсети, направит ответ на IP-адрес корпоративной подсети. Корпоративная подсеть скорее всего проигнорирует входящий пакет, полученный как ответ от сервера злоумышленников, так как не отправляла запроса на удаленный сервер злоумышленников. Для того чтобы корпоративная подсеть переслала входящий пакет, полученный в ответ от сервера злоумышленников, в песочницу, песочница должна действительно находиться в корпоративной подсети, что технически реализовать сложнее и помимо технических сложностей в реализации является ресурсозатратным.Unfortunately, the simplest implementation of nating, in which the IP address of a sandbox that is not on the corporate subnet will simply be replaced with the IP address of the corporate subnet, will not work. The attacker's remote server, upon receiving a request from the corporate subnet, will send a response to the IP address of the corporate subnet. The corporate subnet will most likely ignore the incoming packet received as a response from the attacker's server, since it did not send a request to the remote attacker's server. In order for the corporate subnet to forward the incoming packet received in response from the attacker's server to the sandbox, the sandbox must actually be in the corporate subnet, which is technically more difficult to implement and, in addition to the technical difficulties in implementation, is resource-intensive.
Один их примеров решения, когда песочница находится в корпоративной подсети и маршрутизатор производит натирование исходящего трафика, заменяя локальный IP-адрес песочницы на публичный IP-адрес корпоративной подсети, является виртуальная частная сеть или VPN.One example of a solution where the sandbox is on the corporate subnet and the router nates outgoing traffic by replacing the sandbox's local IP address with the corporate subnet's public IP address is a virtual private network or VPN.
VPN - это обобщенное название для технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети, например сети Интернет. Подробнее про VPN написано здесь https://ru.wikipedia.org/wiki/VPN. У каждого из участников сети, пира, есть свой локальный IP-адрес. Маршрутизация каждого пира настроена таким образом, что он передает пакеты в Интернет через сервер. Так для каждого исходящего пакета данных, проходящего через сервер, выполняется натирование. А для каждого входящего пакета выполняется денатирование - публичный IP-адрес заменяется на локальный IP адрес пира. В случае, если песочница является одним из пиров и находится в корпоративной сети VPN, технология натирования будет работать и позволит решить задачу подмены IP-адреса. Однако это решение не является оптимальным и имеет ряд недостатков. Один из них - это клиент-серверная архитектура, которая требует постоянного поддержания большого количества соединений в актуальном состоянии. Это ресурсозатратно.VPN is a generalized name for technologies that provide one or more network connections over another network, such as the Internet. Read more about VPN here https://ru.wikipedia.org/wiki/VPN. Each of the network participants, the peer, has its own local IP address. The routing of each peer is configured in such a way that it forwards packets to the Internet through the server. So for each outgoing data packet passing through the server, nating is performed. And for each incoming packet, denaturation is performed - the public IP address is replaced with the local IP address of the peer. If the sandbox is one of the peers and is located in the corporate VPN network, the nating technology will work and will solve the problem of IP address spoofing. However, this solution is not optimal and has a number of disadvantages. One of them is the client-server architecture, which requires a large number of connections to be constantly kept up to date. It's resource intensive.
Из уровня техники также известна технология туннелирования трафика. Туннелирование трафика - это процесс, в ходе которого создается логическое соединение между двумя конечными точками посредством инкапсуляции. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой, то есть передаваемые через туннель данные "упаковываются" вместе со служебными полями в область полезной нагрузки несущего протокола. Подробнее туннелирование описано здесь https://en.wikipedia.org/wiki/Tunneling_protocol.The technology of traffic tunneling is also known from the prior art. Traffic tunneling is a process that creates a logical connection between two endpoints through encapsulation. Tunneling is a networking technique in which one network protocol is encapsulated in another, that is, the data transmitted through the tunnel is "packed" together with the service fields into the payload area of the carrier protocol. Tunneling is described in more detail here https://en.wikipedia.org/wiki/Tunneling_protocol.
Из уровня техники известны различные протоколы маршрутизации трафика, в том числе протокол маршрутизации трафика в распределенной сети Next Hop Resolution Protocol, в дальнейшем для краткости называется NHRP (https://en.wikipedia.org/wiki/Next_Hop_Resolution_Protocol). NHRP является расширением механизма маршрутизации ARP ATM, который иногда используется для повышения эффективности маршрутизации компьютерного сетевого трафика по нешироковещательным сетям с множественным доступом. Данный протокол определен стандартом IETF RFC 2332 и дополнительно описан стандартом RFC 2333. Он может использоваться отправителем для определения маршрута с наименьшим количеством переходов к получателю. Протокол отличается от протоколов типа ARP тем, что позволяет оптимизировать маршрутизацию между несколькими IP-подсетями.Various traffic routing protocols are known from the prior art, including the Next Hop Resolution Protocol for routing traffic in a distributed network, hereinafter referred to as NHRP for brevity (https://en.wikipedia.org/wiki/Next_Hop_Resolution_Protocol). NHRP is an extension of ATM's ARP routing mechanism, which is sometimes used to improve the efficiency of routing computer network traffic over non-broadcast, multi-access networks. This protocol is defined in IETF RFC 2332 and further described in RFC 2333. It can be used by a sender to determine the least hop route to a destination. The protocol differs from protocols such as ARP in that it allows you to optimize routing between multiple IP subnets.
Поскольку в распределенной сети, использующей NHRP протокол маршрутизации отсутствует центральный сервер, который бы хранил информацию об IP-адресах подсетей, маршрутизация трафика требует наличия публичных IP-адресов у каждой из подсетей.Since there is no central server in a distributed network using the NHRP routing protocol that would store information about the IP addresses of subnets, traffic routing requires the presence of public IP addresses for each of the subnets.
В распределенной сети, реализованной посредствам способа, предлагаемого к патентованию, информация об IP-адресах подсетей хранится на центральном сервере, это позволяет участникам подсетей не иметь публичных IP-адресов и находиться за NAT-ом.In a distributed network implemented using the method proposed for patenting, information about the IP addresses of subnets is stored on a central server, this allows subnet members to not have public IP addresses and be behind a NAT.
В то же время, из уровня техники известно решение US 20050086367 A1 (Alex Conta et at., Methods and apparatus for implementing multiple types of network tunneling in a uniform manner, опубл. 04.21.2005. кл. G06F 15/173), в котором описан способ реализации поддержки нескольких протоколов туннелирования трафика с помощью роутера. Предлагается к реализации туннелирование трафика одновременно с помощью протокола IP-IP и IP-over-MPLS.At the same time, the prior art solution US 20050086367 A1 (Alex Conta et at., Methods and apparatus for implementing multiple types of network tunneling in a uniform manner, publ. 04.21.2005. class G06F 15/173), in which describes how to implement support for multiple traffic tunneling protocols using a router. It is proposed to implement traffic tunneling simultaneously using the IP-IP and IP-over-MPLS protocols.
Описанный способ, помимо того, что отличается в реализации с точки зрения архитектуры сети и используемых протоколов туннелирования, является более ресурсозатратным, так как требует от роутера поддержки отдельного интерфейса для каждого пира, который отправляет роутеру запросы на использование его как IP-IP маршрутизатора. Иными словами, для использования роутера в качестве маршрутизатора двумя пирами необходимо реализовать поддержку данным роутером четырех интерфейсов. Предлагаемое к патентованию решение позволяет с помощью всего лишь двух интерфейсов выполнять маршрутизацию между тысячами пиров. Реализация маршрутизации с использованием всего лишь двух интерфейсов требует значительно меньше вычислительных ресурсов, а также меньших усилий для ее конфигурации. Для конфигурации предлагаемого решения не требуется настройки роутеров провайдера, достаточно конфигурации сети на конечном устройстве (пире).The described method, in addition to being different in implementation in terms of network architecture and the tunneling protocols used, is more resource-intensive, as it requires the router to maintain a separate interface for each peer that sends requests to the router to use it as an IP-IP router. In other words, to use a router as a router by two peers, it is necessary to implement support for four interfaces by this router. The patent-pending solution allows routing between thousands of peers with just two interfaces. Implementing routing using just two interfaces requires significantly less computing resources, as well as less effort to configure it. To configure the proposed solution, you do not need to configure the provider's routers, it is enough to configure the network on the end device (peer).
Как было ранее упомянуто, из уровня техники известны решения для детонации и исследования вредоносного программного обеспечения, так называемые песочницы. А также известны различные способы по организации окружения песочниц для того, чтобы затруднить для злоумышленника и его программного обеспечения обнаружение песочниц. Одним примером такого решения является US 10404661 В1 (Taylor Ettema et al., Integrating a honey network with a target network to counter IP and peer-checking evasion techniques, опубл. 09.03.2019. кл. G06F 9/455, H04L 29/06), в котором описывается способ интеграции сети "honey pot" с целевой сетевой средой (например, корпоративной сетью) для подмены IP и методы уклонения от одноранговой проверки. В некоторых вариантах осуществления система для интеграции сети "honey pot" с целевой сетью включает в себя хранилище данных профиля устройства, которое включает в себя множество атрибутов каждого из множества устройств целевой среды: диспетчер виртуальных копий, который создает виртуальную копию одного или нескольких устройств целевой сети на основе одного или нескольких атрибутов целевого устройства в хранилище данных профиля устройства и сетевую политику "honey pot", которая сконфигурирована для маршрутизации внешней связи от виртуальной копии к целевому устройству в сети "honey pot" к внешнему устройству через сетевую среду. В данном решении не упоминается ни одного способа туннелирования трафика и реализации подмены IP-адреса песочницы на IP-адрес корпоративной сети с помощью протоколов туннелирования трафика.As previously mentioned, detonation and malware research solutions, so-called sandboxes, are known from the prior art. Also, various ways are known to organize the sandbox environment in order to make it difficult for an attacker and his software to detect sandboxes. One example of such a solution is US 10404661 B1 (Taylor Ettema et al., Integrating a honey network with a target network to counter IP and peer-checking evasion techniques, published 03/09/2019. class G06F 9/455, H04L 29/06 ), which describes how to integrate a "honey pot" network with a target network environment (such as a corporate network) for IP spoofing, and how to evade peer-to-peer verification. In some embodiments, a system for integrating a honey pot network with a target network includes a device profile data store that includes a plurality of attributes of each of a plurality of target environment devices: a virtual copy manager that creates a virtual copy of one or more devices of the target network based on one or more attributes of the target device in the device profile data store and a honey pot network policy that is configured to route external communication from the virtual copy to the target device on the honey pot network to the external device via the network medium. This solution does not mention any way to tunnel traffic and implement the substitution of the sandbox IP address with the IP address of the corporate network using traffic tunneling protocols.
Настоящее решение создано для решения проблем, выявленных при анализе уровня техники и создания улучшенного комплексного метода маршрутизации трафика в распределенной сети.The present solution is designed to solve the problems identified in the analysis of the prior art and create an improved complex method for routing traffic in a distributed network.
СУЩНОСТЬ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION
В рамках настоящего описания, если это не оговорено непосредственно по месту применения, нижеперечисленные специальные термины используются в следующих значениях:Within the scope of this description, unless otherwise specified at the place of application, the following specific terms are used with the following meanings:
центральный сервер - сервер в распределенной сети, который используется для настройки маршрутизации и выдачи IP-адресов внутри сети, на центральном сервере хранится таблица соседей;central server - a server in a distributed network, which is used to configure routing and issue IP addresses within the network; a table of neighbors is stored on the central server;
гейтвей - пир распределенной сети, реализованный для натирования пакетов исходящего трафика;gateway - distributed network peer, implemented for nating packets of outgoing traffic;
эмиттер - пир распределенной сети, на котором установлена одна или несколько песочниц;emitter - a peer of a distributed network on which one or more sandboxes are installed;
пир - участник распределенной сети, например, гейтвей или эмиттер;peer - a member of a distributed network, for example, a gateway or emitter;
натирование - преобразование сетевых адресов, механизм в сетях на транспортном уровне, позволяющий преобразовывать IP-адреса транзитных пакетов.nating - network address translation, a mechanism in networks at the transport level that allows you to convert the IP addresses of transit packets.
туннелирование - процесс, в ходе которого создается логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в область полезной нагрузки пакета несущего протокола.tunneling is a process during which a logical connection is created between two endpoints by encapsulating different protocols. Tunneling is a networking technique in which one network protocol is encapsulated within another. The essence of tunneling is to "pack" the transmitted portion of data, together with service fields, into the payload area of the carrier protocol packet.
инкапсуляция - это метод построения модульных сетевых протоколов, при котором логически независимые функции сети абстрагируются от нижележащих механизмов путем включения или инкапсулирования этих механизмов в более высокоуровневые объекты.encapsulation is a method of building modular network protocols in which logically independent network functions are abstracted from underlying mechanisms by including or encapsulating these mechanisms in higher-level objects.
таблица соседей - таблица в сетевом стеке ОС, в которой хранятся записи о соответствии IP-адресов на уровне GRE к IP-адресам на уровне WireGuard. Аналогом таблицы соседей является ARP-таблица, в которой хранятся записи о соответствии IP-адресов к МАС-адресам. ОС обращается к этим таблицам при маршрутизации пакетов для получения адреса получателя на нижележащем уровне сети.neighbor table - a table in the OS network stack that stores records about the correspondence of IP addresses at the GRE level to IP addresses at the WireGuard level. An analogue of the table of neighbors is the ARP table, which stores records about the correspondence of IP addresses to MAC addresses. The OS refers to these tables when routing packets to obtain the destination address at the underlying network level.
интерфейс - здесь значит интерфейс взаимодействия с программным обеспечением Wireguard или GRE;interface - here means the interface of interaction with the Wireguard or GRE software;
полигон - набор изолированных сред для детонации и анализа потенциально вредоносного контентаpolygon - a set of isolated environments for detonation and analysis of potentially malicious content
Технической проблемой, на решение которой направлено заявленное техническое решение, является создание компьютерно-реализуемого способа и системы для туннелирования трафика внутри распределенной сети для детонации подозрительного контента, которые охарактеризованы в независимых пунктах формулы. Дополнительные варианты реализации настоящего решения представлены в зависимых пунктах формулы изобретения.The technical problem to be solved by the claimed technical solution is the creation of a computer-implemented method and system for tunneling traffic within a distributed network to detonate suspicious content, which are described in independent claims. Additional embodiments of the present solution are presented in dependent claims.
Технический результат заключается в реализации многоуровневого туннелирования для передачи трафика внутри распределенной сети для анализа подозрительного трафика.The technical result consists in the implementation of multi-layer tunneling for traffic transmission within a distributed network to analyze suspicious traffic.
В предпочтительном варианте реализации заявлен компьютерно-реализуемый способ маршрутизации трафика внутри распределенной сети для анализа потенциально вредоносного контента содержит шаги, на которых с помощью вычислительного устройства добавляют в таблицу соседей IP-адресов по меньшей мере один эмиттер и по меньшей мере один гейтвей, где по меньшей мере один эмиттер является пиром распределенной сети, выполненным с возможностью анализа вредоносного контента, а также получения пакетов данных, инкапсулированных на уровне WireGuard и на уровне GRE, по меньшей мере один гейтвей является пиром распределенной сети, выполненным с возможностью натирования по меньшей мере одного пакета исходящего трафика и денатирования по меньшей мере одного пакета входящего трафика; отправляют на по меньшей мере один гейтвей IP-адреса соответствующего ему по таблице соседей по меньшей мере одного эмиттера; отправляют на по меньшей мере один эмиттер IP-адреса соответствующего ему по таблице соседей по меньшей мере одного гейтвея; декапсулируют, в ответ на получение по меньшей мере одного пакета исходящего трафика от по меньшей мере одного эмиттера, меньшей мере один пакет исходящего трафика; идентифицируют IP-адрес гейтвея, указанного в качестве данных получателя на уровне Wireguard; инкапсулируют пакет исходящего трафика на WireGuard уровне и GRE уровне, где по меньшей мере один IP-адрес, указанный на уровне WireGuard отличается от по меньшей мере одного IP-адреса, указанного на уровне GRE; пересылают по меньшей мере один пакет исходящего трафика на по меньшей мере один гейтвей для натирования. Способ, при котором IP-адреса включают: IP-адреса в сети Интернет, IP-адреса на уровне Wireguard, IP-адреса на уровне GRE. Способ дополнительно включающий, регистрацию по меньшей мере одного эмиттера и по меньшей мере одного гейтвея на по меньшей мере одном центральном сервере посредством выдачи конфигурационного файла.In a preferred embodiment, a computer-implemented method for routing traffic within a distributed network for analyzing potentially malicious content is claimed to contain steps at which, using a computing device, at least one emitter and at least one gateway are added to the neighbor table of IP addresses, where at least At least one emitter is a distributed network peer configured to analyze malicious content and receive data packets encapsulated at the WireGuard and GRE levels, at least one gateway is a distributed network peer configured to nat at least one outgoing packet traffic and deny at least one packet of incoming traffic; send to at least one gateway IP address corresponding to it in the table of neighbors of at least one emitter; send to at least one emitter of the IP address corresponding to it in the table of neighbors of at least one gateway; decapsulate, in response to receiving at least one outgoing traffic packet from at least one emitter, at least one outgoing traffic packet; identify the IP address of the gateway specified as the recipient data at the Wireguard level; encapsulating an outgoing traffic packet at the WireGuard layer and the GRE layer, where at least one IP address specified at the WireGuard layer differs from at least one IP address specified at the GRE layer; forwarding at least one packet of outgoing traffic to at least one gateway for nating. The way IP addresses include: Internet IP addresses, Wireguard level IP addresses, GRE level IP addresses. The method further includes registering at least one emitter and at least one gateway on at least one central server by issuing a configuration file.
В альтернативном варианте реализации способ может быть выполнен эмиттером, способ содержащий шаги, на которых: отправляют по меньшей мере одним эмиттером по меньшей мере один пакет исходящего трафика на по меньшей мере один центральный сервер, где по меньшей мере один пакет исходящего трафика содержит по меньшей мере два уровня инкапсуляции поверх транспортного протокола, реализованных для пересылки пакета исходящего трафика по меньшей мере одним центральным сервером на по меньшей мере один гейтвей для натирования; извлекают, в ответ на получение по меньшей мере одного пакета входящего трафика от по меньшей мере одного центрального сервера, из по меньшей мере одного пакета входящего трафика потенциально вредоносный контент, где по меньшей мере один пакет входящего трафика предварительно был получен по меньшей мере одним центральным сервером от по меньшей мере одного гейтвея; анализируют потенциально вредоносный контент и добиваются его детонации. Способ дополнительно включающий подготовительный этап, на котором получают по меньшей мере одним эмиттером конфигурационный файл от по меньшей мере одного центрального сервера. Способ, также включающий конфигурацию интерфейсов на WireGuard уровне и GRE уровне с помощью полученного конфигурационного файла. Способ, включающий получение от по меньшей мере одного центрального сервера IP-адресов по меньшей мере одного гейтвея. Способ включает настройку по меньшей мере одного маршрута через по меньшей мере один гейтвей.In an alternative implementation, the method can be performed by an emitter, the method comprising the steps of: sending at least one outgoing traffic packet by at least one emitter to at least one central server, where at least one outgoing traffic packet contains at least two levels of encapsulation over the transport protocol, implemented for forwarding the packet of outgoing traffic by at least one central server to at least one gateway for nating; extracting, in response to receiving at least one incoming traffic packet from at least one central server, potentially malicious content from at least one incoming traffic packet, where at least one incoming traffic packet was previously received by at least one central server from at least one gateway; analyze potentially malicious content and achieve its detonation. The method further includes a preparatory step, in which at least one emitter receives a configuration file from at least one central server. A method that also includes the configuration of interfaces at the WireGuard level and GRE level using the received configuration file. The method includes obtaining from at least one central server the IP addresses of at least one gateway. The method includes setting up at least one route through at least one gateway.
Еще в одном частном варианте реализации способа маршрутизации трафика внутри распределенной сети для детонации вредоносного контента, способ выполняют на гейтвее следующим образом: декапсулируют, в ответ на получение по меньшей мере одного пакета исходящего трафика от по меньшей мере одного центрального сервера, по меньшей мере один пакет исходящего трафика; идентифицируют данные внешнего сервера, указанные в качестве данных получателя на уровне GRE; инкапсулируют по меньшей мере одним гейтвеем по меньшей мере один пакет исходящего трафика; натируют по меньшей мере один пакет исходящего трафика IP-адресом гейтвея; отправляют по меньшей мере один натированный пакет исходящего трафика на внешний сервер; денатируют, в ответ на получение по меньшей мере одного пакета входящего трафика от внешнего сервера, по меньшей мере один пакет входящего трафика; инкапсулируют по меньшей мере один пакет входящего трафика на WireGuard уровне и GRE уровне, где по меньшей мере один IP-адрес, указанный на уровне WireGuard, отличается от по меньшей мере одного IP-адреса, указанного на уровне GRE; отправляют по меньшей мере один пакет входящего трафика на по меньшей мере один центральный сервер. Способ включает подготовительный этап, на котором получают по меньшей мере одним гейтвеем конфигурационный файл от по меньшей мере одного центрального сервера. Дополнительно выполняют конфигурацию по меньшей мере одним гейтвеем интерфейсов на WireGuard уровне и GRE уровне с помощью полученного конфигурационного файла. Способ также включает подготовительный этап, на котором получают от по меньшей мере одного центрального сервера IP-адреса по меньшей мере одного эмиттера.In another particular embodiment of the method for routing traffic within a distributed network to detonate malicious content, the method is performed on the gateway as follows: decapsulate, in response to receiving at least one packet of outgoing traffic from at least one central server, at least one packet outgoing traffic; identifying the external server data specified as the recipient data at the GRE level; encapsulate by at least one gateway at least one packet of outgoing traffic; natirovat at least one packet of outgoing traffic IP address of the gateway; sending at least one nated outgoing traffic packet to an external server; denying, in response to receiving at least one incoming traffic packet from the external server, at least one incoming traffic packet; encapsulating at least one packet of incoming traffic at the WireGuard layer and the GRE layer, where at least one IP address specified at the WireGuard layer differs from at least one IP address specified at the GRE layer; sending at least one packet of incoming traffic to at least one central server. The method includes a preparatory step in which at least one gateway receives a configuration file from at least one central server. Additionally, at least one gateway interface is configured at the WireGuard and GRE levels using the received configuration file. The method also includes a preparatory step, at which the IP addresses of at least one emitter are obtained from at least one central server.
Заявленное решение также осуществляется за счет системы маршрутизации трафика внутри распределенной сети для анализа потенциально вредоносного контента, где распределенная сеть реализована посредствам двухуровневого туннелирования, включающего: уровень WireGuard и уровень GRE. Система представлена по меньшей мере одним центральным сервером, выполняющим шаги, на которых: добавляют в таблицу соседей IP-адресов по меньшей мере один эмиттер и по меньшей мере один гейтвей, где по меньшей мере один эмиттер является пиром распределенной сети, выполненным с возможностью анализа вредоносного контента, а также получения пакетов данных, инкапсулированных на уровне WireGuard и на уровне GRE, а по меньшей мере один гейтвей является пиром распределенной сети, выполненным с возможностью натирования по меньшей мере одного пакета исходящего трафика и денатирования по меньшей мере одного пакета входящего трафика, отправляют на по меньшей мере один гейтвей IP-адреса соответствующего ему по таблице соседей по меньшей мере одного эмиттера, отправляют на по меньшей мере один эмиттер IP-адреса соответствующего ему по таблице соседей по меньшей мере одного гейтвея, декапсулируют, в ответ на получение по меньшей мере одного пакета исходящего трафика от по меньшей мере одного эмиттера, меньшей мере один пакет исходящего трафика, идентифицируют IP-адрес гейтвея, указанного в качестве данных получателя на уровне Wireguard, инкапсулируют пакет исходящего трафика на WireGuard уровне и GRE уровне, где по меньшей мере один IP-адрес, указанный на уровне WireGuard отличается от по меньшей мере одного IP-адреса, указанного на уровне GRE, пересылают по меньшей мере один пакет исходящего трафика на по меньшей мере один гейтвей для натирования. В данной системе IP-адреса включают: IP-адреса в сети Интернет, IP-адреса на уровне Wireguard, IP-адреса на уровне GRE. Представленная система выполняет регистрацию по меньшей мере одного эмиттера и по меньшей мере одного гейтвея на по меньшей мере одном центральном сервере посредством выдачи конфигурационного файла.The claimed solution is also implemented through a traffic routing system within a distributed network to analyze potentially malicious content, where a distributed network is implemented through two-level tunneling, including: the WireGuard level and the GRE level. The system is represented by at least one central server that performs the following steps: add at least one emitter and at least one gateway to the table of neighbors of IP addresses, where at least one emitter is a peer of a distributed network, made with the ability to analyze malicious content, as well as receiving data packets encapsulated at the WireGuard level and at the GRE level, and at least one gateway is a distributed network peer configured to nat at least one outgoing traffic packet and denature at least one incoming traffic packet, send to at least one gateway of the IP address of at least one emitter corresponding to it in the neighbor table is sent to at least one emitter of the IP address of at least one gateway corresponding to it in the neighbor table, decapsulated, in response to receiving at least one packet of outgoing traffic from at least one emitter, at least one packet of outgoing traffic, identify the IP address of the gateway specified as the recipient data at the Wireguard level, encapsulate the packet of outgoing traffic at the WireGuard level and GRE level, where at least one IP -address specified at the WireGuard level differs from at least one IP address specified at the GRE level, at least one packet of outgoing traffic is forwarded to at least one gateway for nating. In this system, IP addresses include: IP addresses on the Internet, IP addresses at the Wireguard level, IP addresses at the GRE level. The presented system registers at least one emitter and at least one gateway to at least one central server by issuing a configuration file.
Система маршрутизации трафика в альтернативном варианте выполнена по меньшей мере одним эмиттером, система выполняющая шаги, на которых: отправляют по меньшей мере одним эмиттером по меньшей мере один пакет исходящего трафика на по меньшей мере один центральный сервер, где по меньшей мере один пакет исходящего трафика содержит по меньшей мере два уровня инкапсуляции поверх транспортного протокола, реализованных для пересылки пакета исходящего трафика по меньшей мере одним центральным сервером на по меньшей мере один гейтвей для натирования, извлекают, в ответ на получение по меньшей мере одного пакета входящего трафика от по меньшей мере одного центрального сервера, из по меньшей мере одного пакета входящего трафика потенциально вредоносный контент, где по меньшей мере один пакет входящего трафика предварительно был получен по меньшей мере одним центральным сервером от по меньшей мере одного гейтвея, анализируют потенциально вредоносный контент и добиваются его детонации. Система, получающая по меньшей мере одним эмиттером конфигурационный файл от по меньшей мере одного центрального сервера. Система, выполняющая конфигурацию интерфейсов на WireGuard уровне и GRE уровне с помощью полученного конфигурационного файла; Система выполняющая получение от по меньшей мере одного центрального сервера IP-адресов по меньшей мере одного гейтвея. Система также выполняет настройку по меньшей мере одного маршрута через по меньшей мере один гейтвей.The traffic routing system is alternatively implemented by at least one emitter, the system performing the steps of: sending at least one outgoing traffic packet by at least one emitter to at least one central server, where at least one outgoing traffic packet contains at least two layers of encapsulation over a transport protocol implemented for forwarding an outgoing traffic packet by at least one central server to at least one nating gateway is retrieved in response to receiving at least one incoming traffic packet from at least one central server, potentially malicious content from at least one incoming traffic packet, where at least one incoming traffic packet was previously received by at least one central server from at least one gateway, potentially malicious content is analyzed and its detonation is achieved. A system that receives at least one emitter a configuration file from at least one central server. A system that configures interfaces at the WireGuard and GRE levels using the received configuration file; A system that receives from at least one central server the IP addresses of at least one gateway. The system also configures at least one route through at least one gateway.
Система маршрутизации трафика внутри распределенной сети для детонации вредоносного контента дополнительно может быть выполнена по меньшей мере одним гейтвеем. Система выполняет шаги, на которых: декапсулируют, в ответ на получение по меньшей мере одного пакета исходящего трафика от по меньшей мере одного центрального сервера, по меньшей мере один пакет исходящего трафика, идентифицируют данные внешнего сервера, указанные в качестве данных получателя на уровне GRE, инкапсулируют по меньшей мере одним гейтвеем по меньшей мере один пакет исходящего трафика, натируют по меньшей мере один пакет исходящего трафика IP-адресом гейтвея, отправляют по меньшей мере один натированный пакет исходящего трафика на внешний сервер, денатируют, в ответ на получение по меньшей мере одного пакета входящего трафика от внешнего сервера, по меньшей мере один пакет входящего трафика, инкапсулируют по меньшей мере один пакет входящего трафика на WireGuard уровне и GRE уровне, где по меньшей мере один IP-адрес, указанный на уровне WireGuard, отличается от по меньшей мере одного IP-адреса, указанного на уровне GRE, отправляют по меньшей мере один пакет входящего трафика на по меньшей мере один центральный сервер. Система включает подготовительный этап, на котором получают по меньшей мере одним гейтвеем конфигурационный файл от по меньшей мере одного центрального сервера. Система выполняет конфигурацию по меньшей мере одним гейтвеем интерфейсов на WireGuard уровне и GRE уровне с помощью полученного конфигурационного файла. Система содержит долговременную память, выполненную с возможностью хранения используемых файлов и данных, вычислительное устройство, выполненное с возможностью выполнения описанного способа.The traffic routing system within a distributed network for detonation of malicious content can additionally be implemented by at least one gateway. The system performs the steps of: decapsulating, in response to receiving at least one outgoing traffic packet from at least one central server, at least one outgoing traffic packet, identifying the external server data indicated as the recipient data at the GRE level, encapsulate by at least one gateway at least one packet of outgoing traffic, natate at least one packet of outgoing traffic with the IP address of the gateway, send at least one nated packet of outgoing traffic to an external server, denature, in response to receiving at least one of an incoming traffic packet from an external server, at least one incoming traffic packet encapsulates at least one incoming traffic packet at the WireGuard level and GRE level, where at least one IP address specified at the WireGuard level differs from at least one The IP addresses specified at the GRE layer send at least one packet of incoming traffic to at least one central server. The system includes a preparatory step in which at least one gateway receives a configuration file from at least one central server. The system configures at least one gateway interface at the WireGuard level and GRE level using the received configuration file. The system contains a long-term memory configured to store used files and data, a computing device configured to perform the described method.
ОПИСАНИЕ ЧЕРТЕЖЕЙDESCRIPTION OF THE DRAWINGS
Реализация изобретения будет описана в дальнейшем в соответствии с прилагаемыми чертежами, которые представлены для пояснения сути изобретения и никоим образом не ограничивают область изобретения. К заявке прилагаются следующие чертежи:The implementation of the invention will be described hereinafter in accordance with the accompanying drawings, which are presented to explain the essence of the invention and in no way limit the scope of the invention. The following drawings are attached to the application:
Фиг. 1 иллюстрирует общую схему распределенной сети.Fig. 1 illustrates the general layout of a distributed network.
Фиг. 2 иллюстрирует общую схему адресации распределенной сети с реализованными в ней подсетями.Fig. 2 illustrates the general addressing scheme of a distributed network with subnets implemented in it.
Фиг. 3 иллюстрирует подготовительную стадию способа.Fig. 3 illustrates the preparation step of the method.
Фиг. 4А иллюстрирует передачу исходящего трафика на рабочей стадии.Fig. 4A illustrates the transmission of outgoing traffic during the working phase.
Фиг. 4Б иллюстрирует передачу входящего трафика на рабочей стадии.Fig. 4B illustrates the transmission of incoming traffic during the working phase.
Фиг. 5 иллюстрирует схему вычислительного устройства,Fig. 5 illustrates a diagram of a computing device,
ДЕТАЛЬНОЕ ОПИСАНИЕDETAILED DESCRIPTION
В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, будет очевидно каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не были описаны подробно, чтобы не затруднять понимание особенностей настоящего изобретения.In the following detailed description of the implementation of the invention, numerous implementation details are provided to provide a clear understanding of the present invention. However, one skilled in the art will appreciate how the present invention can be used, both with and without these implementation details. In other cases, well-known methods, procedures and components have not been described in detail so as not to obscure the features of the present invention.
Кроме того, из приведенного изложения будет ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, будут очевидными для квалифицированных в предметной области специалистов.Furthermore, it will be clear from the foregoing that the invention is not limited to the present implementation. Numerous possible modifications, changes, variations and substitutions that retain the spirit and form of the present invention will be apparent to those skilled in the subject area.
Предлагаемое к патентованию решение позволяет реализовать туннелирование трафика в распределенной сети таким образом, чтобы на выходе из этой распределенной сети происходило натирование пакетов исходящего трафика и пересылка этих пакетов на внешний IP-адрес, при этом в качестве адреса отправителя указывался бы заданный IP-адрес, отличающийся от реального адреса устройства, отправившего пакеты трафика.The solution proposed for patenting makes it possible to implement traffic tunneling in a distributed network in such a way that at the output of this distributed network, outgoing traffic packets are natted and these packets are forwarded to an external IP address, while the specified IP address, which differs from from the real address of the device that sent the traffic packets.
Рассмотрим пример. Банк "X" обратился к компании "G" с запросом на предоставление услуг в области кибербезопасности, а именно на услуги аутсорс-анализа подозрительного контента, поступающего из внешних ресурсов. В этом случае компания "G" может предоставить банку возможность использования своего полигона. Компания "G" предоставляет одну или несколько входящих в состав полигона изолированных сред ("песочниц") для обслуживания запроса банка "X". Распределенная сеть полигона устроена таким образом, что по запросу от банка "X" строится маршрут до одной или нескольких находящихся в полигоне изолированных сред, и подозрительный трафик от банка "X" анализируется в этих изолированных средах. Туннелирование внутри распределенной сети реализовано таким образом, что на выходе из данной сети происходит натирование каждого пакета исходящего трафика и в качестве отправителя указывается IP-адрес банка "X". Таким образом, злоумышленник, направивший в адрес банка "X" вредоносный контент, например, вредоносный файл или ссылку на вредоносный сайт, в результате анализа и детонации (срабатывания) данного файла или перехода по ссылке будет видеть обращение к своему серверу с IP-адреса банка "X", а не с IP-адреса полигона.Consider an example. Bank "X" turned to company "G" with a request to provide services in the field of cybersecurity, namely, the services of outsource analysis of suspicious content coming from external resources. In this case, company "G" can provide the bank with the opportunity to use its landfill. Company "G" provides one or more of the sandboxes contained in the polygon to serve the request of bank "X". The polygon's distributed network is designed in such a way that, upon request from bank "X", a route is built to one or more isolated environments located in the polygon, and suspicious traffic from bank "X" is analyzed in these isolated environments. Tunneling within a distributed network is implemented in such a way that each packet of outgoing traffic is natted at the exit from this network and the IP address of bank "X" is indicated as the sender. Thus, an attacker who sent malicious content to the address of bank "X", for example, a malicious file or a link to a malicious site, as a result of analysis and detonation (activation) of this file or clicking on the link, will see a request to his server from the bank's IP address "X", not from the polygon's IP address.
Как ранее упоминалось, полигон включает в себя множество изолированных сред, организованных в распределенной сети. Изолированные среды могут быть распределены между множеством клиентов, одним из которых является банк "X". На выходе из распределенной сети пакет данных, исходящий из каждой из изолированных сред, проходит натирование и отправляется на внешний сервер с IP-адресом, соответствующим адресам сетевой инфраструктуры заданной компании, например, в данном случае - банка "X".As previously mentioned, a polygon includes many isolated environments organized in a distributed network. Isolated environments may be distributed among multiple clients, one of which is bank "X". At the exit from the distributed network, the data packet originating from each of the isolated environments is natated and sent to an external server with an IP address corresponding to the addresses of the network infrastructure of a given company, for example, in this case, bank "X".
Далее способ реализации будет подробно описан на примере взаимодействия одной изолированной среды, установленной на одном эмиттере, и одного гейтвея. Но нужно понимать, что в реально действующем полигоне может быть реализовано множество эмиттеров и множество гейтвеев, способных выполнять описанные далее действия для множества компаний-клиентов.Further, the implementation method will be described in detail on the example of the interaction of one isolated environment installed on one emitter and one gateway. But you need to understand that in a really operating polygon, many emitters and many gateways can be implemented, capable of performing the actions described below for many client companies.
В рассматриваемом примере центральный сервер и эмиттер, входящие в состав инфраструктуры компании "G", осуществляют маршрутизацию и анализ потенциально вредоносного трафика, поступающего в локальную сеть компании "X". В составе инфраструктуры локальной сети компании "X" находится устройство - гейтвей, выполненное с возможностью пересылки всего или части трафика для анализа в инфраструктуру компании "G". Пересылка трафика реализована посредством его маршрутизации через центральный сервер. В распределенной сети центральный сервер является шлюзом для пиров. Шлюз используется пирами для передачи пакетов адресату, IP-адреса которого они не знают.Таким образом, когда гейтвею из локальной сети компании "X" нужно переслать пакет данных для анализа на одном из устройств, входящих в состав инфраструктуры компании "G", он пересылает пакет на центральный сервер, который, в свою очередь, выполнен с возможностью пересылать полученный пакет на соответствующий данному гейтвею эмиттер. Пересылка пакетов реализуется посредством туннелирования любым общеизвестным образом.In this example, the central server and emitter, which are part of the infrastructure of company "G", route and analyze potentially malicious traffic entering the local network of company "X". As part of the local network infrastructure of company "X" there is a device - a gateway, configured to forward all or part of the traffic for analysis to the infrastructure of company "G". Traffic forwarding is implemented by routing it through a central server. In a distributed network, the central server is the gateway for peers. The gateway is used by peers to send packets to a destination whose IP address they do not know. Thus, when a gateway from the local network of company "X" needs to send a data packet for analysis on one of the devices that are part of the infrastructure of company "G", it forwards packet to the central server, which, in turn, is configured to forward the received packet to the emitter corresponding to this gateway. Packet forwarding is implemented through tunneling in any well-known way.
На Фиг. 1 представлена схема возможной реализации описываемой технологии. Как показано на Фиг. 1, полигон 110 для анализа вредоносного контента содержит множество эмиттеров, таких как эмиттер 115. На центральном сервере 101 хранится таблица соседей 102. Таблица соседей 102 содержит информацию, необходимую для построения маршрутов между пирами; она может быть реализована общеизвестным образом, как база данных любого подходящего формата, например таблица МАС-адресов. В одном из примеров реализации таблицы соседей могут также храниться на гейтвеях 120 и на эмиттерах, таких как эмиттер 115.On FIG. 1 shows a diagram of a possible implementation of the described technology. As shown in FIG. 1, the malicious
Следует заметить, что обмен информацией между всеми устройствами распределенной сети 100 осуществляется посредством вычислительной сети, такой, например, как сеть Интернет. Аналогичным образом может осуществляться обмен информацией между устройствами распределенной сети 100 и любыми внешними (относительно распределенной сети 100) вычислительными устройствами, такими, например, как внешний сервер 130.It should be noted that the exchange of information between all devices of the distributed
Пирами в данной распределенной сети являются эмиттеры и гейтвей 120. На каждом эмиттере, в частности, на эмиттере 115, как было ранее упомянуто, может быть установлена изолированная среда для детонации подозрительного контента (на чертеже условно не показана). Гейтвей 125 - это вычислительное устройство, которое находится в локальной сети 122 компании-клиента; оно выполнено с возможностью заменять IP-адрес отправителя на IP-адрес клиента.Peers in this distributed network are emitters and
Маршрутизация в распределенной сети настроена таким образом, что ни один из гейтвеев, таких как гейтвей 125, не может обмениваться данными с другими гейтвеями. Аналогично, ни один из эмиттеров не может обмениваться данными с другими эмиттерами. При этом от каждого из эмиттеров можно проложить маршрут до каждого из гейтвеев и обратно через центральный сервер 101.Routing in a WAN is configured so that none of the gateways, such as
В используемом примере маршрутизация настроена так, что гейтвей 125, находящийся в локальной сети 122 банка "X", не имеет возможности обмениваться данными с другими гейтвеями, которые, в частности, могут принадлежать другим компаниям. Вообще гейтвей 125 технически имеет возможность отправлять и принимать данные от любого эмиттера и от центрального сервера 101. Однако, в описываемом решении 100 маршрут настраивается всегда между одним эмиттером и одним гейтвеем. Поэтому в рамках рассматриваемого неограничивающего примера маршрут для гейтвея 125 банка "X" настраивается так, что данные передаются от эмиттера 115 сначала на центральный сервер 101, затем на гейтвей 125.In the example used, the routing is configured so that the
Важно отметить, что для реализации описываемого изобретения центральный сервер 101 должен иметь публичный IP-адрес. Притом гейтвей 125 может находиться за натом 121 и не иметь публичного IP-адреса. Аналогично, и эмиттер 115 может находиться за натом 116 и не иметь публичного IP-адреса.It is important to note that in order to implement the described invention, the
В альтернативном варианте реализации и гейтвей 125, и эмиттер 115 могут иметь свои публичные IP-адреса и не находиться за натом.In an alternative implementation, both
Далее будет подробно описан маршрут, по которому в ходе реализации вышеназванного примера с банком "X" и компанией "G" могут передаваться пакеты данных в распределенной сети 100.The following will describe in detail the route by which, in the implementation of the above example with bank "X" and company "G", data packets can be transmitted in the distributed
На эмиттере 115 может быть сформирован запрос к внешнему серверу 130, который находится за пределами распределенной сети 100. Этот запрос к внешнему серверу может быть, например, переходом по внешней ссылке из электронного письма, полученного в установленной на эмиттере 115 изолированной среде, а внешний сервер 130 может являться командным сервером злоумышленника. Эмиттер 115 отправляет запрос в виде пакета исходящих данных на центральный сервер 101. Центральный сервер 101 пересылает пакет исходящих данных на гейтвей 125. Гейтвей 125 выполняет подмену IP-адреса отправителя на IP-адрес локальной сети 122, в которой этот гейтвей расположен, и пересылает пакет на внешний сервер 130. Вследствие описанной подмены адрес отправителя пакета (который может быть проанализирован программой злоумышленника на внешнем сервере 130) не будет иметь ничего общего с адресом эмиттера 115, поэтому злоумышленнику не станет известно, что открытие письма и переход по ссылке произошли в изолированной среде, а не на одном из устройств атакуемой локальной сети 122.At the
Таким образом, когда внешний сервер 130 получит пакет, именно IP-адрес локальной сети 122 будет определен как адрес отправителя. Благодаря подмене IP-адреса, распределенная сеть 100 будет имитировать для злоумышленника локальную сеть клиента 122. Внешний сервер 130, если он принадлежит злоумышленникам, в ответ на запрос (переход по ссылке) высылает вредоносный контент, например, начинается загрузка вредоносной программы, на которую вела ссылка. Пакет входящего трафика, содержащий в себе вредоносный контент, передается на гейтвей 125. Гейтвей 125 пересылает пакет на центральный сервер 101. Центральный сервер 101 пересылает пакет на эмиттер 115. Таким образом, эмиттер 115 получает пакет, содержащий вредоносный контент. Эмиттер 115 распаковывает полученный пакет в изолированной среде и производит его анализ.Thus, when the
В приведенном примере происходит следующее. В локальной сети банка "X" получают электронное письмо от неизвестного отправителя. Письмо содержит ссылку для загрузки файла. Письмо перенаправляют на анализ в изолированную среду, установленную на эмиттере. На эмиттере выполняют переход по содержащейся в письме ссылке, то есть запрос к внешнему серверу для загрузки файла. Запрос автоматически пересылается сначала на центральный сервер, потом на гейтвей. Гейтвей, установленный в атакуемой локальной сети, подменяет IP-адрес эмиттера на IP-адрес локальной сети банка "X" и пересылает пакет на внешний сервер, возможно, принадлежащий злоумышленнику.In the example above, the following happens. On the bank's local network, "X" receives an email from an unknown sender. The letter contains a link to download the file. The letter is redirected for analysis to an isolated environment installed on the emitter. On the emitter, a transition is made through the link contained in the letter, that is, a request to an external server to download a file. The request is automatically forwarded first to the central server, then to the gateway. The gateway installed in the attacked local network replaces the emitter IP address with the local network IP address of bank "X" and forwards the packet to an external server, possibly belonging to the attacker.
Внешний сервер в полученном пакете определяет IP-адрес как адрес локальной сети банка "X", указанный в качестве отправителя. И высылает в ответ на полученный запрос пакет, содержащий потенциально вредоносный файл. Входящий пакет данных получают на гейтвее и пересылают обратно на эмиттер, но не напрямую, а через шлюз, функции которого выполняет центральный сервер.The external server in the received packet determines the IP address as the local network address of the bank "X" specified as the sender. And in response to the received request, it sends a package containing a potentially malicious file. The incoming data packet is received at the gateway and sent back to the emitter, but not directly, but through the gateway, the functions of which are performed by the central server.
Пересылка пакетов между акторами сети: эмиттером 115, центральным сервером 101 и гейтвеем 125 происходит благодаря туннелированию, переупаковке пакета на нескольких уровнях передачи данных. В предлагаемой технологии реализовано два интерфейса передачи данных поверх интернет-соединения - это Wireguard и GRE. Wireguard и GRE - это и протоколы взаимодействия, и программное обеспечение для реализации данных протоколов. Оба вида программного обеспечения имеют интерфейсы, посредством которых происходит их конфигурация.Forwarding packets between network actors:
Далее данный способ будет описан детально.Next, this method will be described in detail.
Способ состоит из двух стадий: подготовительной и рабочей. На подготовительной стадии происходит настройка интерфейсов и настройка маршрутов между эмиттером 115 и соответствующим ему гейтвеем 125, IP-адреса эмиттера 115 и соответствующего ему гейтвея 125 прописываются в таблицу соседей 102 на центральном сервере 101.The method consists of two stages: preparatory and working. At the preparatory stage, the interfaces are configured and routes are configured between the
Подготовительная стадия 300 представлена на Фиг. 3. Она начинается с шага 310, на котором на центральном сервере, в рассматриваемом примере, на центральном сервере 101, создают два интерфейса: Wireguard и GRE. Для интерфейса GRE указывают, что он работает поверх интерфейса Wireguard. При данной настройке пакеты в настроенной распределенной сети будут инкапсулироваться в следующей очередности: UDP, Wireguard, GRE. Перечисленные действия могут быть выполнены любым общеизвестным образом. На этом шаг 310 завершается и способ переходит к шагу 320.The
На шаге 320 на центральном сервере 101 на интерфейсе Wireguard генерируют приватный ключ. Это может быть сделано любым общеизвестным образом. На этом шаг 320 завершается и способ переходит к шагу 330.At
На шаге 330 на центральном сервере 101 для интерфейса Wireguard с помощью соответствующей команды задают порт слушания, то есть указывают, какой именно порт сервера будет выполнять прослушивание входящих соединений. Это может быть сделано любым общеизвестным образом. На этом шаг 330 завершается и способ переходит к шагу 340.At
На шаге 340 на центральном сервере 101 генерируют конфигурационные файлы для самого сервера, а также для всех эмиттеров и для всех гейтвеев, с которыми должен работать данный центральный сервер. В частности, в рассматриваемом примере конфигурационные файлы генерируют для эмиттера 115 и гейтвея 125.At
В конфигурационный файл центрального сервера для интерфейсов Wireguard и GRE добавляют IP-адреса центрального сервера. Как показано на Фиг. 2, на уровне Wireguard центральный сервер имеет два IP-адреса, причем один его IP-адрес 2!0 предназначен для взаимодействия с гейтвеями, а второй IP-адрес 220 - для взаимодействия с эммитерами. Из Фиг. 2 видно, что в рассматриваемом примере на уровне Wireguard за центральным сервером 101 закреплен IP-адрес 10.100.0.1/17 для взаимодействия с подсетью 230 эмиттеров, имеющей адрес 10.100.128.0/17, в то же время IP-адрес 10.100.128.1/17 закреплен за центральным сервером 101 для взаимодействия с подсетью 240 гейтвеев, имеющей адрес 10.100.0.0/17.The IP addresses of the central server are added to the configuration file of the central server for the Wireguard and GRE interfaces. As shown in FIG. 2, at the Wireguard level, the central server has two IP addresses, and one of its IP addresses 2!0 is intended for interaction with gateways, and the
Следует заметить, что устройства, представляющие собой, например, гейтвей, находящиеся на уровне Wireguard в одной подсети 240, физически могут находиться в разных городах или даже разных странах. Аналогично, эмиттеры, находящиеся на уровне Wireguard в одной подсети 230, могут располагаться в произвольных точках земного шара.It should be noted that devices that are, for example, a gateway located at the Wireguard level in the
Подсети также указывают в конфигурационном файле центрального сервера. Подсети - это списки IP-адресов, из числа которых пирам, то есть эмиттерам и гейтвеям, будут выдаваться IP-адреса при их последующей конфигурации. Указание подсетей в конфигурационном файле центрального сервера определяет возможность центрального сервера получать пакеты от заданной подсети и отправлять или передавать пакеты в заданные подсети. Важно отметить, что эмиттеры и гейтвей относятся к разным подсетям на уровне Wireguard. Как это видно на Фиг. 2, эмиттеры относятся к одной подсети 230, а гейтвей - к другой подсети 240. Выдача центральным сервером разных IP-адресов из непересекающихся подсетей для эмиттеров и гейтвеев на уровне Wireguard позволяет настроить маршруты таким образом, чтобы эмиттеры могли передавать пакеты гейтвеям и не могли передавать пакеты другим эмиттерам. По этой же причине и гейтвей будут способны передавать пакеты эмиттерам и не будут способны передавать пакеты другим гейтвеям. Это нужно для того, чтобы разные владельцы разных локальных сетей, например, конкурирующие банки, не могли получать доступ к локальной сети друг друга и производить натирование через гейтвей конкурентов.Subnets are also specified in the configuration file of the central server. Subnets are lists of IP addresses from which peers, that is, emitters and gateways, will be assigned IP addresses when they are subsequently configured. Specifying subnets in the configuration file of the central server determines the ability of the central server to receive packets from the specified subnet and send or transmit packets to the specified subnets. It is important to note that emitters and gateways belong to different subnets at the Wireguard level. As seen in FIG. 2, the emitters belong to the
Таким же образом указывают подсети в конфигурационных файлах для эмиттеров и для гейтвеев, причем подсети, указанные в конфигурационных файлах эмиттеров, отличаются от подсетей, указанных в конфигурационных файлах гейтвеев. Также в конфигурационном файле указывают UDP-порт, на котором центральный сервер слушает входящие Wireguard-пакеты.In the same way, subnets are specified in the configuration files for emitters and for gateways, and the subnets specified in the emitter configuration files differ from the subnets specified in the gateway configuration files. The configuration file also specifies the UDP port on which the central server listens for incoming Wireguard packets.
Перечисленные действия могут быть выполнены любым общеизвестным образом. На этом шаг 340 завершается и способ переходит к шагу 350.The listed actions can be performed in any well-known manner. This completes
На шаге 350 выполняют настройку маршрутов на центральном сервере 101, на уровне Wireguard, а также на уровне GRE. Притом уровень GRE в рамках данного решения работает поверх уровня Wireguard, который, в свою очередь, работает поверх уровня UDP. Это значит, что все пакеты сначала обрабатываются на уровне UDP, затем на уровне Wireguard, и лишь затем обрабатываются на уровне GRE.In
Как показано на Фиг. 2, на уровне Wireguard маршруты на центральном сервере 101 настраивают таким образом, чтобы все пакеты, которые отсылает центральный сервер 101 в подсеть эмиттеров 230, были отправлены с IP-адреса 220. Аналогично, все пакеты, которые центральный сервер 101 отсылает в подсеть гейтвеев 240, должны быть отправлены с IP-адреса 210.As shown in FIG. 2, at the Wireguard level, the routes on the
На уровне GRE (не показан на Фиг. 2) центральному серверу 101 назначают один IP-адрес, по одному адресу назначают каждому из гейтвеев и эмиттеров, причем на этом уровне IP-адреса гейтвеев и эмиттеров не разнесены в разные подсети, все они находятся в одной подсети.At the GRE level (not shown in Fig. 2), the
Вышеперечисленные действия могут быть выполнены любым общеизвестным образом. На этом шаг 350 завершается и способ переходит к шагу 360.The above actions can be performed in any well-known way. This ends
На шаге 360 выполняют регистрацию пиров, то есть эмиттеров и гейтвеев, посредством отправки запросов к управляющему интерфейсу. Управляющий интерфейс - это интерфейс взаимодействия для управления пирами в распределенной сети 100: он позволяет выполнять их добавление, удаление, а также получать информацию о текущих пирах. В процессе регистрации каждого пира через управляющий интерфейс на центральном сервере 101 выполняют следующие действия:In
- генерируют приватный ключ для данного пира,- generate a private key for a given peer,
- генерируют на основании приватного ключа публичный ключ,- generate a public key based on the private key,
- аллоцируют (резервируют) IP-адреса для пира на уровне Wireguard,- allocate (reserve) IP addresses for a peer at the Wireguard level,
- добавляют пары из публичного ключа и IP-адреса пира в интерфейс Wireguard,- add pairs from the public key and the peer's IP address to the Wireguard interface,
- аллоцируют (резервируют) IP-адреса для пира на уровне GRE,- allocate (reserve) IP addresses for a peer at the GRE level,
- добавляют соответствия IP-адресов пира на уровнях Wireguard и GRE в таблицу соседей,- add matches of peer IP addresses at the Wireguard and GRE levels to the table of neighbors,
- добавляют в базу данных соответствия публичного ключа IP-адресов на уровнях Wireguard и GRE.- add correspondence of the public key of IP addresses to the database at the Wireguard and GRE levels.
Перечисленные действия могут быть выполнены посредством запуска на сервере, например, по предварительно заданному расписанию, конфигурационного файла.The listed actions can be performed by running on the server, for example, according to a predetermined schedule, a configuration file.
Ответом на запрос о регистрации пира на центральном сервере является конфигурационный файл, содержащий приватный ключ, пару IP-адресов на уровнях Wireguard и GRE, информацию о центральном сервере, включающую его публичный ключ, а также адрес и UDP-порт, на котором центральный сервер слушает входящие Wireguard-пакеты. Получив конфигурационный файл, его любым общеизвестным образом передают на подлежащий конфигурации пир по закрытому каналу связи. На этом шаг 360 завершается и способ переходит к шагу 370.The response to the request to register a peer on the central server is a configuration file containing a private key, a pair of IP addresses at the Wireguard and GRE levels, information about the central server, including its public key, as well as the address and UDP port on which the central server is listening incoming Wireguard packets. Having received the configuration file, it is transmitted in any well-known way to the peer to be configured via a closed communication channel. This completes
На шаге 370 выполняют конфигурацию пиров, то есть эмиттеров и гейтвеев. Для этого запускают посредством скрипта утилиту wg-quick, которая поднимает интерфейс WireGuard и настраивает его в соответствии с установками, сохраненными в конфигурационном файле.In
Ниже представлен пример конфигурационного файла эмиттера, такого, например, как эмиттер 115.Below is an example emitter configuration file, such as
Далее представлен пример конфигурационного файла гейтвея, такого, например, как гейтвей 125.The following is an example of a gateway configuration file, such as
В процессе применения конфигурационного файла эмиттера посредством утилиты wg-quick выполняют следующие действия:In the process of applying the emitter configuration file using the wg-quick utility, the following actions are performed:
- создают Wireguard-интерфейс,- create a Wireguard interface,
- присваивают ему приватный ключ, указанный в конфигурационном файле,- assign it a private key specified in the configuration file,
- присваивают IP-адрес интерфейсу Wireguard,- assign an IP address to the Wireguard interface,
- добавляют в качестве пира центральный сервер 101, расположенный по указанному в конфигурационном файле IP-адресу 220, с указанным публичным ключом и разрешенной подсетью IP-адресов;- add as a peer the
- создают GRE-интерфейс, работающий поверх Wireguard-интерфейса, созданного ранее.- create a GRE interface that runs on top of the Wireguard interface created earlier.
- присваивают GRE-интерфейсу указанный IP-адрес,- assign the specified IP address to the GRE interface,
- добавляют в таблицу соседей соответствие между IP-адресами центрального сервера на уровнях Wireguard и GRE,- add to the table of neighbors a correspondence between the IP addresses of the central server at the Wireguard and GRE levels,
- устанавливают маршруты до всех адресов в подсети GRE через шлюз (центральный сервер 101),- establish routes to all addresses in the GRE subnet through the gateway (central server 101),
- добавляют правила файрволла (firewall), разрешающие прием и отправку пакетов через созданные Wireguard- и GRE-интерфейсы- add firewall rules to allow packets to be received and sent through the created Wireguard and GRE interfaces
Для конфигурации эмиттера запуск конфигурационного файла выполняется на том вычислительном устройстве, например сервере, которое исполняет роль эмиттера 115.To configure the emitter, the configuration file is run on the computing device, such as a server, that plays the role of the
Процесс конфигурации гейтвея выглядит аналогичным образом, но при этом добавляют еще один шаг: добавляют правила firewall, осуществляющего натирование пакетов, пришедших из подсети GRE. При конфигурации гейтвея запуск конфигурационного файла выполняют в локальной сети клиента 122, на том вычислительном устройстве, например ноутбуке, которое исполняет роль гейтвея 125.The gateway configuration process looks similar, but one more step is added: they add firewall rules that nat packets that come from the GRE subnet. When configuring the gateway, the configuration file is launched in the local network of the
Все перечисленные шаги могут быть выполнены любым способом, известным специалистам в предметной области.All of the above steps can be performed in any manner known to those skilled in the art.
На этом шаг 370 и подготовительная стадия 300 заканчиваются. Способ переходит к выполнению рабочей стадии 400.At this
Рабочая стадия 400 будет описана применительно к Фиг. 4А на примере отправки запроса от эмиттера 115 на внешний сервер 130 и применительно к Фиг. 4Б на примере получения ответа от внешнего сервера 130 на эмиттере 115. Такая последовательность приведена исключительно для примера и не ограничивает описываемое решение; специалисту в предметной области понятно, что в различных ситуациях очередность запросов и ответов может быть иной.
Рабочая стадия 400 начинается, как показано на Фиг. 4А, с выполнения шага 410. На шаге 410 передают пакет исходящего трафика от эмиттера 115 на центральный сервер 101. Этот пакет исходящего трафика содержит полезную нагрузку, которая предназначена для внешнего сервера 130. На эмиттере 115 перед передачей пакета выполняют его инкапсуляцию, таким образом, что пакет имеет следующий вид:
- уровень полезной нагрузки;- payload level;
- уровень GRE: в качестве IP-адреса отправителя указывают IP-адрес эмиттера на уровне GRE, в качестве IP-адреса получателя указывают IP-адрес внешнего сервера;- GRE level: as the source IP address, specify the emitter IP address at the GRE level; as the recipient IP address, specify the IP address of the external server;
- уровень Wireguard: в качестве IP-адреса отправителя указывают IP-адрес эмиттера на уровне Wireguard, в качестве IP-адреса получателя указывают IP-адрес гейтвея на уровне Wireguard;- Wireguard level: as the source IP address, specify the emitter IP address at the Wireguard level; as the recipient IP address, specify the gateway IP address at the Wireguard level;
- уровень UDP. В UDP пакетах в заголовке в поле отправителя указывают WireGuard-порт эмиттера, в поле получателя указывают WireGuard-порт центрального сервера.- UDP layer. In UDP packets, in the header, the sender field indicates the WireGuard port of the emitter, and the receiver field indicates the WireGuard port of the central server.
- уровень Интернет-соединения: в качестве IP-адреса отправителя указывают локальный IP-адрес эмиттера, в качестве IP-адреса получателя указывают публичный IP-адрес центрального сервера.- Internet connection level: as the source IP address, indicate the local IP address of the emitter; as the recipient IP address, indicate the public IP address of the central server.
В одном из возможных способов реализации, как это показано на Фиг. 1, эмиттер 115 может находиться за натом 116 и не иметь своего публичного IP-адреса. В этом случае в пакете на уровне Интернет-соединения в качестве IP-адреса отправителя указывают локальный IP-адрес эмиттера 115. А при отправке пакета выполняют натирование и локальный IP-адрес эмиттера 115, указанный в качестве IP-адреса отправителя на уровне Интернет-соединения, заменяют на публичный IP-адрес эмиттера.In one possible implementation, as shown in FIG. 1,
В другом возможном способе реализации эмиттер 115 может иметь публичный IP-адрес. В этом случае данный публичный IP-адрес указывается в качестве отправителя на уровне Интернет-соединения и натирование не выполняется.In another possible implementation,
Все перечисленные действия выполняют любым общеизвестным образом.All of the above actions are performed in any well-known way.
На этом шаг 410 завершается и способ переходит к шагу 415.This completes
В рассматриваемом примере на эмиттере 115 выполняют анализ данных, полученных из локальной сети (122, в соответствии с Фиг. 1) банка "X". Электронное письмо, направленное неизвестным отправителем сотруднику банка "X", перенаправляют для анализа в компанию "G", а именно в изолированную среду на эмиттере 115. На эмиттере 115 выполняют переход по ссылке (запрос) на внешний сервер 130, причем выполнение этого запроса может означать загрузку с сервера 130 потенциально вредоносного файла. Для того, чтобы переданный в ответ на запрос потенциально вредоносный файл с внешнего сервера 130 поступил на эмиттер 115, выполненный с возможностью анализа подобных файлов, а не на машину пользователя в локальной сети 122, данный запрос к внешнему серверу 130 формируют на эмиттере 115.In this example,
На шаге 415 на центральном сервере 101 получают пакет данных от эмиттера 115. В ответ на получение пакета на центральном сервере 101 выполняют его декапсуляцию и идентифицируют IP-адрес получателя на уровне Wireguard. Иными словами, на шаге 415 на центральном сервере компании "G" получают очередной пакет данных от того эмиттера, который ранее был конфигурирован для анализа подозрительного трафика, поступающего из локальной сети 122 банка "X".At
Все перечисленные действия выполняют любым общеизвестным образом.All of the above actions are performed in any well-known way.
На этом шаг 415 завершается и способ переходит к выполнению шага 420.This completes
На шаге 420 в ответ на обнаружение, на шаге 415, в качестве получателя на уровне Wireguard IP-адреса гейтвея 125, выполняют пересылку пакета с центрального сервера 101 на гейтвей 125. На центральном сервере 101 выполняют инкапсуляцию пакета таким образом, что пакет имеет следующий вид:In
- уровень полезной нагрузки;- payload level;
- уровень GRE: в качестве IP-адреса отправителя указывают IP-адрес эмиттера 115 на уровне GRE, в качестве IP-адреса получателя указывают IP-адрес внешнего сервера 130;- GRE level: as the IP address of the sender indicate the IP address of the
- уровень Wireguard: в качестве IP-адреса отправителя указывают IP-адрес эмиттера 115 на уровне Wireguard, в качестве IP-адреса получателя указывают IP-адрес гейтвея 125 на уровне Wireguard;- Wireguard level: as the source IP address, specify the
- уровень Интернет-соединения: в качестве IP-адреса отправителя указывают публичный IP-адрес центрального сервера 101, в качестве IP-адреса получателя указывают IP-адрес гейтвея 125.- Internet connection level: the public IP address of the
В одном из возможных способов реализации, как это показано на Фиг. 1, гейтвей 125 может находиться за натом 121 и не иметь своего публичного IP-адреса. В этом случае в пакете на уровне Интернет-соединения в качестве IP-адреса получателя указывают публичный IP-адрес гейтвея 125 и при передаче пакета выполняют денатирование.In one possible implementation, as shown in FIG. 1,
В другом возможном способе реализации гейтвей 125 может иметь публичный IP-адрес. В этом случае данный публичный IP-адрес указывается в качестве отправителя на уровне Интернет-соединения и денатирование не выполняется.In another possible implementation,
Иными словами, на шаге 420 на центральном сервере компании "G" перенаправляют запрос, полученный от эмиттера, который был конфигурирован для работы с подозрительным трафиком банка "X", на гейтвей банка "X", находящийся в локальной сети 122 этого банка, для подмены IP-адреса.In other words, at
Все перечисленные действия выполняют любым общеизвестным образом.All of the above actions are performed in any well-known way.
На этом шаг 420 завершается и способ переходит к шагу 425.This completes
На шаге 425 на гейтвее 125 получают пакет от центрального сервера 101. В ответ на получение пакета на гейтвее 125 выполняют декапсуляцию, идентифицируют IP-адрес получателя на уровне Wireguard, а также идентифицируют IP-адрес получателя на уровне GRE.In
В приведенном примере на шаге 420 на гейтвее 125, находящемся в локальной сети 122 банка "X", получают от центрального сервера 101 компании "G" данные, содержащие как полезную нагрузку (запрос к внешнему серверу 130), так и IP-адреса получателя и отправителя на уровнях Wireguard и GRE, а также идентифицируют эти адреса.In the above example, at
Все перечисленные действия выполняют любым общеизвестным образом.All of the above actions are performed in any well-known way.
На этом шаг 425 завершается и способ переходит к выполнению шага 430.This completes
В ответ на обнаружение, на шаге 425, в качестве получателя на уровне GRE IP-адреса внешнего сервера 130, на шаге 430 выполняют пересылку пакета с гейтвея 125 на внешний сервер 130. При этом на гейтвее 125 выполняют натирование пакета таким образом, что пакет имеет следующий вид:In response to the discovery, at
- уровень полезной нагрузки;- payload level;
- уровень Интернет-соединения: в качестве IP-адреса отправителя указывают IP-адрес гейтвея 125, в качестве IP-адреса получателя указывают IP-адрес внешнего сервера 130.- Internet connection level: the IP address of the
В одном из возможных способов реализации гейтвей 125 может находиться за натом 126 и не иметь своего публичного IP-адреса. В этом случае в пакете на уровне Интернет-соединения в качестве IP-адреса получателя указывают локальный IP-адрес гейтвея 125 и при передаче пакета выполняют натирование.In one possible implementation,
В другом возможном способе реализации гейтвей 125 может иметь публичный IP-адрес. В этом случае данный публичный IP-адрес указывается в качестве отправителя на уровне Интернет-соединения и натирование не выполняется.In another possible implementation,
Иными словами, на шаге 425 натирование выполняется на гейтвее 125, установленном в локальной сети 122 банка "X". В результате натирования в пакете вместо IP-адреса компании "G", на эмиттере 115 которой был сформирован исходный запрос, будет указан IP-адрес гейтвея 125, принадлежащий адресному пространству локальной сети 122 банка "X". Таким образом, внешний вредоносный сервер 130 при получении пакета идентифицирует IP-адрес гейтвея 125 как принадлежащий атакуемой локальной сети 122 и произведет ожидаемое воздействие, например, вышлет потенциально вредоносный контент, такой как вредоносный файл.In other words, at
Все перечисленные действия на данном шаге выполняют любым общеизвестным образом.All of the listed actions at this step are performed in any well-known way.
На этом шаг 430 завершается и способ переходит к шагу 435, описанному далее со ссылкой на Фиг. 4Б.This completes
На шаге 435 гейтвей 125 получает пакет входящего трафика от внешнего сервера 130. Пакет входящего трафика имеет следующий вид:In
- уровень полезной нагрузки;- payload level;
- уровень Интернет-соединения: в качестве IP адреса отправителя указан IP-адрес внешнего сервера 130, в качестве IP-адреса получателя указан IP-адрес гейтвея 125.- Internet connection level: the IP address of the
Получение пакета выполняется любым общеизвестным способом.The package is received in any well-known way.
После получения пакета шаг 435 завершается и способ переходит к шагу 440.Upon receipt of the packet,
На шаге 440 пакет, полученный на шаге 435, пересылают на центральный сервер 101. С этой целью на гейтвее 125 выполняют запрос к таблице маршрутизации и получают IP-адрес шлюза на уровне GRE, то есть IP-адрес центрального сервера 101 на уровне GRE. Далее выполняют обращение к таблице соседей для получения IP-адреса 210 центрального сервера 101 на уровне WireGuard. Все эти действия выполняются общеизвестным образом, штатными средствами используемой на гейтвее 125 операционной системы.At
После пересылки пакета шаг 440 завершается и способ переходит к шагу 445.After the packet has been forwarded, step 440 ends and the method proceeds to step 445.
На шаге 445 полученный пакет пересылают с центрального сервера 101 на эмиттер 115. Для этого пакет инкапсулируют таким образом, что он имеет следующий вид:At
- уровень полезной нагрузки;- payload level;
- уровень GRE: в качестве IP-адреса отправителя указывают IP-адрес внешнего сервера 130, в качестве IP-адреса получателя указывают IP-адрес эмиттера 115 на уровне GRE;- GRE level: as the IP address of the sender indicate the IP address of the
- уровень Wireguard: в качестве IP-адреса отправителя указывают IP-адрес гейтвея 125 на уровне Wireguard, в качестве IP-адреса получателя указывают IP-адрес эмиттера 115 на уровне Wireguard;- Wireguard level: as the source IP address, specify the IP address of the
- уровень Интернет-соединения: в качестве IP-адреса отправителя указывают IP-адрес центрального сервера 101, в качестве IP-адреса получателя указывают публичный IP-адрес эмиттера 115.- Internet connection level: as the source IP address, specify the IP address of the
Все перечисленные действия на данном шаге выполняют любым общеизвестным образом.All of the listed actions at this step are performed in any well-known way.
В приведенном примере на шагах 435-445 поступивший с внешнего сервера 130 потенциально вредоносный файл, будет получен гейтвеем 125 и переслан в полигон 110 компании "G" для анализа, для чего он будет сначала отправлен с гейтвея 125 на центральный сервер 101, а затем с центрального сервера 101 на эмиттер 115.In the above example, at steps 435-445, a potentially malicious file received from the
На этом шаг 445 завершается и способ переходит к шагу 450.This completes
На шаге 450 пакет входящего трафика получают на эмиттере 115 и выполняют анализ содержимого полезной нагрузки. В частности, в одном из возможных вариантов реализации анализ может подразумевать детонацию (срабатывание) вредоносного файла, содержавшегося в полезной нагрузке пакетов, выявление и изучение действий, выполняемых запустившимся файлом, и т.д.In
В приведенном примере реализации потенциально вредоносный файл получают на эмиттере 115 и запускают в изолированной среде. В изолированной среде может выполняться анализ загруженного файла, что позволяет определить, является ли он вредоносным или безопасным. Далее, если анализ показал, что файл является безопасным, то электронное письмо, в котором была получена ссылка на загрузку данного файла, может быть помечено как безопасное и доставлено адресату, сотруднику компании "X". Все эти действия могут выполняться любыми способами, хорошо известными специалисту в предметной области.In the exemplary implementation, a potentially malicious file is received at the
На этом шаг 450 и способ 400 завершаются.This completes
В предпочтительном варианте реализации центральный сервер 101 и эмиттер 115 могут быть реализованы как вычислительное устройство, в частности, как сервер, мейнфрейм или как облачная инфраструктура, то есть совокупность (кластер) серверов. Возможны также альтернативные варианты реализации, в которых центральный сервер 101 и эмиттер 115 могут быть реализованы как любые другие вычислительные устройства, способные выполнять описанные выше функции.In a preferred embodiment, the
Специалисту будет очевидно, что гейтвей 125 может быть реализован как любое вычислительное устройство, находящееся в локальной сети клиента и позволяющее реализовать описанные выше функции маршрутизации, например, как персональный компьютер, мейнфрейм, сервер, серверный кластер, тонкий клиент, смартфон, ноутбук, планшет и так далее.It will be obvious to a specialist that the
На Фиг. 5 далее будет представлена общая схема вычислительного устройства 500, обеспечивающего обработку данных, необходимую для реализации заявленного решения.On FIG. 5, the general scheme of the
В общем случае устройство 500 содержит такие компоненты, как: один или более процессоров 501, по меньшей мере одну память 502, средство хранения данных 503, интерфейсы ввода/вывода 504, средства В/В 505, средства передачи данных 506.In general,
Процессор 501 устройства выполняет основные вычислительные операции, необходимые для функционирования устройства 500 или функциональности одного или более его компонентов. Процессор 501 исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти 502.The device processor 501 performs the basic computing operations necessary for the operation of the
Память 502, как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемую функциональность устройства.The memory 502 is typically in the form of RAM and contains the necessary software logic to provide the required functionality of the device.
Средство хранения данных 503 может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Btue-Ray дисков) и т.п. Средство хранения данных 503 позволяет выполнять долгосрочное хранение различного вида информации, например, вышеупомянутых конфигурационных файлов, промежуточных данных, программных машиночитаемых инструкций, предназначенных для исполнения процессором 501, баз данных и т.п.The storage medium 503 may be in the form of HDD, SSD disks, raid array, network storage, flash memory, optical storage media (CD, DVD, MD, Btue-Ray disks), etc. The data storage means 503 allows long-term storage of various kinds of information such as the aforementioned configuration files, intermediate data, machine-readable program instructions to be executed by the processor 501, databases, and the like.
Интерфейсы 504 представляют собой стандартные средства для подключения и работы, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, FireWire и т.п.504 interfaces are standard means for connection and operation, such as USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, FireWire, etc.
Выбор интерфейсов 504 зависит от конкретного исполнения устройства 500, которое может представлять собой персональный компьютер, мейнфрейм, сервер, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п.The choice of interfaces 504 depends on the specific implementation of the
В качестве средств В/В данных 505 может использоваться клавиатура. Помимо клавиатуры, в составе средств В/В данных также может использоваться: джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п.A keyboard may be used as data I/O means 505. In addition to the keyboard, the following I/O devices can also be used: joystick, display (touchscreen), projector, touchpad, mouse, trackball, light pen, speakers, microphone, etc.
Средства сетевого взаимодействия 506 выбираются из устройств, обеспечивающий сетевой прием и передачу данных, например, Ethernet карту, WLAN/Wi-Fi модуль, Bluetooth модуль, BLE модуль, NFC модуль, IrDa, RF1D модуль, GSM модем и т.п. С помощью средств 506 обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM.Means of networking 506 are selected from devices that provide network reception and transmission of data, for example, an Ethernet card, WLAN/Wi-Fi module, Bluetooth module, BLE module, NFC module, IrDa, RF1D module, GSM modem, etc. With the help of means 506, data exchange is provided over a wired or wireless data transmission channel, for example, WAN, PAN, LAN (LAN), Intranet, Internet, WLAN, WMAN or GSM.
Компоненты устройства 500 сопряжены посредством общей шины передачи данных 510.The components of the
В настоящих материалах заявки были представлены варианты предпочтительного раскрытия осуществления заявленного технического решения, которые не должны использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.In these application materials, options for the preferred disclosure of the implementation of the claimed technical solution were presented, which should not be used as limiting other, private embodiments of its implementation, which do not go beyond the requested scope of legal protection and are obvious to specialists in the relevant field of technology.
Claims (40)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US18/106,597 US20230388275A1 (en) | 2022-05-27 | 2023-02-07 | Method and a system of tunneling traffic in a distributed network for detecting malware |
| NL2034309A NL2034309A (en) | 2022-05-27 | 2023-03-10 | Method and a system of tunneling traffic in a distributed network for detecting malware |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2797264C1 true RU2797264C1 (en) | 2023-06-01 |
Family
ID=
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086367A1 (en) * | 2003-10-20 | 2005-04-21 | Transwitch Corporation | Methods and apparatus for implementing multiple types of network tunneling in a uniform manner |
| US20150098465A1 (en) * | 2013-10-07 | 2015-04-09 | Level 3 Communications, Llc | Redirecting Network Traffic Based on Content |
| RU2595968C2 (en) * | 2011-09-09 | 2016-08-27 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Control activation templates |
| US20160357957A1 (en) * | 2015-06-05 | 2016-12-08 | Cisco Technology, Inc. | System and method of determining malicious processes |
| US20180332005A1 (en) * | 2014-09-30 | 2018-11-15 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter ip and peer-checking evasion techniques |
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086367A1 (en) * | 2003-10-20 | 2005-04-21 | Transwitch Corporation | Methods and apparatus for implementing multiple types of network tunneling in a uniform manner |
| RU2595968C2 (en) * | 2011-09-09 | 2016-08-27 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Control activation templates |
| US20150098465A1 (en) * | 2013-10-07 | 2015-04-09 | Level 3 Communications, Llc | Redirecting Network Traffic Based on Content |
| US20180332005A1 (en) * | 2014-09-30 | 2018-11-15 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter ip and peer-checking evasion techniques |
| US20160357957A1 (en) * | 2015-06-05 | 2016-12-08 | Cisco Technology, Inc. | System and method of determining malicious processes |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112422481B (en) | Trapping method, system and forwarding equipment for network threats | |
| US9571523B2 (en) | Security actuator for a dynamically programmable computer network | |
| US9942130B2 (en) | Selective routing of network traffic for remote inspection in computer networks | |
| EP3021534B1 (en) | A network controller and a computer implemented method for automatically define forwarding rules to configure a computer networking device | |
| US10404747B1 (en) | Detecting malicious activity by using endemic network hosts as decoys | |
| US20150326592A1 (en) | Emulating shellcode attacks | |
| US8498295B1 (en) | Modular lightweight tunneling mechanisms for transitioning between network layer protocols | |
| US9917928B2 (en) | Network address translation | |
| US8250229B2 (en) | Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address | |
| US20070073858A1 (en) | Security of virtual computing platforms | |
| Aldabbas et al. | A novel mechanism to handle address spoofing attacks in SDN based IoT | |
| CN114070577A (en) | Large scale localization of cloud-based security services | |
| US20210273915A1 (en) | Multi-access interface for internet protocol security | |
| US9716688B1 (en) | VPN for containers and virtual machines in local area networks | |
| US11539722B2 (en) | Security threat detection based on process information | |
| EP1563664A1 (en) | Management of network security domains | |
| US20030131258A1 (en) | Peer-to-peer communication across firewall using internal contact point | |
| US20130262652A1 (en) | Articles of manufacture, service provider computing methods, and computing service systems | |
| AU2021269297A1 (en) | Systems and methods for providing a ReNAT communications environment | |
| CN110995763B (en) | Data processing method and device, electronic equipment and computer storage medium | |
| Kang et al. | Defense technique against spoofing attacks using reliable ARP table in cloud computing environment | |
| RU2797264C1 (en) | Method and system for tunnelling traffic in a distributed network to detonate malicious software | |
| US20220385631A1 (en) | Distributed traffic steering and enforcement for security solutions | |
| US20230388275A1 (en) | Method and a system of tunneling traffic in a distributed network for detecting malware | |
| Tsugawa et al. | User-level virtual network support for sky computing |