JP2023541643A - ローミングdnsファイアウォール - Google Patents

ローミングdnsファイアウォール Download PDF

Info

Publication number
JP2023541643A
JP2023541643A JP2023516818A JP2023516818A JP2023541643A JP 2023541643 A JP2023541643 A JP 2023541643A JP 2023516818 A JP2023516818 A JP 2023516818A JP 2023516818 A JP2023516818 A JP 2023516818A JP 2023541643 A JP2023541643 A JP 2023541643A
Authority
JP
Japan
Prior art keywords
dns
network
identifier
roaming
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023516818A
Other languages
English (en)
Inventor
ホーランド,マシュー
Original Assignee
フィールド・エフェクト・ソフトウェア・インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by フィールド・エフェクト・ソフトウェア・インコーポレイテッド filed Critical フィールド・エフェクト・ソフトウェア・インコーポレイテッド
Publication of JP2023541643A publication Critical patent/JP2023541643A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/66Trust-dependent, e.g. using trust scores or trust relationships
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/67Risk-dependent, e.g. selecting a security level depending on risk profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Devices For Executing Special Programs (AREA)
  • Computer And Data Communications (AREA)

Abstract

モバイルコンピューティングデバイス上に提供されるエンドポイントエージェントによる実行のために、ローミングドメインネームシステム(DNS)ファイアウォールが提供される。モバイルコンピュータデバイスは、未知の、信頼できない、又は検証されていないネットワークに定期的に接続しているので、モバイル労働人口の増加は、セキュリティの課題を提示する。これらのネットワークは、トラフィックを安全でないホストにリダイレクトするために利用され得る悪意のあるDNSサーバにURL解決要求をルーティングすることによって、組織にセキュリティリスクを与える可能性がある。モバイルコンピューティングデバイス上のローミングDNSファイアウォールは、ネットワークへのアクセスを監視して、関連付けられたネットワークパラメータに基づいて、ネットワークが安全であるか安全でないかを判定する。安全でないネットワークの判定に応答して、DNS要求が悪意のあるDNSホストによって処理されないことを保証するために、DNS識別子が修正されるか、又は信頼されたDNSに信頼させる。

Description

(関連出願の相互参照)
本出願は、2020年9月15日に出願された米国特許仮出願第63/078,848号に対する優先権を主張し、その全体が参照により本明細書に組み込まれる。
(発明の分野)
本開示は、ドメインネームシステム(domain name system、DNS)に関し、特に、安全でないネットワークへのクライアントコンピュータDNSの関連付けに関する。
ドメインネームシステム(DNS)は、要求されたホストが意図された宛先に解決されることを保証するために、ドメイン名アドレスのソースを信頼することに依拠する。クライアントコンピュータは、DNSサーバに依拠して、ユニバーサルリソースロケータ(Universal Resource Locator、URL)をIPアドレス及び関連するリソースに解決する。DNSサーバは、通常、信頼できると想定されるが、セキュアな企業ネットワーク外のモバイルワーカーの増加とともに、「在宅勤務」移行は、従業員デバイスがローミングし、セキュアでない外部ネットワークにアクセスすることをもたらした。安全でない、未知の、又は検証されていないネットワークは、仕事関連タスクを実行するためにコーヒーショップ、レストラン、ホテルなどで提供される無料Wi-Fiネットワークなどのゲストネットワークの形態をとることがある。クライアントコンピュータが新しいネットワークに接続するとき、ダイナミックホスト制御プロトコル(Dynamic Host Control Protocol、DHCP)は、インターネットプロトコル(Internet Protocol、IP)アドレスをデバイスに割り当て、ゲートウェイ及びDNSルーティング情報を提供する。DHCPを利用することが必要であるため、割り当てられたDNSが信頼できない可能性があり、ユーザデータを有害なサーバ又はウェブサイトにリダイレクトするために利用されることがあり、したがって、中間者攻撃の可能性が生じる。従来のファイアウォール機能では、ローカルホストIPがDNSサーバとして一般的に利用されるので、潜在的に悪意のあるDNSサーバを区別することができず、IPアドレスのみに基づいて悪意のあるDNSサーバを識別する能力がない。仮想プライベートネットワーク(virtual private network、VPN)は、このタイプの攻撃を低減することができるが、VPNへの接続を確立する前にユーザデータが潜在的に露出されないように保護することが問題であるため、一定のVPN接続を維持することは問題である。したがって、ローミングユーザが新しいネットワークに接続するとき、悪意のあるDNSサーバに接続される機会が存在する。
したがって、ネットワーク化されたコンピュータデバイスをローミングするための改善されたDNSファイアウォール保護を可能にするシステム及び方法は、依然として非常に望ましい。
本開示の更なる特徴及び利点は、添付の図面と組み合わせて、以下の詳細な記載から明らかになるであろう。
ローミングDNSファイアウォール機能を含むシステムの一実施形態の表現を示す。 エンドポイントエージェント動作の動作方法の一例を示す。 エンドポイントエージェントによってセキュアなDNSアドレスを適用する方法の一例を示す。 ローミングDNSファイアウォールによるDNSオーバーライド保護の方法の一例を示す。 代替的なDNSオーバーライド保護の方法の一例を示す。 DNSファイアウォール配備管理の方法の一例を示す。
添付の図面を通して、同様の特徴は同様の参照番号によって識別されることに留意されたい。
一実施形態では、モバイルコンピューティングデバイス上でローミングドメインネームシステム(DNS)ファイアウォールを起動する方法が提供され、この方法は、
モバイルコンピューティングデバイスのネットワークインターフェース上で新しいネットワークへのネットワーク接続を検出することと、
新しいネットワークに関連付けられた複数のネットワークパラメータを特徴付けることと、
複数のネットワークパラメータの特徴付けに基づいて安全なネットワークプロファイルを受信することと、
受信された安全なネットワークプロファイルからのDNS識別子で、ネットワークインターフェースに関連付けられたDNS識別子を修正することと、を含む。
上記で概説した方法の更なる実施形態では、安全なネットワークプロファイルは1つ以上の信頼できるDNS識別子を識別し、安全なネットワークプロファイルはリモート管理サーバから受信され、ローミングDNSファイアウォールはモバイルコンピューティングデバイス上で実行中のセキュリティエージェントによって提供される。
上記で概説した方法の更なる実施形態では、DNS識別子は、特徴付けられた複数のネットワークパラメータが安全でないと判定されたときに修正される。
上記で概説した方法の更なる実施形態では、複数のネットワークパラメータの特徴付けは、ネットワークタイプ、ネットワーク名、Wi-Fi BBSID、プライマリドメイン、検索ドメインエントリ、現在のIPv4 DNSエントリ、及び現在のIPv6 DNSエントリを含む群から選択される1つ以上のパラメータに基づいて、安全ではない。
上記で概説した方法の更なる実施形態では、本方法は、DNS識別子が成功裏に修正されたことを検証することを更に含む。
上記で概説した方法の更なる実施形態では、本方法は、特徴付けられた複数のネットワークパラメータに基づいて安全なネットワークプロファイルに対する要求をリモートサーバに送信することを更に含む。
上記で概説した方法の更なる実施形態では、ローミングDNSファイアウォールは、モバイルコンピューティングデバイス上で実行中のエンドポイントエージェントによって提供される。
上記で概説した方法の更なる実施形態では、DNS識別子を修正することは、
安全なネットワークプロファイルからDNSレジストリ値を構築することと、
ネットワークインターフェースカード(network interface card、NIC)汎用一意識別子(Universally Unique Identifier、UUID)にDNSレジストリ値を適用することと、
新しいネットワークから切断することと、
セキュリティエージェントをシャットダウンすることと、
新しいネットワークを再接続することと、
エンドポイントエージェントを開始することと、
レジストリDNS値が維持されていることを検証することと、を含む。
上記で概説した方法の更なる実施形態では、レジストリDNS値が変更されている場合、方法は、失敗を報告することを更に含む。
上記で概説した方法の更なる実施形態では、本方法は、安全なDNS識別子が維持されていることを判定するために、DNS識別子を定期的にポーリングすることを更に含む。
上記で概説した方法の更なる実施形態では、本方法は、
パラメータ変更を識別するために、複数のネットワークパラメータに関連付けられたレジストリを監視することと、
カーネル変更通知を受信するか、又は特定のレジストリデータへの変更をポーリングすることによって受信することと、
カーネル変更通知がDNS識別子に関連付けられているかどうかを検証することと、
カーネル変更がDNS識別子に関連付けられているとき、DNSオーバーライドをロギングすることと、を含む。
上記で概説した方法の更なる実施形態では、DNS識別子は、信頼できるDNSに関連付けられる。
上記で概説した方法の更なる実施形態では、DNSローミングファイアウォールは、信頼できるネットワーク上では非アクティブ化される。
上記で概説した方法の更なる実施形態では、複数のネットワークパラメータは、ダイナミックホストコンフィギュレーションプロトコル(Dynamic Host Configuration Protocol、DHCP)メッセージで受信される。
上記で概説された方法の更なる実施形態では、ネットワークインターフェースに関連付けられたDNS識別子を修正することは、関連付けられたレジストリキーで定義される。
また更なる実施形態では、本明細書で概説される方法のうちのいずれか1つのローミングドメインネームシステム(DNS)ファイアウォールを実行するためのモバイルコンピューティングデバイスが提供される。
また更なる実施形態では、プロセッサによって実行されると、本明細書に概説される方法のうちのいずれか1つを行う命令を含む非一時的コンピュータ可読メモリが提供される。
更なる実施形態では、ローミングDNSファイアウォール管理サーバを提供する方法が提供され、この方法は、
それぞれのモバイルコンピューティングデバイス上で実行される複数のエンドポイントエージェントによって観察された複数のネットワーク特徴付けを受信することと、
複数のネットワーク特徴付けから安全なネットワークパラメータを判定することと、
複数のネットワークパラメータから、信頼できるDNS識別子を識別する安全なネットワークプロファイルを生成することと、
安全なネットワークプロファイルを要求側モバイルコンピューティングデバイスに送信することと、を含む。
実施形態は、単に例として、図1~図6を参照して以下に説明される。本明細書に開示される全ての態様、実施形態及び例は、非限定的であることが意図される。
コンピュータが安全でない、検証されていない、又は未知のネットワークに接続しているときに、コンピュータを保護又は実質的に保護するローミングDNSファイアウォール機能が提供される。この機能により、オペレータ(又は顧客)は、DNS値が安全であると考えられる安全なネットワークのセットと、安全なネットワークリストにないネットワークにホストが接続するときに動的に適用されるDNS情報のセットとを定義することができる。
本開示の一態様によれば、モバイルコンピューティングデバイス上でローミングドメインネームシステム(DNS)ファイアウォールを起動する方法が提供され、この方法は、モバイルコンピューティングデバイスのネットワークインターフェース上で新しいネットワークへのネットワーク接続を検出することと、新しいネットワークに関連付けられた複数のネットワークパラメータを特徴付けることと、複数のネットワークパラメータの特徴付けに基づいて安全なネットワークプロファイルを受信することと、受信された安全なネットワークプロファイルからのDNS識別子で、ネットワークインターフェースに関連付けられたDNS識別子を修正することと、を含む。
本開示の更に別の態様によれば、開示される方法のローミングドメインネームシステム(DNS)ファイアウォールを実行するためのモバイルコンピューティングデバイスが提供される。
本開示の更に別の態様によれば、プロセッサによって実行されると、開示された方法を行う命令を含む非一時的コンピュータ可読メモリが提供される。
本開示の別の態様によれば、ローミングDNSファイアウォール管理サーバを提供する方法が提供され、この方法は、それぞれのモバイルコンピューティングデバイス上で実行される複数のエンドポイントエージェントによって観察される複数のネットワーク特徴付けを受信することと、複数のネットワーク特徴付けから安全なネットワークパラメータを判定することと、複数のネットワークパラメータから、信頼できるDNS識別子を識別する安全なネットワークプロファイルを生成することと、安全なネットワークプロファイルを要求側モバイルコンピューティングデバイスに送信することと、を含む。
図1は、ローミングDNSファイアウォール機能を含むシステムの表現を示す。企業ネットワーク110環境では、コンピュータ112、116、及び118などのコンピューティングデバイスは、URL識別子を解決するためにセキュアDNS114「192.1.99.43 192.1.99.44」を利用して、制御され検証された設定で動作することができる。コンピュータ160などのコンピューティングデバイスが、外部の安全でない、検証されていない、又は未知のネットワーク150上でオフィス環境の外でローミングするとき、ダイナミックホストコンフィギュレーションプロトコル(DHCP)を介してネットワークへのアクセスを取得するプロセスは、悪意のある、又は信頼できないDNS152を使用することによって、悪者がユーザトラフィックをリダイレクト又は傍受することを可能にする。コンピュータ160は、メモリ164によって提供される処理機能を実行するためのプロセッサを含む。1つ以上のネットワークインターフェース(NIC)166は、それぞれのネットワークにログオンするときにNIC172のDHCPメッセージを構成することによって、ネットワーク150、110への有線又は無線アクセスを可能にする。エンドポイントエージェント機能170は、コンピュータ160上で実行され、ネットワーク接続の監視を可能にし、管理サーバ120などの管理エンティティにセキュリティ機能を提供する。エンドポイントエージェント170は、新しいネットワーク接続を識別し、ネットワーク接続に関連するパラメータを特徴付けて、ネットワークが安全であるかどうかを判定する。ネットワークの特徴付けは、デバイス160に提供されるDNS IP 152「192.168.1.1 192.168.1.2」が潜在的に安全ではなく、検証された安全なDNS IP 132「8.8.8.8 8.8.8.4」と置換されるべきかどうかの判定を可能にする。特徴付けは、安全なネットワークプロファイル180に関連付けられたパラメータによって定義される。安全なネットワークプロファイルは、管理サーバ120及び関連するストレージ122によって提供され、相対的なネットワークパラメータ、ネットワークタイプ、ネットワーク識別子、ロケーション、ユーザタイプ、デバイスタイプ、又はアプリケーションタイプを定義する。管理サーバ120はまた、エンドポイントエージェントから監査124ログを提供して、DNS値が上書きされたか、又は適用されなかったかを判定することができる。管理サーバ120は、企業又は顧客ネットワーク内でホストされてもよく、分散又はクラウドベースのアーキテクチャを利用してもよい。
以下の例は、開示されたローミングDNSファイアウォール機能が、「在宅勤務」配信又は頻繁に移動するものなどの動的なプロフェッショナル環境において保護を提供することができる場合である。
第1のシナリオは、日々の「在宅勤務」を含み、顧客の従業員は、彼らのホームWi-Fi接続を使用して、彼らのパーソナルラップトップを会社のVPNに定期的に接続する。従業員が会社のVPNに接続すると、彼らのラップトップは、VPNに関連付けられた安全なDNS情報のセットを提供する内部DNS情報を受信する。しかしながら、顧客従業員がVPNから切断すると、ローミングDNSファイアウォールは直ちにオンになる。これは、従業員のワークステーションが、有害なサーバを指すDNSエントリを参照する悪いウェブサイト又は埋め込まれたウェブサイトコンテンツの被害を受けないことを確実にする。
日々の「在宅勤務」における第2のシナリオは、企業VPNが存在しないシナリオである。場合によっては、従業員は仕事用ラップトップを持って1週間に1日オフィスに行き、オフィスネットワークに接続されている間、ネットワーク情報はDNS情報の内部セットを提供する。しかしながら、1週間のうちの他の4日間、顧客は自宅外又はコーヒーショップで仕事する。従業員がオフィスネットワーク以外のネットワークに接続するとき、ローミングDNSファイアウォールは、審査されたDNS情報の承認されたセットを適用し、従業員はそれで保護される。
ローミングDNSファイアウォールが非常に有用である第3のシナリオは、仕事の一部として頻繁に移動する従業員の場合である。特に、他の国では、宛先インターネットの一般的な安全性はほとんど知られていない。ローミングDNSファイアウォールは、顧客ネットワーク管理者が、顧客が移動しているときに有効にされるDNS情報の承認されたセットを構成することを可能にする。
上記のシナリオに加えて、ローミングDNSファイアウォールは、顧客ネットワーク及び分散作業環境に最良に適合するように、様々な程度の保護に使用することができる。ローミングDNSファイアウォールはまた、顧客体験を改善し、追加の保護を提供する追加の特徴を有してもよく、それは以下の通りである。
エンドポイントエージェントが所与のホストのローミングDNSファイアウォールを有効/無効にするたびに、詳細なログが、エンドポイントエージェントによって行われた変更の完全な監査証跡を提供するセキュリティ機器(オンサイト又はクラウドベース)に送信される。この監査能力は、顧客の追加レベルを容易にすることができる。
ローミングDNSファイアウォールの改ざん防止保護も、エンドポイントエージェントによって提供される。これは、従業員がローミングDNSファイアウォール設定を無効にしようと試みた場合、又は潜在的なサイバー脅威が同じことを行おうと試みた場合、それらがブロックされ、ログが内部セキュリティ機器又は外部ホストに送信され得ることを意味する。
既存のソリューションとは異なり、ローミングDNSファイアウォールは、顧客インフラストラクチャ全体にわたって追加のネットワーク機器又は構成の配置を必要としないものである。この機構は、オペレータ(又は自動化を介したバックエンドシステム)が、安全なネットワークと考えられるネットワーク(安全ネットワークリスト)と、安全ネットワークリストにないネットワークにホストが接続されたときに適用されるローミングDNS情報(DNSオーバーライド)のセットとを記述できるようにすることによって機能する。この機構には、安全ネットワークとDNSオーバーライドという2つの記述的な情報セットがある。
安全なネットワーク
定義される必要がある第1のデータオブジェクトは、安全なネットワークである。ネットワークを記述する情報のユニバーサルセットが存在しないので、物理ネットワーク(LAN又はWAN)、Wi-Fiネットワーク、セルラーデータネットワーク、仮想プライベートネットワーク(VPN)などを記述するために使用され得る共通又は一意の特性のセットが定義される必要がある。有線LANなどのいくつかのケースでは、利用可能な情報は、デバイスがネットワークに接続するときにゲートウェイによって提供されるものであり、したがって、特性は、ネットワーク自体の物理特性ではなく、むしろ存在しているものである。
この課題のために、ネットワークが定義される方法は、安全なネットワークエンティティを記述するデータセットとして組み合わされる1つ以上の特性によるものである。一致とみなされるためには、全ての指定されたフィールドが一致しなければならず、安全なネットワークを識別するためには、1つのフィールドだけが必須である。
ネットワークタイプ-有線又はWi-Fi又は仮想などのネットワークのタイプ。
ネットワーク名-Wi-FiネットワークのSSID又はネットワークケーブルが差し込まれたときに報告される「LAN接続」など、オペレーティングシステムによって提示されるネットワーク名。
Wi-Fi BSSID-Wi-Fiネットワークを識別する一意のMACアドレス。
プライマリドメイン-接続時に提供されるネットワークに関連付けられたプライマリドメインストリング。
検索ドメインエントリ-接続時に提供されるネットワークに関連付けられた1つ以上の検索ドメインプレフィックス。
現在のIPv4 DNSエントリ-接続時に提供されるネットワークに関連付けられた1つ以上のIPv4 DNSエントリ。
現在のIPv6 DNSエントリ-接続時に提供されるネットワークに関連付けられた1つ以上のIPv6 DNSエントリ。
以下は、特定の顧客トポロジに対して定義され得る安全なネットワークの例示的なセットである。
安全なネットワーク#1
本社における顧客の主物理ネットワークであるこのネットワークは、管理ドメインと内部DNSサーバとを含む。
検索ドメイン#1=”AcmeNet”
IPv4 DNS#1=192.1.99.43
IPv4 DNS#2=192.1.99.44
安全なネットワーク#2
このネットワークは、顧客リモートサイトにあるWi-Fiネットワークである。そのWi-Fiネットワークを識別する最も効果的な方法は、BSSIDによるものであるが、内部DNSなどの任意の追加情報も、BSSIDスプーフィングを回避するのに役立つ可能性がある。
Wi-Fi BSSID=34:29:F3:23:55:25
DNSオーバーライド
メッセージング/処理は、プライマリドメイン、検索プレフィックス、IPv4及びIPv6のサポートも容易に可能にする。したがって、DNSオーバーライド情報を指定することは、単に1つ以上のIPv4 DNS値を指定することである。例えば、以下のIPv4 DNS値を使用することができる(これはGoogleのIPv4 DNS値である)。
DNS 1=8.8.8.8
DNS 2=8.8.4.4
これらのDNS値が実際に何であるかに関して、これは動作決定である。これは、例えば、ルックアップを処理し、それらを検証のためにローカル領域内のDNSセキュリティ権限にルーティングするプロキシであり得る。
図2は、例えば、Windows(商標)動作環境において提供されるようなエンドポイントエージェント動作の動作方法200を示す。ローミングDNSファイアウォールは、ネットワーク(202)を特徴付け、受信した安全なネットワークプロファイル(206)に対して相互参照することによって、受信した安全なネットワークプロファイルと比較して、定義された安全なネットワークのいずれにも一致しないネットワーク(204)への接続を検出することによって機能する。安全なネットワークプロファイルは、いつでも更新及び受信することができる。ネットワークが安全であるとみなされる場合(208ではい)、接続は、例えば、図4及び図5の方法に従って、任意の変更について監視される。ネットワークが安全であるとみなされない場合(208でいいえ)、「安全でない」ネットワーク接続を容易にするNネットワークIインターフェースC及び(NIC)上のDNS設定が適用され、これは、例えば、図3の方法に従って適用され得る。プロファイルの適用は、正しい値が有効であることを保証するために検証され(212)、次いで、例えば、図4及び図5のように、可能なオーバーライドイベントについて監視される。
Microsoft Windowsは、レジストリデータを利用して、IPv4 DNS情報をNICごとに以下の位置に格納する。
\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
各NICは、UniversallyUnique Identifier(UUID)サブキーによって識別され、これは、NICが物理ネットワークカードを表すか、又は仮想ネットワークアダプタを表すかにかかわらず存在する。各NICに固有の情報は、DNS情報を含む2つのレジストリ値を含む、そのサブキー内のレジストリ値として記憶される。これらの値は存在しても存在しなくてもよい。それらの存在は、NICに対するDNS構成によって完全に指示される。タイプREG_SZのこれらの値は、以下の通りである。
\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\[NIC-UUID]\NameServer-静的DNS(手動で構成される)
\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\[NIC-UUID]\DhcpNameServer-ダイナミックDNS(DHCP経由)
各レジストリ値の内容は、IPv4 DNS値の空間分離リストを含むストリングであり、例は以下の通りである。
「8.8.8.8 8.8.4.4」
図3を参照すると、NICごとにDNS構成を変更する方法300では、以下のステップがエンドポイントエージェントによって実行される(これは、必要なときに元のDNS情報を復元するために実行されるものでもある)。空間分離されたDNS値の新しいストリングが構築される(302)。静的DNSが使用されているか(NameServer値)、又はDHCPを介して割り当てられた動的DNSが使用されているか(DhcpNameServer)に応じて、NICの適切なレジストリ値が変更される(304)。DNS値は、新しいDNS設定をアクティブにする(レジストリ内にあるものからアクティブDNS情報を復元する)ことによってアクティブ化される(306):「ipconfig/flushdns」。
NICごとのDNS情報が修正されると、エージェントは、以下の場合に元の値の復元を保証する。
ホストは、関連するNICがオーバーライドされたDNS情報を有する安全でないネットワークから切断される。
エージェントはシャットダウンする(アップグレード、アンインストール、又は一般的なホストシャットダウンの場合)。
エージェントが開始され、以前のDNSオーバーライドがその元の値に戻されなかったことを認識し、これは、エージェント又はホストが予期せずクラッシュした場合に起こり得る。
DNS値が正しい場合(308ではい)、オーバーライド保護は、例えば、更に説明される図4及び図5のように実行され得る。値が正しくない場合(308でいいえ)、障害を管理システム(310)に報告することができ、追加の修復アクションを実行することができる。
等価なIPv6情報は、以下のレジストリキー(及び後続のNICごとのキー及び値)において見つけることができる。
\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\[NIC-UUID]
以下のように、より高いレベルで見出されるIPv4 DNS情報も存在することに留意されたい。
\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DNSオーバーライドは、ホスト全体ではなく、ネットワークごとに実装される。これは、最終的に、ルーティングテーブルが期待されるように機能することを可能にし、同時に接続される複数のネットワークをサポートする。これは、VPN及び潜在的にゲートウェイホストを利用する共有物理接続に関して重要な意味を有する(ただし、複数のネットワークがDNSを提供していることが予想される場合、ゲートウェイに対するDNSクエリは非常に複雑になる)。
DNSオーバーライド保護
NICごとのDNSを管理するレジストリキーは、通常のWindowsオペレーティングシステムタスクの一部として変更され得るが、マルウェアが通常のDNSサーバを妨害することを望む場合、潜在的に悪意のある方法で変更されることもある。例えば、DHCPを使用するように構成されたNICは、DHCPプロバイダによって構成されたリース期限を有し、これは典型的には30日ごとである。更新が発生すると、ホストはDHCP及びDNS情報(典型的な構成)の完全なセットを受信し、その結果、DNSレジストリ値が元の値にリセットされる。ローミングDNSファイアウォールがアクティブであったときにこれが発生した場合、ローミングDNSファイアウォールが無効化されることになる。
このため、レジストリ値が修正された場合に、オーバーライド値が適切な値に戻されることを保証するために、保護機構が必要とされた。Windowsは、ユーザモードから特定のレジストリキー/値へのアクセスをブロックする機構、又は特定のレジストリキー/値を監視し、実際に変更されたものを同じコールバックコンテキストで通知する通知機構を持たないので、2つの潜在的な手法が可能である。図4は、DNSオーバーライド保護の方法400を示す。期待値(すなわち、オーバーライドDNS情報)は、キャッシュされ(402)、特定のレジストリデータに対する変更をポーリングすることによって、毎秒1回など、値が依然として適切な値であることを定期的に検証される(404)。期待されるDNS値が存在する場合(404ではい)、モニタポーリングプロセスが継続する。期待値が適切な値でない場合(404でいいえ)、値は、既知の安全値に対して識別される(406)。識別されたネットワークが安全である場合(408ではい)、モニタポーリングプロセスは継続するが、値が安全でない場合(408でいいえ)、オーバーライドイベントが記録され(410)、管理システムに提供され、値は、予想されるベースラインを有する変更された値と置き換えられる。次に、ローミングDNSファイアウォールを再起動して(412)、安全なDNS値を適用することができる。
図5は、DNSオーバーライド保護の代替方法500を示す。期待値(すなわち、オーバーライドDNS情報)がキャッシュされる(502)。システムサーバプロセスNtNotifyChangeKeyは、レジストリ(504)の下で全てのレジストリ値アクティビティを(再帰的に)監視するために利用される。
key\HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces。
この機構は、カーネル(506)によって生成された通知のためのアラート可能な「ランディングパッド」を提供するスレッドを依然として必要とするが、ポーリング処理ヒットを回避する。関心のないキー/値に対して追加の通知が受信されるが、ポーリングする必要がないという利点は、関心のないコールバックを無視することを許容可能なトレードオフにする。通知コールバックがトリガされると、変更されたレジストリ値が予想されるベースラインと一致することが検証される(508)。DNS値が変化していない場合(508でいいえ)、更なる通知を受信するためにコールバックを登録することによって、監視が継続する(504)。DNS値が変更された場合(508ではい)、それらは、予想されるベースラインを有する変更された値で置き換えられ、オーバーライドイベントが記録され(510)、管理システムに提供される。次に、ローミングDNSファイアウォールを再起動して(512)、安全なDNS値を適用することができる。
Windows(商標)実装では、カーネルのみの変更通知API CmRegisterCallback/CmRegisterCallbackExが利用され得る。代替として、NtNotifyChangeKeyは、ユーザモード及びカーネルモードの両方において使用されることができ、又は手動ポーリングが利用されてもよい。
DNSオーバーライドロギング
ロギング機構は、例えば、図4及び図5に説明されるように、この機構がホストDNSに関連するアクションをとるときにオペレータに可視性を与えるように実装することができる。ログには3つのタイプがある。
DNSオーバーライド-このログは、ホストが安全でないネットワークに接続されたことをエージェントが検出し、そのネットワーク接続に対してDNSをオーバーライドすることを選択したことを示す。
DNS復元-このログは、エージェントがネットワーク接続のために元のDNS情報を復元することを選択したことを示し、これは、ネットワーク切断、エージェントのシャットダウン、又はエージェントがDNS状態を開始及びクリーンアップしている(場合によっては、エージェント又はホストクラッシュによって引き起こされる)ことによって起こり得る。
DNS保護-このログは、エージェントが、オーバーライドとして配置されたDNS情報に対する予期せぬ外部変更を検出したこと、及びそれがオーバーライド値を復元したことを示す。これは、ホスト上のマルウェアが変更を行おうとした場合、又はDHCPリースが復元されたときに「ipconfig/renew」コマンドなどで)起こる可能性がある。
図6は、DNSファイアウォール配備管理の方法600を示す。管理システムサーバは、組織によってホストされ得るか、又は分散クラウドコンピューティング環境によって提供され得る。機能のいくつかは、組織に関連付けられたシステムの構成プロファイルに依存して構成又は実装され得る。外部権限DNSがプロファイルに対して定義されていない場合、管理サーバは、検証のためにローカル領域内のDNSセキュリティ権限から信頼できるDNSを要求することができる(602)。安全なネットワークを特徴付けるために、エンドポイントエージェント調査を、エンドポイントエージェントによって現在観察されているネットワーク及びネットワークパラメータの共通セットを記述する分析システムに供給することができる(604)。例えば、顧客ネットワーク(物理又は仮想)上に配備された1000個のエンドポイントエージェントが、2つの共通ネットワークが使用されている(場合によっては、通常の労働時間中に)ことを示す場合、これらの2つのネットワーク(おそらく既存のDNS情報によって識別される)が組織に関連付けられた安全なネットワークを表すという結論を引き出すことができ、顧客管理インターフェースを使用して、顧客ITチームによるこれらの結論の検証を要求することができる。この初期セットを作成することは、過度に困難ではない可能性が高いが、顧客ネットワーク変更においてその安全なネットワークリストの精度を維持することは、追加の運用上の努力及び自動化された機構のサポートを必要とする。調査されたネットワークから、共通又は既知の特徴に基づいて安全パラメータを判定することができる(606)。代替的に、ネットワークは、それらの内部DNS情報を安全ネットワークマッチ基準として公開することによって手動で記述され得る。提供されると、管理サーバは、エンドポイントエージェントを利用して、エンドポイントエージェントが説明した安全なネットワークのうちの1つ以上を見たことを検証することができる。これにより、ホストの大部分(全てではないとしても)が、提供された安全なネットワーク分類に適合することの検証が可能になる。
次いで、安全でないネットワーク上で使用されるべき検証されたDNSを定義する安全なネットワークプロファイルを生成し(608)、必要に応じてエンドポイントエージェントに送信することができる(610)。エンドポイントエージェントが動作すると、追加のネットワークプロファイルパラメータ、ネットワークオーバーライド及び実行エラーを識別するDNSログを受信することができる(612)。イベントが以前に定義された安全なネットワークプロファイルに関連付けられている場合(614ではい又は)、ネットワークプロファイルステータスを修正することができ(616)、考えられるマルウェアなどのデバイス固有のソフトウェア問題を識別することができる。イベントが安全なネットワークに関連付けられていない場合(614でいいえ)、関連付けられたパラメータを識別し(618)、安全なネットワークプロファイルの追加の安全なネットワークパラメータを判定する(606)際に利用することができる。
本開示の実施形態における各要素は、ハードウェア、ソフトウェア/プログラム、又はそれらの任意の組み合わせとして実装され得る。ソフトウェアコードは、その全体又は一部分のいずれかで、コンピュータ可読媒体若しくはメモリ、又は非一時的メモリ(例えば、ROM、例えば、フラッシュメモリ、CD ROM、DVD ROM、Blu-ray(登録商標)、半導体ROM、USBなどの不揮発性メモリ、又はハードディスクなどの磁気記録媒体)に記憶され得る。プログラムは、ソースコード、オブジェクトコード、部分的にコンパイルされた形態などのコード中間ソース及びオブジェクトコードの形態、又はその他の形態であり得る。
図1~図6に示されるシステム及びコンポーネントは、図面に示されていないコンポーネントを含み得ることが、当業者には理解されよう。説明を簡潔かつ明確にするために、図中の要素は必ずしも縮尺通りではなく、概略的なものにすぎず、要素構造を制限するものではない。当業者には、特許請求の範囲に定義される本発明の範囲から逸脱することなく、いくつかの変形及び修正を行うことができることが明らかであろう。

Claims (18)

  1. モバイルコンピューティングデバイス上でローミングドメインネームシステム(DNS)ファイアウォールを起動する方法であって、
    前記モバイルコンピューティングデバイスのネットワークインターフェース上で新しいネットワークへのネットワーク接続を検出することと、
    前記新しいネットワークに関連付けられた複数のネットワークパラメータを特徴付けることと、
    前記複数のネットワークパラメータの前記特徴付けに基づいて安全なネットワークプロファイルを受信することと、
    前記受信された安全なネットワークプロファイルからのDNS識別子で、前記ネットワークインターフェースに関連付けられたDNS識別子を修正することと、を含む、方法。
  2. 前記安全なネットワークプロファイルは、1つ以上の信頼できるDNS識別子を識別し、前記安全なネットワークプロファイルは、リモート管理サーバから受信され、前記ローミングDNSファイアウォールは、前記モバイルコンピューティングデバイス上で実行中のセキュリティエージェントによって提供される、請求項1に記載の方法。
  3. 前記DNS識別子は、前記特徴付けられた複数のネットワークパラメータが安全でないと判定されたときに修正される、請求項1又は2に記載の方法。
  4. 複数のネットワークパラメータの特徴付けは、ネットワークタイプ、ネットワーク名、Wi-Fi BBSID、プライマリドメイン、検索ドメインエントリ、現在のIPv4 DNSエントリ、及び現在のIPv6 DNSエントリを含む群から選択される1つ以上のパラメータに基づいて、安全ではない、請求項1、2、又は3に記載の方法。
  5. 前記DNS識別子が成功裏に修正されたことを検証することを更に含む、請求項1~4のいずれか一項に記載の方法。
  6. 前記特徴付けられた複数のネットワークパラメータに基づいて、安全なネットワークプロファイルに対する要求をリモートサーバに送信することを更に含む、請求項1~5のいずれか一項に記載の方法。
  7. 前記ローミングDNSファイアウォールは、前記モバイルコンピューティングデバイス上で実行されるエンドポイントエージェントによって提供される、請求項1~6のいずれか一項に記載の方法。
  8. 前記DNS識別子を修正することは、
    前記安全なネットワークプロファイルからDNSレジストリ値を構築することと、
    ネットワークインターフェースカード(NIC)汎用一意識別子(UUID)に前記DNSレジストリ値を適用することと、
    前記新しいネットワークから切断することと、
    セキュリティエージェントをシャットダウンすることと、
    前記新しいネットワークを再接続することと、
    前記エンドポイントエージェントを開始することと、
    前記レジストリDNS値が維持されていることを検証すことと、を更に含む、請求項1~7のいずれか一項に記載の方法。
  9. 前記レジストリDNS値が変更された場合、前記方法は、失敗を報告することを更に含む、請求項8に記載の方法。
  10. 前記安全なDNS識別子が維持されていることを判定するために、前記DNS識別子を定期的にポーリングすることを更に含む、請求項1~9のいずれか一項に記載の方法。
  11. パラメータ変更を識別するために、前記複数のネットワークパラメータに関連付けられたレジストリを監視することと、
    カーネル変更通知を受信するか、又は特定のレジストリデータへの変更をポーリングすることによって受信することと、
    前記カーネル変更通知が前記DNS識別子に関連付けられているかどうかを検証することと、
    前記カーネル変更が前記DNS識別子に関連付けられているとき、DNSオーバーライドをロギングすることと、を更に含む、請求項1~10のいずれか一項に記載の方法。
  12. 前記DNS識別子は、信頼できるDNSに関連付けられる、請求項1~11のいずれか一項に記載の方法。
  13. 前記DNSローミングファイアウォールは、信頼できるネットワーク上では非アクティブ化される、請求項1~12のいずれか一項に記載の方法。
  14. 前記複数のネットワークパラメータは、ダイナミックホストコンフィギュレーションプロトコル(DHCP)メッセージで受信される、請求項1~13のいずれか一項に記載の方法。
  15. 前記ネットワークインターフェースに関連付けられたDNS識別子を修正することは、関連付けられたレジストリキーで定義される、請求項1~14のいずれか一項に記載の方法。
  16. 請求項1~15に記載の方法のローミングドメインネームシステム(DNS)ファイアウォールを実行するためのモバイルコンピューティングデバイス。
  17. プロセッサによって実行されると、請求項1~15に記載の方法を行う命令を含む非一時的コンピュータ可読メモリ。
  18. ローミングDNSファイアウォール管理サーバを提供する方法であって、
    それぞれのモバイルコンピューティングデバイス上で実行される複数のエンドポイントエージェントによって観察された複数のネットワーク特徴付けを受信することと、
    前記複数のネットワーク特徴付けから安全なネットワークパラメータを判定することと、
    前記複数のネットワークパラメータから、信頼できるDNS識別子を識別する安全なネットワークプロファイルを生成することと、
    前記安全なネットワークプロファイルを要求側モバイルコンピューティングデバイスに送信することと、を含む、方法。
JP2023516818A 2020-09-15 2021-09-14 ローミングdnsファイアウォール Pending JP2023541643A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202063078848P 2020-09-15 2020-09-15
US63/078,848 2020-09-15
PCT/CA2021/051277 WO2022056626A1 (en) 2020-09-15 2021-09-14 Roaming dns firewall

Publications (1)

Publication Number Publication Date
JP2023541643A true JP2023541643A (ja) 2023-10-03

Family

ID=80777225

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023516818A Pending JP2023541643A (ja) 2020-09-15 2021-09-14 ローミングdnsファイアウォール

Country Status (7)

Country Link
US (1) US20230344798A1 (ja)
EP (1) EP4214944A1 (ja)
JP (1) JP2023541643A (ja)
KR (1) KR20230069137A (ja)
AU (1) AU2021343572A1 (ja)
CA (1) CA3192728A1 (ja)
WO (1) WO2022056626A1 (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103269389B (zh) * 2013-06-03 2016-05-25 北京奇虎科技有限公司 检查和修复恶意dns设置的方法和装置
CN103561120B (zh) * 2013-10-08 2017-06-06 北京奇虎科技有限公司 检测可疑dns的方法、装置和可疑dns的处理方法、系统
CN103634786B (zh) * 2013-11-14 2017-04-05 北京奇虎科技有限公司 一种无线网络的安全检测和修复的方法与系统
CN106878254B (zh) * 2016-11-16 2020-09-25 国家数字交换系统工程技术研究中心 提高dns系统安全性的方法及装置
CN108111516A (zh) * 2017-12-26 2018-06-01 珠海市君天电子科技有限公司 基于无线局域网的安全通信方法、装置和电子设备

Also Published As

Publication number Publication date
AU2021343572A1 (en) 2023-04-13
CA3192728A1 (en) 2022-03-24
KR20230069137A (ko) 2023-05-18
US20230344798A1 (en) 2023-10-26
EP4214944A1 (en) 2023-07-26
WO2022056626A1 (en) 2022-03-24

Similar Documents

Publication Publication Date Title
US11632396B2 (en) Policy enforcement using host information profile
US11503043B2 (en) System and method for providing an in-line and sniffer mode network based identity centric firewall
US7827607B2 (en) Enhanced client compliancy using database of security sensor data
JP6571776B2 (ja) 自動的なデバイス検出、デバイス管理およびリモート援助のためのシステムおよび方法
US7694343B2 (en) Client compliancy in a NAT environment
CN109964196B (zh) 多因素认证作为网络服务
US7966650B2 (en) Dynamic internet address assignment based on user identity and policy compliance
US20060010485A1 (en) Network security method
US10230691B2 (en) Systems, devices, and methods for improved domain name system firewall protection
JP2005318584A (ja) デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置
US20060203736A1 (en) Real-time mobile user network operations center
CN106131074B (zh) 一种局域网络资源的访问方法和系统
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
JP2023051742A (ja) 企業ファイアウォール管理およびネットワーク分離
JP2023541643A (ja) ローミングdnsファイアウォール
Cisco Configuring Sensor Nodes
US20240236092A1 (en) Correlations between private network addresses and assigned network addresses
Paavola Company grade network at home
JP2012199758A (ja) 検疫管理装置、検疫システム、検疫管理方法、およびプログラム
Susom Efficient Usage of Hardware & Software to Accommodate New Technology and Establishment of Virtual Private Network
Liska et al. Securing NTP
Du et al. Administration Guide
GB2411799A (en) Virus checking devices in a test network before permitting access to a main network