RU2820803C1 - Method and system for tunneling traffic in distributed network - Google Patents
Method and system for tunneling traffic in distributed network Download PDFInfo
- Publication number
- RU2820803C1 RU2820803C1 RU2023110050A RU2023110050A RU2820803C1 RU 2820803 C1 RU2820803 C1 RU 2820803C1 RU 2023110050 A RU2023110050 A RU 2023110050A RU 2023110050 A RU2023110050 A RU 2023110050A RU 2820803 C1 RU2820803 C1 RU 2820803C1
- Authority
- RU
- Russia
- Prior art keywords
- address
- gateway
- level
- emitter
- wireguard
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000005641 tunneling Effects 0.000 title claims abstract description 26
- 230000004044 response Effects 0.000 claims abstract description 27
- 238000012546 transfer Methods 0.000 abstract description 4
- 239000000126 substance Substances 0.000 abstract 1
- 244000035744 Hura crepitans Species 0.000 description 19
- 238000004458 analytical method Methods 0.000 description 16
- 230000009471 action Effects 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 9
- 230000003993 interaction Effects 0.000 description 7
- 238000005474 detonation Methods 0.000 description 6
- 235000012907 honey Nutrition 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005538 encapsulation Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000015654 memory Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 238000013519 translation Methods 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 241001025261 Neoraja caerulea Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003631 expected effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Abstract
Description
ОБЛАСТЬ ТЕХНИКИTECHNICAL FIELD
Данное техническое решение относится к области вычислительной техники, а именно к способам и системам туннелирования трафика в распределенной сети для детонации вредоносного программного обеспечения (ВПО).This technical solution relates to the field of computer technology, namely to methods and systems for tunneling traffic in a distributed network to detonate malicious software (malware).
УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE ART
Данное техническое решение относится к области вычислительной техники, а именно к способам и системам туннелирования трафика в распределенной сети для детонации вредоносного программного обеспечения.This technical solution relates to the field of computer technology, namely to methods and systems for tunneling traffic in a distributed network to detonate malicious software.
Эксперты из области кибербезопасности прогнозируют, что количество и техническая сложность киберпреступлений продолжит возрастать. Злоумышленники быстро адаптируют ВПО для повышения его эффективности и преодоления известным способам борьбы с ВПО. В ответ на техническое развитие ВПО происходит развитие технических средств для противодействия ВПО, таким образом, происходит своеобразная "гонка вооружений". Предлагаемый к патентованию метод является очередной итерацией в упомянутой "гонке вооружений" со стороны, противодействующей злоумышленникам, и позволяет реализовать усовершенствованного вида песочницу.Cybersecurity experts predict that the number and technical sophistication of cybercrimes will continue to increase. Attackers quickly adapt malware to increase its effectiveness and overcome known methods of combating malware. In response to the technical development of malware, technical means to counteract malware are being developed, thus creating a kind of “arms race.” The method proposed for patenting is the next iteration in the aforementioned “arms race” from the side that counteracts attackers, and allows for the implementation of an improved type of sandbox.
Уже давно известно об использовании в области кибербезопасности песочниц, то есть специальных изолированных сред для детонации и анализа программного обеспечения и выявления его вредоносности. Подробнее песочницы описаны в статье https://ru.wikipedia.org/wiki/Песочница_(безопасность). В ответ на создание песочниц, злоумышленниками были реализованы более сложные виды ВПО. Такие ВПО, например, способны анализировать среду, в которую они попадают. В случае, если ВПО попадает в песочницу, его поведение может отличаться от его поведения в неизолированной среде.It has long been known about the use of sandboxes in the field of cybersecurity, that is, special isolated environments for detonating and analyzing software and identifying its harmfulness. Sandboxes are described in more detail in the article https://ru.wikipedia.org/wiki/Sandbox_(security). In response to the creation of sandboxes, attackers implemented more complex types of malware. Such malware, for example, is capable of analyzing the environment in which it enters. If malware gets into a sandbox, its behavior may differ from its behavior in a non-sandboxed environment.
Известно, что некоторым ВПО удается преодолеть статический анализ программного обеспечения, который производится посредствам анализа различных ресурсов исполняемого файла без его выполнения и изучения каждого его компонента в отдельности. А некоторым ВПО даже удается остаться не обнаруженными после динамического анализа. Динамический анализ выполняется путем наблюдения за поведением ВПО, когда оно фактически работает в песочнице. Преодолеть песочницы незамеченными некоторым ВПО удается благодаря тому, что они не содержат вредоносного кода. Вместо этого они загружают вредоносный код с удаленного сервера, но только в том случае, если ВПО оказалось в сети клиента. Так, например, злоумышленники, подготавливая таргетированную атаку на определенную организацию могут сконфигурировать удаленный сервер таким образом, чтобы он выслал вредоносный код только если, запрос приходит из одной из корпоративных подсетей, принадлежащих организации - жертве атаки. Если же удаленный сервер получит запрос с любого IP-адреса, не принадлежащего к корпоративной подсети организации, то удаленный сервер, мимикрируя под обычный веб-сервер, вышлет не вредоносный ответ.It is known that some malware manages to overcome static software analysis, which is performed by analyzing various resources of the executable file without executing it and studying each of its components separately. And some malware even manage to remain undetected after dynamic analysis. Dynamic analysis is performed by observing the behavior of the malware while it is actually running in a sandbox. Some malware manages to escape sandboxes undetected due to the fact that they do not contain malicious code. Instead, they download malicious code from a remote server, but only if the malware ends up on the client's network. For example, attackers preparing a targeted attack on a specific organization can configure a remote server in such a way that it sends malicious code only if the request comes from one of the corporate subnets belonging to the organization that is the victim of the attack. If the remote server receives a request from any IP address that does not belong to the organization’s corporate subnet, then the remote server, imitating a regular web server, will send a non-malicious response.
Очевидным решением для такой ситуации может показаться технология подмены IP-адреса на желаемый, например, натирование. Натирование также имеет второе название - маскарадинг. Натирование является способом трансляции сетевого адреса, при котором IP-адрес отправителя проставляется динамически в зависимости от назначенного интерфейсу IP-адреса. Подробнее натирование описано здесь https://ru.wikipedia.org/wiki/Маскapaдинг и здесь https://ru.wikipedia.org/wiki/NAT.An obvious solution for this situation may seem to be the technology of replacing the IP address with the desired one, for example, natting. Natating also has a second name - masquerading. Natating is a method of network address translation in which the sender's IP address is assigned dynamically depending on the IP address assigned to the interface. Natting is described in more detail here https://ru.wikipedia.org/wiki/Masquerading and here https://ru.wikipedia.org/wiki/NAT.
К сожалению, самая простая реализация натирования, при которой IP-адрес песочницы, не находящейся в корпоративной подсети, будет просто заменен на IP-адрес корпоративной подсети, не сработает. Удаленный сервер злоумышленника, получив запрос из корпоративной подсети, направит ответ на IP-адрес корпоративной подсети. Корпоративная подсеть скорее всего проигнорирует входящий пакет, полученный как ответ от сервера злоумышленников, так как не отправляла запроса на удаленный сервер злоумышленников. Для того чтобы корпоративная подсеть переслала входящий пакет, полученный в ответ от сервера злоумышленников, в песочницу, песочница должна действительно находиться в корпоративной подсети, что технически реализовать сложнее и помимо технических сложностей в реализации является ресурсозатратным.Unfortunately, the simplest implementation of natification, in which the IP address of a sandbox that is not located in the corporate subnet will simply be replaced with the IP address of the corporate subnet, will not work. The attacker's remote server, having received a request from the corporate subnet, will send a response to the IP address of the corporate subnet. The corporate subnet will most likely ignore the incoming packet received as a response from the attacker server, since it did not send a request to the remote attacker server. In order for the corporate subnet to forward the incoming packet received in response from the attacker’s server to the sandbox, the sandbox must actually be located in the corporate subnet, which is technically more difficult to implement and, in addition to technical difficulties in implementation, is resource-intensive.
Один их примеров решения, когда песочница находится в корпоративной подсети и маршрутизатор производит натирование исходящего трафика, заменяя локальный IP-адрес песочницы на публичный IP-адрес корпоративной подсети, является виртуальная частная сеть или VPN.One example of a solution where the sandbox is located on a corporate subnet and the router natifies outgoing traffic, replacing the local IP address of the sandbox with the public IP address of the corporate subnet, is a virtual private network or VPN.
VPN - это обобщенное название для технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети, например сети Интернет. Подробнее про VPN написано здесь https://ru.wikipedia.org/wiki/VPN. У каждого из участников сети, пира, есть свой локальный IP-адрес. Маршрутизация каждого пира настроена таким образом, что он передает пакеты в Интернет через сервер. Так для каждого исходящего пакета данных, проходящего через сервер, выполняется натирование. А для каждого входящего пакета выполняется денатирование - публичный IP-адрес заменяется на локальный IP адрес пира. В случае, если песочница является одним из пиров и находится в корпоративной сети VPN, технология натирования будет работать и позволит решить задачу подмены IP-адреса. Однако это решение не является оптимальным и имеет ряд недостатков. Один из них - это клиент-серверная архитектура, которая требует постоянного поддержания большого количества соединений в актуальном состоянии. Это ресурсозатратно.VPN is a generic name for technologies that allow one or more network connections to be made over another network, such as the Internet. Read more about VPN here https://ru.wikipedia.org/wiki/VPN. Each network participant, peer, has its own local IP address. Each peer's routing is configured in such a way that it forwards packets to the Internet through a server. So, for each outgoing data packet passing through the server, natification is performed. And for each incoming packet, denetting is performed - the public IP address is replaced with the local IP address of the peer. If the sandbox is one of the peers and is located in the corporate VPN network, the nat technology will work and will solve the problem of IP address spoofing. However, this solution is not optimal and has a number of disadvantages. One of them is a client-server architecture, which requires keeping a large number of connections up to date. This is resource intensive.
Из уровня техники также известна технология туннелирования трафика. Туннелирование трафика - это процесс, в ходе которого создается логическое соединение между двумя конечными точками посредством инкапсуляции. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой, то есть передаваемые через туннель данные "упаковываются" вместе со служебными полями в область полезной нагрузки несущего протокола. Подробнее туннелирование описано здесь https://en.wikipedia.org/wiki/Tunneling_protocol.Traffic tunneling technology is also known from the prior art. Traffic tunneling is a process that creates a logical connection between two endpoints through encapsulation. Tunneling is a method of building networks in which one network protocol is encapsulated into another, that is, the data transmitted through the tunnel is “packed” along with service fields into the payload area of the carrier protocol. Tunneling is described in more detail here https://en.wikipedia.org/wiki/Tunneling_protocol.
Из уровня техники известны различные протоколы маршрутизации трафика, в том числе протокол маршрутизации трафика в распределенной сети Next Hop Resolution Protocol, в дальнейшем для краткости называется NHRP (https://en.wikipedia.org/wiki/Next_Hop_Resolution_Protocol). NHRP является расширением механизма маршрутизации ARP ATM, который иногда используется для повышения эффективности маршрутизации компьютерного сетевого трафика по нешироковещательным сетям с множественным доступом. Данный протокол определен стандартом IETF RFC 2332 и дополнительно описан стандартом RFC 2333. Он может использоваться отправителем для определения маршрута с наименьшим количеством переходов к получателю. Протокол отличается от протоколов типа ARP тем, что позволяет оптимизировать маршрутизацию между несколькими IP-подсетями.Various traffic routing protocols are known from the prior art, including the distributed network traffic routing protocol Next Hop Resolution Protocol, hereinafter called NHRP for brevity (https://en.wikipedia.org/wiki/Next_Hop_Resolution_Protocol). NHRP is an extension of the ATM ARP routing mechanism that is sometimes used to improve the efficiency of routing computer network traffic over non-broadcast, multi-access networks. This protocol is defined by IETF standard RFC 2332 and further described by RFC 2333. It can be used by a sender to determine the route with the fewest hops to a recipient. The protocol differs from protocols like ARP in that it allows for optimized routing between multiple IP subnets.
Поскольку в распределенной сети, использующей NHRP протокол маршрутизации отсутствует центральный сервер, который бы хранил информацию об IP-адресах подсетей, маршрутизация трафика требует наличия публичных IP-адресов у каждой из подсетей.Since in a distributed network using the NHRP routing protocol there is no central server that would store information about the IP addresses of subnets, traffic routing requires public IP addresses for each subnet.
В распределенной сети, реализованной посредствам способа, предлагаемого к патентованию, информация об IP-адресах подсетей хранится на центральном сервере, это позволяет участникам подсетей не иметь публичных IP-адресов и находиться за NAT-ом.In a distributed network implemented using the method proposed for patenting, information about the IP addresses of subnets is stored on a central server, this allows subnet participants not to have public IP addresses and to be behind NAT.
В то же время, из уровня техники известно решение US 20050086367 А1 (Alex Conta et al., Methods and apparatus for implementing multiple types of network tunneling in a uniform manner, опубл. 04.21.2005. кл. G06F 15/173), в котором описан способ реализации поддержки нескольких протоколов туннелирования трафика с помощью роутера. Предлагается к реализации туннелирование трафика одновременно с помощью протокола IP-IP и IP-over-MPLS.At the same time, the solution US 20050086367 A1 (Alex Conta et al., Methods and apparatus for implementing multiple types of network tunneling in a uniform manner, published 04.21.2005. class G06F 15/173) is known from the prior art, in which describes a method for implementing support for multiple traffic tunneling protocols using a router. It is proposed to implement traffic tunneling simultaneously using the IP-IP and IP-over-MPLS protocols.
Описанный способ, помимо того, что отличается в реализации с точки зрения архитектуры сети и используемых протоколов туннелирования, является более ресурсозатратным, так как требует от роутера поддержки отдельного интерфейса для каждого пира, который отправляет роутеру запросы на использование его как IP-IP маршрутизатора. Иными словами, для использования роутера в качестве маршрутизатора двумя пирами необходимо реализовать поддержку данным роутером четырех интерфейсов. Предлагаемое к патентованию решение позволяет с помощью всего лишь двух интерфейсов выполнять маршрутизацию между тысячами пиров. Реализация маршрутизации с использованием всего лишь двух интерфейсов требует значительно меньше вычислительных ресурсов, а также меньших усилий для ее конфигурации. Для конфигурации предлагаемого решения не требуется настройки роутеров провайдера, достаточно конфигурации сети на конечном устройстве (пире).The described method, in addition to the fact that it differs in implementation from the point of view of the network architecture and the tunneling protocols used, is more resource-intensive, since it requires the router to support a separate interface for each peer that sends requests to the router to use it as an IP-IP router. In other words, to use the router as a router for two peers, it is necessary to ensure that this router supports four interfaces. The solution proposed for patenting allows routing between thousands of peers using just two interfaces. Implementing routing using just two interfaces requires significantly less computing resources and less effort to configure. To configure the proposed solution, there is no need to configure the provider's routers; the network configuration on the end device (peer) is sufficient.
Как было ранее упомянуто, из уровня техники известны решения для детонации и исследования вредоносного программного обеспечения, так называемые песочницы. А также известны различные способы по организации окружения песочниц для того, чтобы затруднить для злоумышленника и его программного обеспечения обнаружение песочниц. Одним примером такого решения является US 10404661 В1 (Taylor Ettema et al., Integrating a honey network with a target network to counter IP and peer-checking evasion techniques, опубл. 09.03.2019. кл. G06F 9/455, H04L 29/06), в котором описывается способ интеграции сети "honey pot" с целевой сетевой средой (например, корпоративной сетью) для подмены IP и методы уклонения от одноранговой проверки. В некоторых вариантах осуществления система для интеграции сети "honey pot" с целевой сетью включает в себя хранилище данных профиля устройства, которое включает в себя множество атрибутов каждого из множества устройств целевой среды: диспетчер виртуальных копий, который создает виртуальную копию одного или нескольких устройств целевой сети на основе одного или нескольких атрибутов целевого устройства в хранилище данных профиля устройства и сетевую политику "honey pot", которая сконфигурирована для маршрутизации внешней связи от виртуальной копии к целевому устройству в сети "honey pot" к внешнему устройству через сетевую среду. В данном решении не упоминается ни одного способа туннелирования трафика и реализации подмены IP-адреса песочницы на IP-адрес корпоративной сети с помощью протоколов туннелирования трафика.As previously mentioned, solutions for detonation and investigation of malicious software, so-called sandboxes, are known in the prior art. There are also various ways to organize sandbox environments in order to make it difficult for an attacker and his software to detect sandboxes. One example of such a solution is US 10404661 B1 (Taylor Ettema et al., Integrating a honey network with a target network to counter IP and peer-checking evasion techniques, publ. 03/09/2019. class G06F 9/455, H04L 29/06 ), which describes how to integrate a honey pot network into a target network environment (such as a corporate network) for IP spoofing and methods to evade peer inspection. In some embodiments, a system for integrating a honey pot network with a target network includes a device profile data store that includes a plurality of attributes of each of a plurality of devices in the target environment: a virtual copy manager that creates a virtual copy of one or more devices in the target network based on one or more attributes of the target device in the device profile data store; and a honey pot network policy that is configured to route external communication from the virtual copy to the target device in the honey pot network to the external device across the network environment. This solution does not mention a single method of tunneling traffic and replacing the sandbox IP address with the IP address of a corporate network using traffic tunneling protocols.
Настоящее решение создано для решения проблем, выявленных при анализе уровня техники и создания улучшенного комплексного метода маршрутизации трафика в распределенной сети.This solution is designed to solve the problems identified during the analysis of the state of the art and create an improved, comprehensive method for routing traffic in a distributed network.
СУЩНОСТЬ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION
В рамках настоящего описания, если это не оговорено непосредственно по месту применения, нижеперечисленные специальные термины используются в следующих значениях:For the purposes of this specification, unless specifically stated at the point of use, the following specific terms are used with the following meanings:
центральный сервер - сервер в распределенной сети, который используется для настройки маршрутизации и выдачи IP-адресов внутри сети, на центральном сервере хранится таблица соседей;central server - a server in a distributed network that is used to configure routing and issue IP addresses within the network; the central server stores a table of neighbors;
гейтвей - пир распределенной сети, реализованный для натирования пакетов исходящего трафика;gateway - a distributed network peer implemented for natating outgoing traffic packets;
эмиттер - пир распределенной сети, на котором установлена одна или несколько песочниц;emitter - a distributed network peer on which one or more sandboxes are installed;
пир - участник распределенной сети, например, гейтвей или эмиттер;peer - a participant in a distributed network, for example, a gateway or emitter;
натирование - преобразование сетевых адресов, механизм в сетях на транспортном уровне, позволяющий преобразовывать IP-адреса транзитных пакетов.nating - network address translation, a mechanism in networks at the transport level that allows you to convert IP addresses of transit packets.
туннелирование - процесс, в ходе которого создается логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в область полезной нагрузки пакета несущего протокола.Tunneling is a process that creates a logical connection between two endpoints by encapsulating different protocols. Tunneling is a networking technique in which one network protocol is encapsulated within another. The essence of tunneling is to “pack” the transmitted portion of data, along with service fields, into the payload area of the carrier protocol packet.
инкапсуляция - это метод построения модульных сетевых протоколов, при котором логически независимые функции сети абстрагируются от нижележащих механизмов путем включения или инкапсулирования этих механизмов в более высокоуровневые объекты.Encapsulation is a method of constructing modular network protocols in which logically independent network functions are abstracted from underlying mechanisms by embedding or encapsulating those mechanisms in higher-level objects.
таблица соседей - таблица в сетевом стеке ОС, в которой хранятся записи о соответствии IP-адресов на уровне GRE к IP-адресам на уровне WireGuard. Аналогом таблицы соседей является ARP-таблица, в которой хранятся записи о соответствии IP-адресов к МАС-адресам. ОС обращается к этим таблицам при маршрутизации пакетов для получения адреса получателя на нижележащем уровне сети.neighbor table - a table in the OS network stack that stores records of the mapping of IP addresses at the GRE level to IP addresses at the WireGuard level. An analogue of the neighbor table is the ARP table, which stores records of the correspondence of IP addresses to MAC addresses. The OS accesses these tables when routing packets to obtain the destination address at the underlying network layer.
интерфейс - здесь значит интерфейс взаимодействия с программным обеспечением Wireguard или GRE;interface - here means the interface for interacting with Wireguard or GRE software;
полигон - набор изолированных сред для детонации и анализа потенциально вредоносного контентаtest site - a set of isolated environments for detonation and analysis of potentially harmful content
Технической проблемой, на решение которой направлено заявленное техническое решение, является создание компьютерно-реализуемого способа и системы для туннелирования трафика внутри распределенной сети, которые охарактеризованы в независимых пунктах формулы. Дополнительные варианты реализации настоящего решения представлены в зависимых пунктах формулы изобретения.The technical problem to be solved by the claimed technical solution is the creation of a computer-implemented method and system for tunneling traffic within a distributed network, which are described in independent claims. Additional embodiments of the present solution are presented in the dependent claims.
Технический результат заключается в реализации многоуровневого туннелирования для передачи трафика внутри распределенной сети, что может быть востребовано, например, для анализа подозрительного трафика.The technical result consists in the implementation of multi-level tunneling for transmitting traffic within a distributed network, which may be required, for example, for analyzing suspicious traffic.
В предпочтительном варианте реализации заявлен компьютерно-реализуемый способ маршрутизации трафика внутри распределенной сети для анализа потенциально вредоносного контента содержит шаги, на которых с помощью вычислительного устройства добавляют в таблицу соседей IP-адресов по меньшей мере один эмиттер и по меньшей мере один гейтвей, где по меньшей мере один эмиттер является пиром распределенной сети, выполненным с возможностью анализа вредоносного контента, а также получения пакетов данных, инкапсулированных на уровне WireGuard и на уровне GRE, по меньшей мере один гейтвей является пиром распределенной сети, выполненным с возможностью натирования по меньшей мере одного пакета исходящего трафика и денатирования по меньшей мере одного пакета входящего трафика; отправляют на по меньшей мере один гейтвей IP-адреса соответствующего ему по таблице соседей по меньшей мере одного эмиттера; отправляют на по меньшей мере один эмиттер IP-адреса соответствующего ему по таблице соседей по меньшей мере одного гейтвея; декапсулируют, в ответ на получение по меньшей мере одного пакета исходящего трафика от по меньшей мере одного эмиттера, меньшей мере один пакет исходящего трафика; идентифицируют IP-адрес гейтвея, указанного в качестве данных получателя на уровне Wireguard; инкапсулируют пакет исходящего трафика на WireGuard уровне и GRE уровне, где по меньшей мере один IP-адрес, указанный на уровне WireGuard отличается от по меньшей мере одного IP-адреса, указанного на уровне GRE; пересылают по меньшей мере один пакет исходящего трафика на по меньшей мере один гейтвей для натирования. Способ, при котором IP-адреса включают: IP-адреса в сети Интернет, IP-адреса на уровне Wireguard, IP-адреса на уровне GRE. Способ дополнительно включающий, регистрацию по меньшей мере одного эмиттера и по меньшей мере одного гейтвея на по меньшей мере одном центральном сервере посредством выдачи конфигурационного файла.In a preferred embodiment, a computer-implemented method for routing traffic within a distributed network for analysis of potentially malicious content contains steps in which, using a computing device, at least one emitter and at least one gateway are added to a table of neighbors of IP addresses, where at least at least one emitter is a distributed network peer configured to analyze malicious content, as well as receive data packets encapsulated at the WireGuard level and at the GRE level, at least one gateway is a distributed network peer configured to parse at least one outgoing packet traffic and denaturing at least one packet of incoming traffic; sending to at least one gateway the IP addresses corresponding to it in the table of neighbors of at least one emitter; sending to at least one emitter the IP address corresponding to it in the table of neighbors of at least one gateway; decapsulating, in response to receiving at least one outgoing traffic packet from the at least one emitter, the at least one outgoing traffic packet; identify the IP address of the gateway specified as recipient data at the Wireguard level; encapsulate an outgoing traffic packet at the WireGuard layer and the GRE layer, where at least one IP address specified at the WireGuard layer is different from at least one IP address specified at the GRE layer; forwarding at least one outgoing traffic packet to at least one gateway for nating. The way IP addresses include: Internet IP addresses, Wireguard level IP addresses, GRE level IP addresses. The method further includes registering the at least one emitter and the at least one gateway with the at least one central server by issuing a configuration file.
В альтернативном варианте реализации способ может быть выполнен эмиттером, способ содержащий шаги, на которых: отправляют по меньшей мере одним эмиттером по меньшей мере один пакет исходящего трафика на по меньшей мере один центральный сервер, где по меньшей мере один пакет исходящего трафика содержит по меньшей мере два уровня инкапсуляции поверх транспортного протокола, реализованных для пересылки пакета исходящего трафика по меньшей мере одним центральным сервером на по меньшей мере один гейтвей для натирования; извлекают, в ответ на получение по меньшей мере одного пакета входящего трафика от по меньшей мере одного центрального сервера, из по меньшей мере одного пакета входящего трафика потенциально вредоносный контент, где по меньшей мере один пакет входящего трафика предварительно был получен по меньшей мере одним центральным сервером от по меньшей мере одного гейтвея; анализируют потенциально вредоносный контент и добиваются его детонации. Способ дополнительно включающий подготовительный этап, на котором получают по меньшей мере одним эмиттером конфигурационный файл от по меньшей мере одного центрального сервера. Способ, также включающий конфигурацию интерфейсов на WireGuard уровне и GRE уровне с помощью полученного конфигурационного файла. Способ, включающий получение от по меньшей мере одного центрального сервера IP-адресов по меньшей мере одного гейтвея. Способ включает настройку по меньшей мере одного маршрута через по меньшей мере один гейтвей.In an alternative embodiment, the method may be performed by an emitter, the method comprising the steps of: sending at least one outgoing traffic packet by at least one emitter to at least one central server, wherein the at least one outgoing traffic packet contains at least two layers of encapsulation on top of the transport protocol implemented to forward the outgoing traffic packet by at least one central server to at least one gateway for natification; extracting, in response to receiving at least one incoming traffic packet from at least one central server, potentially malicious content from the at least one incoming traffic packet, where the at least one incoming traffic packet has previously been received by at least one central server from at least one gateway; analyze potentially harmful content and ensure its detonation. The method further includes a preparatory step in which the at least one emitter receives a configuration file from at least one central server. A method that also includes configuration of interfaces at the WireGuard level and GRE level using the resulting configuration file. A method comprising obtaining IP addresses of at least one gateway from at least one central server. The method includes setting up at least one route through at least one gateway.
Еще в одном частном варианте реализации способа маршрутизации трафика внутри распределенной сети для детонации вредоносного контента, способ выполняют на гейтвее следующим образом: декапсулируют, в ответ на получение по меньшей мере одного пакета исходящего трафика от по меньшей мере одного центрального сервера, по меньшей мере один пакет исходящего трафика; идентифицируют данные внешнего сервера, указанные в качестве данных получателя на уровне GRE; инкапсулируют по меньшей мере одним гейтвеем по меньшей мере один пакет исходящего трафика; натируют по меньшей мере один пакет исходящего трафика IP-адресом гейтвея; отправляют по меньшей мере один натированный пакет исходящего трафика на внешний сервер; денатируют, в ответ на получение по меньшей мере одного пакета входящего трафика от внешнего сервера, по меньшей мере один пакет входящего трафика; инкапсулируют по меньшей мере один пакет входящего трафика на WireGuard уровне и GRE уровне, где по меньшей мере один IP-адрес, указанный на уровне WireGuard, отличается от по меньшей мере одного IP-адреса, указанного на уровне GRE; отправляют по меньшей мере один пакет входящего трафика на по меньшей мере один центральный сервер. Способ включает подготовительный этап, на котором получают по меньшей мере одним гейтвеем конфигурационный файл от по меньшей мере одного центрального сервера. Дополнительно выполняют конфигурацию по меньшей мере одним гейтвеем интерфейсов на WireGuard уровне и GRE уровне с помощью полученного конфигурационного файла. Способ также включает подготовительный этап, на котором получают от по меньшей мере одного центрального сервера IP-адреса по меньшей мере одного эмиттера.In another particular embodiment of a method for routing traffic within a distributed network to detonate malicious content, the method is performed on the gateway as follows: decapsulates, in response to receiving at least one packet of outgoing traffic from at least one central server, at least one packet outgoing traffic; identifying the external server data specified as recipient data at the GRE level; encapsulating at least one outgoing traffic packet by at least one gateway; nat at least one packet of outgoing traffic with the IP address of the gateway; sending at least one dated outgoing traffic packet to an external server; denetizing, in response to receiving at least one incoming traffic packet from the external server, at least one incoming traffic packet; encapsulate at least one incoming traffic packet at the WireGuard layer and the GRE layer, where at least one IP address specified at the WireGuard layer is different from at least one IP address specified at the GRE layer; sending at least one incoming traffic packet to at least one central server. The method includes a preparatory stage, in which at least one gateway receives a configuration file from at least one central server. Additionally, at least one gateway interface is configured at the WireGuard level and the GRE level using the resulting configuration file. The method also includes a preparatory step in which the IP addresses of at least one emitter are obtained from at least one central server.
Заявленное решение также осуществляется за счет системы маршрутизации трафика внутри распределенной сети для анализа потенциально вредоносного контента, где распределенная сеть реализована посредствам двухуровневого туннелирования, включающего: уровень WireGuard и уровень GRE. Система представлена по меньшей мере одним центральным сервером, выполняющим шаги, на которых: добавляют в таблицу соседей IP-адресов по меньшей мере один эмиттер и по меньшей мере один гейтвей, где по меньшей мере один эмиттер является пиром распределенной сети, выполненным с возможностью анализа вредоносного контента, а также получения пакетов данных, инкапсулированных на уровне WireGuard и на уровне GRE, а по меньшей мере один гейтвей является пиром распределенной сети, выполненным с возможностью натирования по меньшей мере одного пакета исходящего трафика и денатирования по меньшей мере одного пакета входящего трафика, отправляют на по меньшей мере один гейтвей IP-адреса соответствующего ему по таблице соседей по меньшей мере одного эмиттера, отправляют на по меньшей мере один эмиттер IP-адреса соответствующего ему по таблице соседей по меньшей мере одного гейтвея, декапсулируют, в ответ на получение по меньшей мере одного пакета исходящего трафика от по меньшей мере одного эмиттера, меньшей мере один пакет исходящего трафика, идентифицируют IP-адрес гейтвея, указанного в качестве данных получателя на уровне Wireguard, инкапсулируют пакет исходящего трафика на WireGuard уровне и GRE уровне, где по меньшей мере один IP-адрес, указанный на уровне WireGuard отличается от по меньшей мере одного IP-адреса, указанного на уровне GRE, пересылают по меньшей мере один пакет исходящего трафика на по меньшей мере один гейтвей для натирования. В данной системе IP-адреса включают: IP-адреса в сети Интернет, IP-адреса на уровне Wireguard, IP-адреса на уровне GRE. Представленная система выполняет регистрацию по меньшей мере одного эмиттера и по меньшей мере одного гейтвея на по меньшей мере одном центральном сервере посредством выдачи конфигурационного файла.The stated solution is also implemented through a traffic routing system within a distributed network for analyzing potentially malicious content, where the distributed network is implemented through two-level tunneling, including: the WireGuard level and the GRE level. The system is represented by at least one central server that performs the steps of: adding at least one emitter and at least one gateway to the neighbor table of IP addresses, where at least one emitter is a distributed network peer capable of analyzing malicious content, as well as receiving data packets encapsulated at the WireGuard level and at the GRE level, and at least one gateway is a distributed network peer configured to nat at least one packet of outgoing traffic and denature at least one packet of incoming traffic, send to at least one gateway of the IP address corresponding to it in the neighbor table of at least one emitter, send to at least one emitter of the IP address corresponding to it in the neighbor table of at least one gateway, decapsulate, in response to receiving at least one outgoing traffic packet from at least one emitter, at least one outgoing traffic packet, identifying the IP address of the gateway specified as recipient data at the Wireguard layer, encapsulating the outgoing traffic packet at the WireGuard level and the GRE layer, where at least one IP -the address specified at the WireGuard layer is different from at least one IP address specified at the GRE layer, forward at least one outgoing traffic packet to at least one gateway for nating. In this system, IP addresses include: Internet IP addresses, Wireguard level IP addresses, GRE level IP addresses. The presented system registers at least one emitter and at least one gateway on at least one central server by issuing a configuration file.
Система маршрутизации трафика в альтернативном варианте выполнена по меньшей мере одним эмиттером, система выполняющая шаги, на которых: отправляют по меньшей мере одним эмиттером по меньшей мере один пакет исходящего трафика на по меньшей мере один центральный сервер, где по меньшей мере один пакет исходящего трафика содержит по меньшей мере два уровня инкапсуляции поверх транспортного протокола, реализованных для пересылки пакета исходящего трафика по меньшей мере одним центральным сервером на по меньшей мере один гейтвей для натирования, извлекают, в ответ на получение по меньшей мере одного пакета входящего трафика от по меньшей мере одного центрального сервера, из по меньшей мере одного пакета входящего трафика потенциально вредоносный контент, где по меньшей мере один пакет входящего трафика предварительно был получен по меньшей мере одним центральным сервером от по меньшей мере одного гейтвея, анализируют потенциально вредоносный контент и добиваются его детонации. Система, получающая по меньшей мере одним эмиттером конфигурационный файл от по меньшей мере одного центрального сервера. Система, выполняющая конфигурацию интерфейсов на WireGuard уровне и GRE уровне с помощью полученного конфигурационного файла; Система выполняющая получение от по меньшей мере одного центрального сервера IP-адресов по меньшей мере одного гейтвея. Система также выполняет настройку по меньшей мере одного маршрута через по меньшей мере один гейтвей.The traffic routing system is alternatively implemented by at least one emitter, the system performing the steps of: sending at least one outgoing traffic packet by the at least one emitter to at least one central server, where at least one outgoing traffic packet contains at least two layers of encapsulation over a transport protocol implemented to forward an outgoing traffic packet by at least one central server to at least one gateway for natification are retrieved in response to receiving at least one incoming traffic packet from at least one central servers, from at least one packet of incoming traffic potentially malicious content, where at least one packet of incoming traffic was previously received by at least one central server from at least one gateway, analyze the potentially malicious content and achieve its detonation. A system that receives, by at least one emitter, a configuration file from at least one central server. A system that configures interfaces at the WireGuard level and GRE level using the resulting configuration file; A system that obtains IP addresses of at least one gateway from at least one central server. The system also configures at least one route through at least one gateway.
Система маршрутизации трафика внутри распределенной сети для детонации вредоносного контента дополнительно может быть выполнена по меньшей мере одним гейтвеем. Система выполняет шаги, на которых: декапсулируют, в ответ на получение по меньшей мере одного пакета исходящего трафика от по меньшей мере одного центрального сервера, по меньшей мере один пакет исходящего трафика, идентифицируют данные внешнего сервера, указанные в качестве данных получателя на уровне GRE, инкапсулируют по меньшей мере одним гейтвеем по меньшей мере один пакет исходящего трафика, натируют по меньшей мере один пакет исходящего трафика IP-адресом гейтвея, отправляют по меньшей мере один натированный пакет исходящего трафика на внешний сервер, денатируют, в ответ на получение по меньшей мере одного пакета входящего трафика от внешнего сервера, по меньшей мере один пакет входящего трафика, инкапсулируют по меньшей мере один пакет входящего трафика на WireGuard уровне и GRE уровне, где по меньшей мере один IP-адрес, указанный на уровне WireGuard, отличается от по меньшей мере одного IP-адреса, указанного на уровне GRE, отправляют по меньшей мере один пакет входящего трафика на по меньшей мере один центральный сервер. Система включает подготовительный этап, на котором получают по меньшей мере одним гейтвеем конфигурационный файл от по меньшей мере одного центрального сервера. Система выполняет конфигурацию по меньшей мере одним гейтвеем интерфейсов на WireGuard уровне и GRE уровне с помощью полученного конфигурационного файла. Система содержит долговременную память, выполненную с возможностью хранения используемых файлов и данных, вычислительное устройство, выполненное с возможностью выполнения описанного способа.The system for routing traffic within a distributed network to detonate malicious content can additionally be implemented by at least one gateway. The system performs the steps of: decapsulating, in response to receiving at least one outgoing traffic packet from at least one central server, at least one outgoing traffic packet, identifying the external server data specified as recipient data at the GRE level, encapsulate at least one outgoing traffic packet by at least one gateway, tag at least one outgoing traffic packet with the IP address of the gateway, send at least one natified outgoing traffic packet to an external server, denature, in response to receiving at least one packet of incoming traffic from an external server, at least one packet of incoming traffic, encapsulate at least one packet of incoming traffic at the WireGuard layer and the GRE layer, where at least one IP address specified at the WireGuard layer is different from at least one The IP addresses specified at the GRE layer send at least one incoming traffic packet to at least one central server. The system includes a preparatory stage, in which at least one gateway receives a configuration file from at least one central server. The system configures at least one gateway interface at the WireGuard level and the GRE level using the resulting configuration file. The system contains a long-term memory configured to store used files and data, a computing device configured to perform the described method.
ОПИСАНИЕ ЧЕРТЕЖЕЙDESCRIPTION OF DRAWINGS
Реализация изобретения будет описана в дальнейшем в соответствии с прилагаемыми чертежами, которые представлены для пояснения сути изобретения и никоим образом не ограничивают область изобретения. К заявке прилагаются следующие чертежи:The implementation of the invention will be described further in accordance with the accompanying drawings, which are presented to explain the essence of the invention and in no way limit the scope of the invention. The following drawings are attached to the application:
Фиг. 1 иллюстрирует общую схему распределенной сети.Fig. 1 illustrates a general diagram of a distributed network.
Фиг. 2 иллюстрирует общую схему адресации распределенной сети с реализованными в ней подсетями.Fig. 2 illustrates the general addressing scheme of a distributed network with subnetworks implemented in it.
Фиг. 3 иллюстрирует подготовительную стадию способа.Fig. 3 illustrates the preparatory stage of the method.
Фиг. 4А иллюстрирует передачу исходящего трафика на рабочей стадии.Fig. 4A illustrates the transmission of outgoing traffic in the work stage.
Фиг. 4Б иллюстрирует передачу входящего трафика на рабочей стадии.Fig. 4B illustrates the transmission of incoming traffic in the work stage.
Фиг. 5 иллюстрирует схему вычислительного устройства,Fig. 5 illustrates a diagram of a computing device,
ДЕТАЛЬНОЕ ОПИСАНИЕDETAILED DESCRIPTION
В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, будет очевидно каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не были описаны подробно, чтобы не затруднять понимание особенностей настоящего изобретения.The following detailed description of the invention sets forth numerous implementation details designed to provide a clear understanding of the present invention. However, it will be apparent to one skilled in the art how the present invention can be used with or without these implementation details. In other cases, well-known methods, procedures and components have not been described in detail so as not to obscure the features of the present invention.
Кроме того, из приведенного изложения будет ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, будут очевидными для квалифицированных в предметной области специалистов.In addition, from the above discussion it will be clear that the invention is not limited to the above implementation. Numerous possible modifications, alterations, variations and substitutions, while retaining the spirit and form of the present invention, will be apparent to those skilled in the art.
Предлагаемое к патентованию решение позволяет реализовать туннелирование трафика в распределенной сети таким образом, чтобы на выходе из этой распределенной сети происходило натирование пакетов исходящего трафика и пересылка этих пакетов на внешний IP-адрес, при этом в качестве адреса отправителя указывался бы заданный IP-адрес, отличающийся от реального адреса устройства, отправившего пакеты трафика.The solution proposed for patenting makes it possible to implement tunneling of traffic in a distributed network in such a way that, at the exit from this distributed network, packets of outgoing traffic are natified and these packets are forwarded to an external IP address, while a specified IP address is indicated as the sender address, which is different from the real address of the device that sent the traffic packets.
Рассмотрим пример. Банк "X" обратился к компании "G" с запросом на предоставление услуг в области кибербезопасности, а именно на услуги аутсорс-анализа подозрительного контента, поступающего из внешних ресурсов. В этом случае компания "G" может предоставить банку возможность использования своего полигона. Компания "G" предоставляет одну или несколько входящих в состав полигона изолированных сред ("песочниц") для обслуживания запроса банка "X". Распределенная сеть полигона устроена таким образом, что по запросу от банка "X" строится маршрут до одной или нескольких находящихся в полигоне изолированных сред, и подозрительный трафик от банка "X" анализируется в этих изолированных средах. Туннелирование внутри распределенной сети реализовано таким образом, что на выходе из данной сети происходит натирование каждого пакета исходящего трафика и в качестве отправителя указывается IP-адрес банка "X". Таким образом, злоумышленник, направивший в адрес банка "X" вредоносный контент, например, вредоносный файл или ссылку на вредоносный сайт, в результате анализа и детонации (срабатывания) данного файла или перехода по ссылке будет видеть обращение к своему серверу с IP-адреса банка "X", а не с IP-адреса полигона.Let's look at an example. Bank "X" approached company "G" with a request to provide services in the field of cybersecurity, namely, outsourced analysis of suspicious content coming from external resources. In this case, company "G" can provide the bank with the opportunity to use its landfill. Company "G" provides one or more sandboxes within the polygon to service Bank "X"'s request. The polygon's distributed network is designed in such a way that, upon request from bank "X", a route is built to one or more isolated environments located in the polygon, and suspicious traffic from bank "X" is analyzed in these isolated environments. Tunneling within a distributed network is implemented in such a way that at the exit from this network, each packet of outgoing traffic is natified and the IP address of bank “X” is indicated as the sender. Thus, an attacker who sent malicious content to bank “X”, for example, a malicious file or a link to a malicious site, as a result of analysis and detonation (triggering) of this file or clicking on the link, will see a request to his server from the bank’s IP address "X" rather than from the polygon's IP address.
Как ранее упоминалось, полигон включает в себя множество изолированных сред, организованных в распределенной сети. Изолированные среды могут быть распределены между множеством клиентов, одним из которых является банк "X". На выходе из распределенной сети пакет данных, исходящий из каждой из изолированных сред, проходит натирование и отправляется на внешний сервер с IP-адресом, соответствующим адресам сетевой инфраструктуры заданной компании, например, в данном случае - банка "X".As previously mentioned, a test site includes many isolated environments organized in a distributed network. Isolated environments can be distributed among multiple clients, one of which is bank "X". At the exit from the distributed network, the data packet originating from each of the isolated environments is natified and sent to an external server with an IP address corresponding to the addresses of the network infrastructure of a given company, for example, in this case, bank "X".
Далее способ реализации будет подробно описан на примере взаимодействия одной изолированной среды, установленной на одном эмиттере, и одного гейтвея. Но нужно понимать, что в реально действующем полигоне может быть реализовано множество эмиттеров и множество гейтвеев, способных выполнять описанные далее действия для множества компаний-клиентов.Next, the implementation method will be described in detail using the example of the interaction of one isolated environment installed on one emitter and one gateway. But you need to understand that in a real operating test site, many emitters and many gateways can be implemented, capable of performing the actions described below for many client companies.
В рассматриваемом примере центральный сервер и эмиттер, входящие в состав инфраструктуры компании "G", осуществляют маршрутизацию и анализ потенциально вредоносного трафика, поступающего в локальную сеть компании "X". В составе инфраструктуры локальной сети компании "X" находится устройство - гейтвей, выполненное с возможностью пересылки всего или части трафика для анализа в инфраструктуру компании "G". Пересылка трафика реализована посредством его маршрутизации через центральный сервер. В распределенной сети центральный сервер является шлюзом для пиров. Шлюз используется пирами для передачи пакетов адресату, IP-адреса которого они не знают. Таким образом, когда гейтвею из локальной сети компании "X" нужно переслать пакет данных для анализа на одном из устройств, входящих в состав инфраструктуры компании "G", он пересылает пакет на центральный сервер, который, в свою очередь, выполнен с возможностью пересылать полученный пакет на соответствующий данному гейтвею эмиттер. Пересылка пакетов реализуется посредством туннелирования любым общеизвестным образом.In this example, the central server and emitter, part of the infrastructure of company "G", routes and analyzes potentially malicious traffic entering the local network of company "X". As part of the local network infrastructure of company "X" there is a device - a gateway, made with the ability to forward all or part of the traffic for analysis to the infrastructure of company "G". Traffic forwarding is implemented by routing it through a central server. In a distributed network, the central server is the gateway for peers. The gateway is used by peers to forward packets to a destination whose IP address they do not know. Thus, when a gateway from the local network of company "X" needs to send a data packet for analysis on one of the devices included in the infrastructure of company "G", it forwards the packet to the central server, which, in turn, is configured to forward the received package to the emitter corresponding to the given gateway. Packet forwarding is implemented through tunneling in any well-known manner.
На Фиг. 1 представлена схема возможной реализации описываемой технологии. Как показано на Фиг. 1, полигон 110 для анализа вредоносного контента содержит множество эмиттеров, таких как эмиттер 115. На центральном сервере 101 хранится таблица соседей 102. Таблица соседей 102 содержит информацию, необходимую для построения маршрутов между пирами; она может быть реализована общеизвестным образом, как база данных любого подходящего формата, например таблица MAC-адресов. В одном из примеров реализации таблицы соседей могут также храниться на гейтвеях 120 и на эмиттерах, таких как эмиттер 115.In FIG. 1 shows a diagram of a possible implementation of the described technology. As shown in FIG. 1, the malicious content analysis site 110 contains a plurality of emitters, such as emitter 115. A central server 101 stores a table of neighbors 102. The table of neighbors 102 contains information necessary to construct routes between peers; it may be implemented in a generally known manner, as a database of any suitable format, such as a MAC address table. In one example implementation, neighbor tables may also be stored on gateways 120 and emitters, such as emitter 115.
Следует заметить, что обмен информацией между всеми устройствами распределенной сети 100 осуществляется посредством вычислительной сети, такой, например, как сеть Интернет. Аналогичным образом может осуществляться обмен информацией между устройствами распределенной сети 100 и любыми внешними (относительно распределенной сети 100) вычислительными устройствами, такими, например, как внешний сервер 130.It should be noted that the exchange of information between all devices of the distributed network 100 is carried out through a computer network, such as the Internet. In a similar way, information can be exchanged between devices of the distributed network 100 and any external (relative to the distributed network 100) computing devices, such as, for example, an external server 130.
Пирами в данной распределенной сети являются эмиттеры и гейтвей 120. На каждом эмиттере, в частности, на эмиттере 115, как было ранее упомянуто, может быть установлена изолированная среда для детонации подозрительного контента (на чертеже условно не показана). Гейтвей 125 - это вычислительное устройство, которое находится в локальной сети 122 компании-клиента; оно выполнено с возможностью заменять IP-адрес отправителя на IP-адрес клиента.The peers in this distributed network are emitters and gateway 120. At each emitter, in particular at emitter 115, as previously mentioned, an isolated environment for detonation of suspicious content (not shown in the drawing) can be installed. Gateway 125 is a computing device that is located on the client company's local network 122; it is designed with the ability to replace the sender's IP address with the client's IP address.
Маршрутизация в распределенной сети настроена таким образом, что ни один из гейтвеев, таких как гейтвей 125, не может обмениваться данными с другими гейтвеями. Аналогично, ни один из эмиттеров не может обмениваться данными с другими эмиттерами. При этом от каждого из эмиттеров можно проложить маршрут до каждого из гейтвеев и обратно через центральный сервер 101.Routing in a distributed network is configured in such a way that no gateway, such as Gateway 125, can communicate with other gateways. Likewise, no emitter can communicate with any other emitter. In this case, from each of the emitters it is possible to create a route to each of the gateways and back through the central server 101.
В используемом примере маршрутизация настроена так, что гейтвей 125, находящийся в локальной сети 122 банка "X", не имеет возможности обмениваться данными с другими гейтвеями, которые, в частности, могут принадлежать другим компаниям. Вообще гейтвей 125 технически имеет возможность отправлять и принимать данные от любого эмиттера и от центрального сервера 101. Однако, в описываемом решении 100 маршрут настраивается всегда между одним эмиттером и одним гейтвеем. Поэтому в рамках рассматриваемого неограничивающего примера маршрут для гейтвея 125 банка "X" настраивается так, что данные передаются от эмиттера 115 сначала на центральный сервер 101, затем на гейтвей 125.In the example used, routing is configured so that gateway 125, located in the local network 122 of bank "X", is not able to exchange data with other gateways, which, in particular, may belong to other companies. In general, gateway 125 technically has the ability to send and receive data from any emitter and from the central server 101. However, in the described solution 100, the route is always configured between one emitter and one gateway. Therefore, in this non-limiting example, the route for gateway 125 of bank "X" is configured such that data is transferred from emitter 115 first to central server 101, then to gateway 125.
Важно отметить, что для реализации описываемого изобретения центральный сервер 101 должен иметь публичный IP-адрес. Притом гейтвей 125 может находиться за натом 121 и не иметь публичного IP-адреса. Аналогично, и эмиттер 115 может находиться за натом 116 и не иметь публичного IP-адреса.It is important to note that in order to implement the described invention, the central server 101 must have a public IP address. Moreover, gateway 125 may be behind gateway 121 and not have a public IP address. Likewise, emitter 115 may be behind node 116 and not have a public IP address.
В альтернативном варианте реализации и гейтвей 125, и эмиттер 115 могут иметь свои публичные IP-адреса и не находиться за натом.In an alternative implementation, both gateway 125 and emitter 115 may have their own public IP addresses and not be behind a network.
Далее будет подробно описан маршрут, по которому в ходе реализации вышеназванного примера с банком "X" и компанией "G" могут передаваться пакеты данных в распределенной сети 100.The following will describe in detail the route along which data packets may be transmitted in the distributed network 100 during the implementation of the above example with bank "X" and company "G".
На эмиттере 115 может быть сформирован запрос к внешнему серверу 130, который находится за пределами распределенной сети 100. Этот запрос к внешнему серверу может быть, например, переходом по внешней ссылке из электронного письма, полученного в установленной на эмиттере 115 изолированной среде, а внешний сервер 130 может являться командным сервером злоумышленника. Эмиттер 115 отправляет запрос в виде пакета исходящих данных на центральный сервер 101. Центральный сервер 101 пересылает пакет исходящих данных на гейтвей 125. Гейтвей 125 выполняет подмену IP-адреса отправителя на IP-адрес локальной сети 122, в которой этот гейтвей расположен, и пересылает пакет на внешний сервер 130. Вследствие описанной подмены адрес отправителя пакета (который может быть проанализирован программой злоумышленника на внешнем сервере 130) не будет иметь ничего общего с адресом эмиттера 115, поэтому злоумышленнику не станет известно, что открытие письма и переход по ссылке произошли в изолированной среде, а не на одном из устройств атакуемой локальной сети 122.The emitter 115 may generate a request to an external server 130 that is located outside the distributed network 100. This request to the external server may be, for example, following an external link from an email received in an isolated environment installed on the emitter 115, and the external server 130 may be the attacker's command and control server. Emitter 115 sends a request in the form of an outgoing data packet to the central server 101. Central server 101 forwards the outgoing data packet to gateway 125. Gateway 125 replaces the sender's IP address with the IP address of the local network 122 in which this gateway is located and forwards the packet to external server 130. Due to the described substitution, the address of the sender of the packet (which can be analyzed by the attacker’s program on external server 130) will have nothing in common with the address of the emitter 115, so the attacker will not know that the opening of the letter and clicking on the link occurred in an isolated environment , and not on one of the devices of the attacked local network 122.
Таким образом, когда внешний сервер 130 получит пакет, именно IP-адрес локальной сети 122 будет определен как адрес отправителя. Благодаря подмене IP-адреса, распределенная сеть 100 будет имитировать для злоумышленника локальную сеть клиента 122. Внешний сервер 130, если он принадлежит злоумышленникам, в ответ на запрос (переход по ссылке) высылает вредоносный контент, например, начинается загрузка вредоносной программы, на которую вела ссылка. Пакет входящего трафика, содержащий в себе вредоносный контент, передается на гейтвей 125. Гейтвей 125 пересылает пакет на центральный сервер 101. Центральный сервер 101 пересылает пакет на эмиттер 115. Таким образом, эмиттер 115 получает пакет, содержащий вредоносный контент. Эмиттер 115 распаковывает полученный пакет в изолированной среде и производит его анализ.Thus, when the external server 130 receives the packet, it is the IP address of the local network 122 that will be determined as the source address. Thanks to the substitution of the IP address, the distributed network 100 will imitate the local network of the client 122 for the attacker. The external server 130, if it belongs to the attackers, in response to a request (following a link) sends malicious content, for example, the download of the malicious program that was directed to link. An incoming traffic packet containing malicious content is sent to gateway 125. Gateway 125 forwards the packet to central server 101. Central server 101 forwards the packet to emitter 115. Thus, emitter 115 receives the packet containing malicious content. Emitter 115 unpacks the received packet in an isolated environment and analyzes it.
В приведенном примере происходит следующее. В локальной сети банка "X" получают электронное письмо от неизвестного отправителя. Письмо содержит ссылку для загрузки файла. Письмо перенаправляют на анализ в изолированную среду, установленную на эмиттере. На эмиттере выполняют переход по содержащейся в письме ссылке, то есть запрос к внешнему серверу для загрузки файла. Запрос автоматически пересылается сначала на центральный сервер, потом на гейтвей. Гейтвей, установленный в атакуемой локальной сети, подменяет IP-адрес эмиттера на IP-адрес локальной сети банка "X" и пересылает пакет на внешний сервер, возможно, принадлежащий злоумышленнику.In the example above, the following happens. On the local network of bank "X" they receive an email from an unknown sender. The letter contains a link to download the file. The letter is redirected for analysis to an isolated environment installed on the emitter. On the emitter, they follow the link contained in the letter, that is, a request to an external server to download the file. The request is automatically sent first to the central server, then to the gateway. The gateway installed on the attacked local network replaces the emitter's IP address with the IP address of the local network of bank "X" and forwards the packet to an external server, possibly belonging to the attacker.
Внешний сервер в полученном пакете определяет IP-адрес как адрес локальной сети банка "X", указанный в качестве отправителя. И высылает в ответ на полученный запрос пакет, содержащий потенциально вредоносный файл. Входящий пакет данных получают на гейтвее и пересылают обратно на эмиттер, но не напрямую, а через шлюз, функции которого выполняет центральный сервер.The external server in the received packet determines the IP address as the local network address of bank "X" specified as the sender. And in response to the received request, it sends a packet containing a potentially malicious file. The incoming data packet is received at the gateway and sent back to the emitter, but not directly, but through the gateway, the functions of which are performed by the central server.
Пересылка пакетов между акторами сети: эмиттером 115, центральным сервером 101 и гейтвеем 125 происходит благодаря туннелированию, переупаковке пакета на нескольких уровнях передачи данных. В предлагаемой технологии реализовано два интерфейса передачи данных поверх интернет-соединения - это Wireguard и GRE. Wireguard и GRE - это и протоколы взаимодействия, и программное обеспечение для реализации данных протоколов. Оба вида программного обеспечения имеют интерфейсы, посредством которых происходит их конфигурация.The forwarding of packets between network actors: emitter 115, central server 101 and gateway 125 occurs thanks to tunneling, repackaging the packet at several data transfer levels. The proposed technology implements two data transfer interfaces over an Internet connection - Wireguard and GRE. Wireguard and GRE are both communication protocols and software for implementing these protocols. Both types of software have interfaces through which their configuration occurs.
Далее данный способ будет описан детально.This method will be described in detail below.
Способ состоит из двух стадий: подготовительной и рабочей. На подготовительной стадии происходит настройка интерфейсов и настройка маршрутов между эмиттером 115 и соответствующим ему гейтвеем 125, IP-адреса эмиттера 115 и соответствующего ему гейтвея 125 прописываются в таблицу соседей 102 на центральном сервере 101.The method consists of two stages: preparatory and working. At the preparatory stage, interfaces are configured and routes are configured between the emitter 115 and the corresponding gateway 125; the IP addresses of the emitter 115 and the corresponding gateway 125 are registered in the table of neighbors 102 on the central server 101.
Подготовительная стадия 300 представлена на Фиг. 3. Она начинается с шага 310, на котором на центральном сервере, в рассматриваемом примере, на центральном сервере 101, создают два интерфейса: Wireguard и GRE. Для интерфейса GRE указывают, что он работает поверх интерфейса Wireguard. При данной настройке пакеты в настроенной распределенной сети будут инкапсулироваться в следующей очередности: UDP, Wireguard, GRE. Перечисленные действия могут быть выполнены любым общеизвестным образом. На этом шаг 310 завершается и способ переходит к шагу 320.The preparation stage 300 is shown in FIG. 3. It begins with step 310, in which two interfaces are created on the central server, in this example, on the central server 101: Wireguard and GRE. For the GRE interface, it is indicated that it runs on top of the Wireguard interface. With this setting, packets in the configured distributed network will be encapsulated in the following order: UDP, Wireguard, GRE. The listed actions can be performed in any well-known manner. This completes step 310 and the method proceeds to step 320.
На шаге 320 на центральном сервере 101 на интерфейсе Wireguard генерируют приватный ключ. Это может быть сделано любым общеизвестным образом. На этом шаг 320 завершается и способ переходит к шагу 330.At step 320, a private key is generated on the central server 101 on the Wireguard interface. This can be done in any generally known manner. This completes step 320 and the method proceeds to step 330.
На шаге 330 на центральном сервере 101 для интерфейса Wireguard с помощью соответствующей команды задают порт слушания, то есть указывают, какой именно порт сервера будет выполнять прослушивание входящих соединений. Это может быть сделано любым общеизвестным образом. На этом шаг 330 завершается и способ переходит к шагу 340.At step 330, on the central server 101, a listening port is set for the Wireguard interface using the appropriate command, that is, they indicate which server port will listen for incoming connections. This can be done in any generally known manner. This completes step 330 and the method proceeds to step 340.
На шаге 340 на центральном сервере 101 генерируют конфигурационные файлы для самого сервера, а также для всех эмиттеров и для всех гейтвеев, с которыми должен работать данный центральный сервер. В частности, в рассматриваемом примере конфигурационные файлы генерируют для эмиттера 115 и гейтвея 125.At step 340, configuration files are generated on the central server 101 for the server itself, as well as for all emitters and all gateways with which this central server must work. In particular, in the example under consideration, configuration files are generated for emitter 115 and gateway 125.
В конфигурационный файл центрального сервера для интерфейсов Wireguard и GRE добавляют IP-адреса центрального сервера. Как показано на Фиг. 2, на уровне Wireguard центральный сервер имеет два IP-адреса, причем один его IP-адрес 210 предназначен для взаимодействия с гейтвеями, а второй IP-адрес 220 - для взаимодействия с эммитерами. Из Фиг. 2 видно, что в рассматриваемом примере на уровне Wireguard за центральным сервером 101 закреплен IP-адрес 10.100.0.1/17 для взаимодействия с подсетью 230 эмиттеров, имеющей адрес 10.100.128.0/17, в то же время IP-адрес 10.100.128.1/17 закреплен за центральным сервером 101 для взаимодействия с подсетью 240 гейтвеев, имеющей адрес 10.100.0.0/17.The central server IP addresses are added to the central server configuration file for the Wireguard and GRE interfaces. As shown in FIG. 2, at the Wireguard level, the central server has two IP addresses, one of its IP address 210 is intended for interaction with gateways, and the second IP address 220 is for interaction with emitters. From Fig. 2 it can be seen that in the example under consideration at the Wireguard level, the central server 101 is assigned the IP address 10.100.0.1/17 for interaction with the emitter subnet 230, which has the address 10.100.128.0/17, at the same time the IP address is 10.100.128.1/17 assigned to the central server 101 for interaction with the gateway subnet 240, which has the address 10.100.0.0/17.
Следует заметить, что устройства, представляющие собой, например, гейтвей, находящиеся на уровне Wireguard в одной подсети 240, физически могут находиться в разных городах или даже разных странах. Аналогично, эмиттеры, находящиеся на уровне Wireguard в одной подсети 230, могут располагаться в произвольных точках земного шара.It should be noted that devices, which are, for example, gateways, located at the Wireguard level in the same subnet 240, may physically be located in different cities or even different countries. Likewise, emitters located at the Wireguard level on the same subnet 230 can be located in arbitrary locations around the globe.
Подсети также указывают в конфигурационном файле центрального сервера. Подсети - это списки IP-адресов, из числа которых пирам, то есть эмиттерам и гейтвеям, будут выдаваться IP-адреса при их последующей конфигурации. Указание подсетей в конфигурационном файле центрального сервера определяет возможность центрального сервера получать пакеты от заданной подсети и отправлять или передавать пакеты в заданные подсети. Важно отметить, что эмиттеры и гейтвей относятся к разным подсетям на уровне Wireguard. Как это видно на Фиг. 2, эмиттеры относятся к одной подсети 230, а гейтвей - к другой подсети 240. Выдача центральным сервером разных IP-адресов из непересекающихся подсетей для эмиттеров и гейтвеев на уровне Wireguard позволяет настроить маршруты таким образом, чтобы эмиттеры могли передавать пакеты гейтвеям и не могли передавать пакеты другим эмиттерам. По этой же причине и гейтвей будут способны передавать пакеты эмиттерам и не будут способны передавать пакеты другим гейтвеям. Это нужно для того, чтобы разные владельцы разных локальных сетей, например, конкурирующие банки, не могли получать доступ к локальной сети друг друга и производить натирование через гейтвей конкурентов.Subnets are also specified in the central server configuration file. Subnets are lists of IP addresses from which peers, that is, emitters and gateways, will be assigned IP addresses during their subsequent configuration. Specifying subnets in the central server configuration file determines the central server's ability to receive packets from a given subnet and send or forward packets to given subnets. It is important to note that emitters and gateways belong to different subnets at the Wireguard level. As can be seen in Fig. 2, emitters belong to one subnet 230, and gateways belong to another subnet 240. Issuing different IP addresses from non-overlapping subnets for emitters and gateways at the Wireguard level by the central server allows you to configure routes so that emitters can transmit packets to gateways and cannot transmit packages to other emitters. For the same reason, gateways will be able to transmit packets to emitters and will not be able to transmit packets to other gateways. This is necessary so that different owners of different local networks, for example, competing banks, cannot access each other’s local network and perform natification through competitors’ gateways.
Таким же образом указывают подсети в конфигурационных файлах для эмиттеров и для гейтвеев, причем подсети, указанные в конфигурационных файлах эмиттеров, отличаются от подсетей, указанных в конфигурационных файлах гейтвеев. Также в конфигурационном файле указывают UDP-порт, на котором центральный сервер слушает входящие Wireguard-пакеты.In the same way, subnets are specified in the configuration files for emitters and for gateways, and the subnets specified in the configuration files of emitters differ from the subnets specified in the configuration files of gateways. The configuration file also specifies the UDP port on which the central server listens for incoming Wireguard packets.
Перечисленные действия могут быть выполнены любым общеизвестным образом. На этом шаг 340 завершается и способ переходит к шагу 350.The listed actions can be performed in any well-known manner. This completes step 340 and the method proceeds to step 350.
На шаге 350 выполняют настройку маршрутов на центральном сервере 101, на уровне Wireguard, а также на уровне GRE. Притом уровень GRE в рамках данного решения работает поверх уровня Wireguard, который, в свою очередь, работает поверх уровня UDP. Это значит, что все пакеты сначала обрабатываются на уровне UDP, затем на уровне Wireguard, и лишь затем обрабатываются на уровне GRE.At step 350, routes are configured at the central server 101, at the Wireguard level, and also at the GRE level. Moreover, the GRE layer within this solution works on top of the Wireguard layer, which, in turn, works on top of the UDP layer. This means that all packets are first processed at the UDP level, then at the Wireguard level, and only then processed at the GRE level.
Как показано на Фиг. 2, на уровне Wireguard маршруты на центральном сервере 101 настраивают таким образом, чтобы все пакеты, которые отсылает центральный сервер 101 в подсеть эмиттеров 230, были отправлены с IP-адреса 220. Аналогично, все пакеты, которые центральный сервер 101 отсылает в подсеть гейтвеев 240, должны быть отправлены с IP-адреса 210.As shown in FIG. 2, at the Wireguard layer, the routes on the central server 101 are configured so that all packets that the central server 101 sends to the emitter subnet 230 are sent from IP address 220. Likewise, all packets that the central server 101 sends to the gateways subnet 240 , must be sent from IP address 210.
На уровне GRE (не показан на Фиг. 2) центральному серверу 101 назначают один IP-адрес, по одному адресу назначают каждому из гейтвеев и эмиттеров, причем на этом уровне IP-адреса гейтвеев и эмиттеров не разнесены в разные подсети, все они находятся в одной подсети.At the GRE level (not shown in Fig. 2), the central server 101 is assigned one IP address, one address is assigned to each of the gateways and emitters, and at this level the IP addresses of the gateways and emitters are not separated into different subnets, they are all located in one subnet.
Вышеперечисленные действия могут быть выполнены любым общеизвестным образом. На этом шаг 350 завершается и способ переходит к шагу 360.The above steps can be performed in any well-known manner. This completes step 350 and the method proceeds to step 360.
На шаге 360 выполняют регистрацию пиров, то есть эмиттеров и гейтвеев, посредством отправки запросов к управляющему интерфейсу. Управляющий интерфейс - это интерфейс взаимодействия для управления пирами в распределенной сети 100: он позволяет выполнять их добавление, удаление, а также получать информацию о текущих пирах. В процессе регистрации каждого пира через управляющий интерфейс на центральном сервере 101 выполняют следующие действия:At step 360, peers, that is, emitters and gateways, are registered by sending requests to the control interface. The management interface is an interaction interface for managing peers in the distributed network 100: it allows you to add them, delete them, and also obtain information about current peers. In the process of registering each peer through the control interface on the central server 101, the following actions are performed:
- генерируют приватный ключ для данного пира,- generate a private key for a given peer,
- генерируют на основании приватного ключа публичный ключ,- generate a public key based on the private key,
- аллоцируют (резервируют) IP-адреса для пира на уровне Wireguard,- allocate (reserve) IP addresses for peers at the Wireguard level,
- добавляют пары из публичного ключа и IP-адреса пира в интерфейс Wireguard,- add pairs from the public key and the peer’s IP address to the Wireguard interface,
- аллоцируют (резервируют) IP-адреса для пира на уровне GRE,- allocate (reserve) IP addresses for peers at the GRE level,
- добавляют соответствия IP-адресов пира на уровнях Wireguard и GRE в таблицу соседей,- add matches of peer IP addresses at the Wireguard and GRE levels to the neighbor table,
- добавляют в базу данных соответствия публичного ключа IP-адресов на уровнях Wireguard и GRE.- add public key IP addresses to the database at the Wireguard and GRE levels.
Перечисленные действия могут быть выполнены посредством запуска на сервере, например, по предварительно заданному расписанию, конфигурационного файла.The listed actions can be performed by running a configuration file on the server, for example, according to a predefined schedule.
Ответом на запрос о регистрации пира на центральном сервере является конфигурационный файл, содержащий приватный ключ, пару IP-адресов на уровнях Wireguard и GRE, информацию о центральном сервере, включающую его публичный ключ, а также адрес и UDP-порт, на котором центральный сервер слушает входящие Wireguard- пакеты. Получив конфигурационный файл, его любым общеизвестным образом передают на подлежащий конфигурации пир по закрытому каналу связи. На этом шаг 360 завершается и способ переходит к шагу 370.The response to a request to register a peer on a central server is a configuration file containing a private key, a pair of IP addresses at the Wireguard and GRE levels, information about the central server including its public key, and the address and UDP port on which the central server is listening incoming Wireguard packets. Having received the configuration file, it is transmitted in any well-known manner to the peer to be configured via a closed communication channel. This completes step 360 and the method proceeds to step 370.
На шаге 370 выполняют конфигурацию пиров, то есть эмиттеров и гейтвеев. Для этого запускают посредством скрипта утилиту wg-quick, которая поднимает интерфейс WireGuard и настраивает его в соответствии с установками, сохраненными в конфигурационном файле.At step 370, the peers, that is, the emitters and gateways, are configured. To do this, launch the wg-quick utility through a script, which brings up the WireGuard interface and configures it in accordance with the settings saved in the configuration file.
Ниже представлен пример конфигурационного файла эмиттера, такого, например, как эмиттер 115. Below is an example of an emitter configuration file, such as emitter 115.
Далее представлен пример конфигурационного файла гейтвея, такого, например, как гейтвей 125.The following is an example of a gateway configuration file, such as Gateway 125.
В процессе применения конфигурационного файла эмиттера посредством утилиты wg-quick выполняют следующие действия:When applying the emitter configuration file using the wg-quick utility, perform the following actions:
- создают Wireguard-интерфейс,- create a Wireguard interface,
- присваивают ему приватный ключ, указанный в конфигурационном файле,- assign it the private key specified in the configuration file,
- присваивают IP-адрес интерфейсу Wireguard,- assign an IP address to the Wireguard interface,
- добавляют в качестве пира центральный сервер 101, расположенный по указанному в конфигурационном файле IP-адресу 220, с указанным публичным ключом и разрешенной подсетью IP-адресов;- add as a peer the central server 101, located at the IP address 220 specified in the configuration file, with the specified public key and the allowed subnet of IP addresses;
- создают GRE-интерфейс, работающий поверх Wireguard-интерфейса, созданного ранее.- create a GRE interface that runs on top of the Wireguard interface created earlier.
- присваивают GRE-интерфейсу указанный IP-адрес,- assign the specified IP address to the GRE interface,
- добавляют в таблицу соседей соответствие между IP-адресами центрального сервера на уровнях Wireguard и GRE,- add to the neighbor table a correspondence between the IP addresses of the central server at the Wireguard and GRE levels,
- устанавливают маршруты до всех адресов в подсети GRE через шлюз (центральный сервер 101),- establish routes to all addresses in the GRE subnet through the gateway (central server 101),
- добавляют правила файрволла (firewall), разрешающие прием и отправку пакетов через созданные Wireguard- и GRE-интерфейсы- add firewall rules that allow packets to be received and sent through the created Wireguard and GRE interfaces
Для конфигурации эмиттера запуск конфигурационного файла выполняется на том вычислительном устройстве, например сервере, которое исполняет роль эмиттера 115.To configure an emitter, the configuration file is run on the computing device, such as a server, that plays the role of emitter 115.
Процесс конфигурации гейтвея выглядит аналогичным образом, но при этом добавляют еще один шаг: добавляют правила firewall, осуществляющего натирование пакетов, пришедших из подсети GRE. При конфигурации гейтвея запуск конфигурационного файла выполняют в локальной сети клиента 122, на том вычислительном устройстве, например ноутбуке, которое исполняет роль гейтвея 125.The gateway configuration process looks similar, but one more step is added: adding firewall rules that nat packets coming from the GRE subnet. When configuring a gateway, the configuration file is launched on the local network of the client 122, on the computing device, for example a laptop, that plays the role of gateway 125.
Все перечисленные шаги могут быть выполнены любым способом, известным специалистам в предметной области.All of the above steps can be performed in any manner known to those skilled in the subject matter.
На этом шаг 370 и подготовительная стадия 300 заканчиваются. Способ переходит к выполнению рабочей стадии 400.This completes step 370 and preparatory stage 300. The method proceeds to execution of operating step 400.
Рабочая стадия 400 будет описана применительно к Фиг. 4А на примере отправки запроса от эмиттера 115 на внешний сервер 130 и применительно к Фиг. 4Б на примере получения ответа от внешнего сервера 130 на эмиттере 115. Такая последовательность приведена исключительно для примера и не ограничивает описываемое решение; специалисту в предметной области понятно, что в различных ситуациях очередность запросов и ответов может быть иной.Operational step 400 will be described in relation to FIG. 4A using the example of sending a request from the emitter 115 to the external server 130 and in relation to FIG. 4B using the example of receiving a response from an external server 130 on an emitter 115. This sequence is given for illustrative purposes only and does not limit the described solution; a specialist in the subject area understands that in different situations the order of requests and responses may be different.
Рабочая стадия 400 начинается, как показано на Фиг. 4А, с выполнения шага 410. На шаге 410 передают пакет исходящего трафика от эмиттера 115 на центральный сервер 101. Этот пакет исходящего трафика содержит полезную нагрузку, которая предназначена для внешнего сервера 130. На эмиттере 115 перед передачей пакета выполняют его инкапсуляцию, таким образом, что пакет имеет следующий вид:Operational step 400 begins as shown in FIG. 4A, from step 410. At step 410, an outgoing traffic packet is transmitted from the emitter 115 to the central server 101. This outgoing traffic packet contains a payload that is intended for the external server 130. The emitter 115 encapsulates the packet before transmitting it, so that that the package looks like this:
- уровень полезной нагрузки;- payload level;
- уровень GRE: в качестве IP-адреса отправителя указывают IP-адрес эмиттера на уровне GRE, в качестве IP-адреса получателя указывают IP-адрес внешнего сервера;- GRE level: the sender’s IP address is the emitter’s IP address at the GRE level, the recipient’s IP address is the external server’s IP address;
- уровень Wireguard: в качестве IP-адреса отправителя указывают IP-адрес эмиттера на уровне Wireguard, в качестве IP-адреса получателя указывают IP-адрес гейтвея на уровне Wireguard;- Wireguard level: the sender IP address is the emitter IP address at the Wireguard level, the recipient IP address is the gateway IP address at the Wireguard level;
- уровень UDP. В UDP пакетах в заголовке в поле отправителя указывают WireGuard-порт эмиттера, в поле получателя указывают WireGuard-порт центрального сервера,- UDP level. In UDP packets, the WireGuard port of the emitter is indicated in the sender field of the header, the WireGuard port of the central server is indicated in the recipient field,
- уровень Интернет-соединения: в качестве IP-адреса отправителя указывают локальный IP-адрес эмиттера, в качестве IP-адреса получателя указывают публичный IP-адрес центрального сервера.- Internet connection level: the local IP address of the emitter is indicated as the sender’s IP address, the public IP address of the central server is indicated as the recipient’s IP address.
В одном из возможных способов реализации, как это показано на Фиг. 1, эмиттер 115 может находиться за натом 116 и не иметь своего публичного IP-адреса. В этом случае в пакете на уровне Интернет-соединения в качестве IP-адреса отправителя указывают локальный IP-адрес эмиттера 115. А при отправке пакета выполняют натирование и локальный IP-адрес эмиттера 115, указанный в качестве IP-адреса отправителя на уровне Интернет-соединения, заменяют на публичный IP-адрес эмиттера.In one possible implementation, as shown in FIG. 1, emitter 115 may be behind node 116 and not have its own public IP address. In this case, in the packet at the Internet connection level, the local IP address of the emitter 115 is specified as the sender's IP address. And when sending the packet, the local IP address of the emitter 115, specified as the sender's IP address at the Internet connection level, is also natted. , are replaced with the public IP address of the emitter.
В другом возможном способе реализации эмиттер 115 может иметь публичный IP-адрес. В этом случае данный публичный IP-адрес указывается в качестве отправителя на уровне Интернет-соединения и натирование не выполняется.In another possible implementation, emitter 115 may have a public IP address. In this case, this public IP address is specified as the sender at the Internet connection level and natification is not performed.
Все перечисленные действия выполняют любым общеизвестным образом.All of the above actions are performed in any generally known manner.
На этом шаг 410 завершается и способ переходит к шагу 415.This completes step 410 and the method proceeds to step 415.
В рассматриваемом примере на эмиттере 115 выполняют анализ данных, полученных из локальной сети (122, в соответствии с Фиг. 1) банка "X". Электронное письмо, направленное неизвестным отправителем сотруднику банка "X", перенаправляют для анализа в компанию "G", а именно в изолированную среду на эмиттере 115. На эмиттере 115 выполняют переход по ссылке (запрос) на внешний сервер 130, причем выполнение этого запроса может означать загрузку с сервера 130 потенциально вредоносного файла. Для того, чтобы переданный в ответ на запрос потенциально вредоносный файл с внешнего сервера 130 поступил на эмиттер 115, выполненный с возможностью анализа подобных файлов, а не на машину пользователя в локальной сети 122, данный запрос к внешнему серверу 130 формируют на эмиттере 115.In the example under consideration, the emitter 115 performs analysis of data received from the local network (122, in accordance with Fig. 1) of bank "X". An e-mail sent by an unknown sender to an employee of bank "X" is redirected for analysis to company "G", namely in an isolated environment on the emitter 115. At the emitter 115, a link is followed (a request) to an external server 130, and the execution of this request can means downloading a potentially malicious file from server 130. In order for a potentially malicious file transmitted in response to a request from an external server 130 to arrive at the emitter 115, which is capable of analyzing such files, and not to the user’s machine on the local network 122, this request to the external server 130 is generated at the emitter 115.
На шаге 415 на центральном сервере 101 получают пакет данных от эмиттера 115. В ответ на получение пакета на центральном сервере 101 выполняют его декапсуляцию и идентифицируют IP-адрес получателя на уровне Wireguard. Иными словами, на шаге 415 на центральном сервере компании "G" получают очередной пакет данных от того эмиттера, который ранее был конфигурирован для анализа подозрительного трафика, поступающего из локальной сети 122 банка "X".At step 415, the central server 101 receives a data packet from the emitter 115. In response to receiving the packet, the central server 101 decapsulates it and identifies the recipient's IP address at the Wireguard level. In other words, at step 415, the central server of company "G" receives the next data packet from the emitter that was previously configured to analyze suspicious traffic coming from the local network 122 of bank "X".
Все перечисленные действия выполняют любым общеизвестным образом.All of the above actions are performed in any generally known manner.
На этом шаг 415 завершается и способ переходит к выполнению шага 420.This completes step 415 and the method proceeds to step 420.
На шаге 420 в ответ на обнаружение, на шаге 415, в качестве получателя на уровне Wireguard IP-адреса гейтвея 125, выполняют пересылку пакета с центрального сервера 101 на гейтвей 125. На центральном сервере 101 выполняют инкапсуляцию пакета таким образом, что пакет имеет следующий вид:At step 420, in response to the discovery, at step 415, as a Wireguard recipient of the IP address of gateway 125, a packet is forwarded from the central server 101 to gateway 125. At the central server 101, the packet is encapsulated so that the packet is as follows: :
- уровень полезной нагрузки;- payload level;
- уровень GRE: в качестве IP-адреса отправителя указывают IP-адрес эмиттера 115 на уровне GRE, в качестве IP-адреса получателя указывают IP-адрес внешнего сервера 130;- GRE level: the IP address of the emitter 115 at the GRE level is indicated as the sender's IP address, the IP address of the external server 130 is indicated as the recipient's IP address;
- уровень Wireguard: в качестве IP-адреса отправителя указывают IP-адрес эмиттера 115 на уровне Wireguard, в качестве IP-адреса получателя указывают IP-адрес гейтвея 125 на уровне Wireguard;- Wireguard level: the sender IP address is the emitter IP address 115 at the Wireguard level, the recipient IP address is the gateway IP address 125 at the Wireguard level;
- уровень Интернет-соединения: в качестве IP-адреса отправителя указывают публичный IP-адрес центрального сервера 101, в качестве IP-адреса получателя указывают IP-адрес гейтвея 125.- Internet connection level: the public IP address of the central server 101 is indicated as the sender’s IP address, and the IP address of the gateway 125 is indicated as the recipient’s IP address.
В одном из возможных способов реализации, как это показано на Фиг. 1, гейтвей 125 может находиться за натом 121 и не иметь своего публичного IP-адреса. В этом случае в пакете на уровне Интернет-соединения в качестве IP-адреса получателя указывают публичный IP-адрес гейтвея 125 и при передаче пакета выполняют денатирование.In one possible implementation, as shown in FIG. 1, gateway 125 may be behind gateway 121 and not have its own public IP address. In this case, in the packet at the Internet connection level, the public IP address of gateway 125 is indicated as the recipient’s IP address, and when the packet is transmitted, denetting is performed.
В другом возможном способе реализации гейтвей 125 может иметь публичный IP-адрес. В этом случае данный публичный IP-адрес указывается в качестве отправителя на уровне Интернет-соединения и денатирование не выполняется.In another possible implementation, gateway 125 could have a public IP address. In this case, this public IP address is indicated as the sender at the Internet connection level and no denetting is performed.
Иными словами, на шаге 420 на центральном сервере компании "G" перенаправляют запрос, полученный от эмиттера, который был конфигурирован для работы с подозрительным трафиком банка "X", на гейтвей банка "X", находящийся в локальной сети 122 этого банка, для подмены IP-адреса.In other words, at step 420, the central server of company "G" redirects the request received from the emitter, which was configured to work with suspicious traffic of bank "X", to the gateway of bank "X", located on the local network 122 of this bank, for spoofing IP addresses.
Все перечисленные действия выполняют любым общеизвестным образом.All of the above actions are performed in any generally known manner.
На этом шаг 420 завершается и способ переходит к шагу 425.This completes step 420 and the method proceeds to step 425.
На шаге 425 на гейтвее 125 получают пакет от центрального сервера 101. В ответ на получение пакета на гейтвее 125 выполняют декапсуляцию, идентифицируют IP-адрес получателя на уровне Wireguard, а также идентифицируют IP-адрес получателя на уровне GPvE.At step 425, gateway 125 receives a packet from central server 101. In response to receiving the packet, gateway 125 decapsulates, identifies the recipient IP address at the Wireguard layer, and also identifies the recipient IP address at the GPvE layer.
В приведенном примере на шаге 420 на гейтвее 125, находящемся в локальной сети 122 банка "X", получают от центрального сервера 101 компании "G" данные, содержащие как полезную нагрузку (запрос к внешнему серверу 130), так и IP-адреса получателя и отправителя на уровнях Wireguard и GRE, а также идентифицируют эти адреса.In the example shown, at step 420, on gateway 125 located in the local network 122 of bank "X", data is received from the central server 101 of company "G" containing both the payload (request to the external server 130) and the recipient's IP addresses and sender at the Wireguard and GRE levels, and also identify these addresses.
Все перечисленные действия выполняют любым общеизвестным образом.All of the above actions are performed in any generally known manner.
На этом шаг 425 завершается и способ переходит к выполнению шага 430.This completes step 425 and the method proceeds to step 430.
В ответ на обнаружение, на шаге 425, в качестве получателя на уровне GRE IP-адреса внешнего сервера 130, на шаге 430 выполняют пересылку пакета с гейтвея 125 на внешний сервер 130. При этом на гейтвее 125 выполняют натирование пакета таким образом, что пакет имеет следующий вид:In response to the discovery, at step 425, as the GRE recipient of the IP address of the external server 130, at step 430, the packet is forwarded from the gateway 125 to the external server 130. At the same time, the gateway 125 performs natification of the packet such that the packet has the following form:
- уровень полезной нагрузки;- payload level;
- уровень Интернет-соединения: в качестве IP-адреса отправителя указывают IP-адрес гейтвея 125, в качестве IP-адреса получателя указывают IP-адрес внешнего сервера 130.- Internet connection level: the IP address of gateway 125 is indicated as the sender’s IP address, the IP address of the external server 130 is indicated as the recipient’s IP address.
В одном из возможных способов реализации гейтвей 125 может находиться за натом 126 и не иметь своего публичного IP-адреса. В этом случае в пакете на уровне Интернет-соединения в качестве IP-адреса получателя указывают локальный IP-адрес гейтвея 125 и при передаче пакета выполняют натирование.In one of the possible implementation methods, gateway 125 may be located behind gateway 126 and not have its own public IP address. In this case, in the packet at the Internet connection level, the local IP address of gateway 125 is indicated as the recipient's IP address, and natification is performed when transmitting the packet.
В другом возможном способе реализации гейтвей 125 может иметь публичный IP-адрес. В этом случае данный публичный IP-адрес указывается в качестве отправителя на уровне Интернет-соединения и натирование не выполняется.In another possible implementation, gateway 125 could have a public IP address. In this case, this public IP address is specified as the sender at the Internet connection level and natification is not performed.
Иными словами, на шаге 425 натирование выполняется на гейтвее 125, установленном в локальной сети 122 банка "X". В результате натирования в пакете вместо IP-адреса компании "G", на эмиттере 115 которой был сформирован исходный запрос, будет указан IP-адрес гейтвея 125, принадлежащий адресному пространству локальной сети 122 банка "X". Таким образом, внешний вредоносный сервер 130 при получении пакета идентифицирует IP-адрес гейтвея 125 как принадлежащий атакуемой локальной сети 122 и произведет ожидаемое воздействие, например, вышлет потенциально вредоносный контент, такой как вредоносный файл.In other words, at step 425, natification is performed on a gateway 125 installed in the local network 122 of bank "X". As a result of natification, instead of the IP address of company "G", on the emitter 115 of which the original request was generated, the packet will contain the IP address of gateway 125, which belongs to the address space of the local network 122 of bank "X". Thus, the external malicious server 130, upon receiving the packet, will identify the IP address of the gateway 125 as belonging to the attacked local network 122 and will produce the expected effect, for example, sending potentially malicious content, such as a malicious file.
Все перечисленные действия на данном шаге выполняют любым общеизвестным образом.All of the above actions at this step are performed in any well-known manner.
На этом шаг 430 завершается и способ переходит к шагу 435, описанному далее со ссылкой на Фиг. 4Б.This completes step 430 and the method proceeds to step 435, described below with reference to FIG. 4B.
На шаге 435 гейтвей 125 получает пакет входящего трафика от внешнего сервера 130. Пакет входящего трафика имеет следующий вид:At step 435, gateway 125 receives an incoming traffic packet from external server 130. The incoming traffic packet is as follows:
- уровень полезной нагрузки;- payload level;
- уровень Интернет-соединения: в качестве IP адреса отправителя указан IP-адрес внешнего сервера 130, в качестве IP-адреса получателя указан IP-адрес гейтвея 125.- Internet connection level: the IP address of external server 130 is specified as the sender’s IP address, and the IP address of gateway 125 is specified as the recipient’s IP address.
Получение пакета выполняется любым общеизвестным способом.The packet is received using any well-known method.
После получения пакета шаг 435 завершается и способ переходит к шагу 440.After receiving the packet, step 435 ends and the method proceeds to step 440.
На шаге 440 пакет, полученный на шаге 435, пересылают на центральный сервер 101. С этой целью на гейтвее 125 выполняют запрос к таблице маршрутизации и получают IP-адрес шлюза на уровне GRE, то есть IP-адрес центрального сервера 101 на уровне GRE. Далее выполняют обращение к таблице соседей для получения IP-адреса 210 центрального сервера 101 на уровне WireGuard. Все эти действия выполняются общеизвестным образом, штатными средствами используемой на гейтвее 125 операционной системы.At step 440, the packet received at step 435 is forwarded to the central server 101. To this end, gateway 125 queries the routing table and obtains the GRE gateway IP address, that is, the GRE IP address of central server 101. Next, a neighbor table is accessed to obtain the IP address 210 of the central server 101 at the WireGuard level. All these actions are performed in a well-known manner, using standard means of the operating system used on the Gateway 125.
После пересылки пакета шаг 440 завершается и способ переходит к шагу 445.After the packet has been forwarded, step 440 ends and the method proceeds to step 445.
На шаге 445 полученный пакет пересылают с центрального сервера 101 на эмиттер 115. Для этого пакет инкапсулируют таким образом, что он имеет следующий вид:At step 445, the received packet is sent from the central server 101 to the emitter 115. To do this, the packet is encapsulated in such a way that it looks like this:
- уровень полезной нагрузки;- payload level;
- уровень GRE: в качестве IP-адреса отправителя указывают IP-адрес внешнего сервера 130, в качестве IP-адреса получателя указывают IP-адрес эмиттера 115 на уровне GRE;- GRE level: the IP address of the external server 130 is indicated as the sender's IP address, the IP address of the emitter 115 at the GRE level is indicated as the recipient's IP address;
- уровень Wireguard: в качестве IP-адреса отправителя указывают IP-адрес гейтвея 125 на уровне Wireguard, в качестве IP-адреса получателя указывают IP-адрес эмиттера 115 на уровне Wireguard;- Wireguard level: the sender IP address is the IP address of gateway 125 at the Wireguard level, the recipient IP address is the emitter IP address 115 at the Wireguard level;
- уровень Интернет-соединения: в качестве IP-адреса отправителя указывают IP-адрес центрального сервера 101, в качестве IP-адреса получателя указывают публичный IP-адрес эмиттера 115.- Internet connection level: the IP address of the central server 101 is indicated as the sender’s IP address, the public IP address of the emitter 115 is indicated as the recipient’s IP address.
Все перечисленные действия на данном шаге выполняют любым общеизвестным образом.All of the above actions at this step are performed in any well-known manner.
В приведенном примере на шагах 435-445 поступивший с внешнего сервера 130 потенциально вредоносный файл, будет получен гейтвеем 125 и переслан в полигон 110 компании "G" для анализа, для чего он будет сначала отправлен с гейтвея 125 на центральный сервер 101, а затем с центрального сервера 101 на эмиттер 115.In the given example, at steps 435-445, a potentially malicious file received from external server 130 will be received by gateway 125 and sent to test site 110 of company "G" for analysis, for which it will first be sent from gateway 125 to central server 101, and then from central server 101 to emitter 115.
На этом шаг 445 завершается и способ переходит к шагу 450.This completes step 445 and the method proceeds to step 450.
На шаге 450 пакет входящего трафика получают на эмиттере 115 и выполняют анализ содержимого полезной нагрузки. В частности, в одном из возможных вариантов реализации анализ может подразумевать детонацию (срабатывание) вредоносного файла, содержавшегося в полезной нагрузке пакетов, выявление и изучение действий, выполняемых запустившимся файлом, и т.д.At step 450, the incoming traffic packet is received at emitter 115 and the contents of the payload are analyzed. In particular, in one possible implementation, the analysis may involve detonating (triggering) a malicious file contained in the payload of packets, identifying and studying the actions performed by the launched file, etc.
В приведенном примере реализации потенциально вредоносный файл получают на эмиттере 115 и запускают в изолированной среде. В изолированной среде может выполняться анализ загруженного файла, что позволяет определить, является ли он вредоносным или безопасным. Далее, если анализ показал, что файл является безопасным, то электронное письмо, в котором была получена ссылка на загрузку данного файла, может быть помечено как безопасное и доставлено адресату, сотруднику компании "X". Все эти действия могут выполняться любыми способами, хорошо известными специалисту в предметной области.In the example implementation shown, a potentially malicious file is received at emitter 115 and executed in a sandboxed environment. A sandboxed environment can analyze a downloaded file to determine whether it is malicious or benign. Further, if the analysis showed that the file is safe, then the email in which the link to download this file was received can be marked as safe and delivered to the recipient, an employee of company “X”. All of these actions can be performed by any means well known to one skilled in the art.
На этом шаг 450 и способ 400 завершаются.This completes step 450 and method 400.
В предпочтительном варианте реализации центральный сервер 101 и эмиттер 115 могут быть реализованы как вычислительное устройство, в частности, как сервер, мейнфрейм или как облачная инфраструктура, то есть совокупность (кластер) серверов. Возможны также альтернативные варианты реализации, в которых центральный сервер 101 и эмиттер 115 могут быть реализованы как любые другие вычислительные устройства, способные выполнять описанные выше функции.In a preferred embodiment, the central server 101 and emitter 115 may be implemented as a computing device, in particular as a server, a mainframe, or a cloud infrastructure, that is, a collection (cluster) of servers. Alternative implementations are also possible in which the central server 101 and emitter 115 can be implemented like any other computing devices capable of performing the functions described above.
Специалисту будет очевидно, что гейтвей 125 может быть реализован как любое вычислительное устройство, находящееся в локальной сети клиента и позволяющее реализовать описанные выше функции маршрутизации, например, как персональный компьютер, мейнфрейм, сервер, серверный кластер, тонкий клиент, смартфон, ноутбук, планшет и так далее.It will be obvious to a specialist that gateway 125 can be implemented as any computing device located in the client’s local network and allowing the implementation of the routing functions described above, for example, as a personal computer, mainframe, server, server cluster, thin client, smartphone, laptop, tablet, etc. etc.
На Фиг. 5 далее будет представлена общая схема вычислительного устройства 500, обеспечивающего обработку данных, необходимую для реализации заявленного решения.In FIG. 5 will further present a general diagram of a computing device 500 that provides the data processing necessary to implement the claimed solution.
В общем случае устройство 500 содержит такие компоненты, как: один или более процессоров 501, по меньшей мере одну память 502, средство хранения данных 503, интерфейсы ввода/вывода 504, средства В/В 505, средства передачи данных 506.In general, device 500 includes components such as: one or more processors 501, at least one memory 502, data storage means 503, input/output interfaces 504, I/O means 505, data transfer means 506.
Процессор 501 устройства выполняет основные вычислительные операции, необходимые для функционирования устройства 500 или функциональности одного или более его компонентов. Процессор 501 исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти 502.The device processor 501 performs basic computing operations necessary for the operation of the device 500 or the functionality of one or more components thereof. The processor 501 executes the necessary machine-readable instructions contained in the main memory 502.
Память 502, как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемую функциональность устройства.Memory 502 is typically in the form of RAM and contains the necessary software logic to provide the required functionality of the device.
Средство хранения данных 503 может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Blue-Ray дисков) и т.п.Средство хранения данных 503 позволяет выполнять долгосрочное хранение различного вида информации, например, вышеупомянутых конфигурационных файлов, промежуточных данных, программных машиночитаемых инструкций, предназначенных для исполнения процессором 501, баз данных и т.п.The data storage medium 503 can be in the form of HDD, SSD drives, raid array, network storage, flash memory, optical storage devices (CD, DVD, MD, Blue-Ray disks), etc. The data storage medium 503 allows for long-term storing various types of information, for example, the above-mentioned configuration files, intermediate data, computer-readable program instructions for execution by the processor 501, databases, and the like.
Интерфейсы 504 представляют собой стандартные средства для подключения и работы, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, FireWire и т.п.504 interfaces are standard means for connection and operation, for example, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, FireWire, etc.
Выбор интерфейсов 504 зависит от конкретного исполнения устройства 500, которое может представлять собой персональный компьютер, мейнфрейм, сервер, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п.The choice of interfaces 504 depends on the specific implementation of the device 500, which may be a personal computer, mainframe, server, server cluster, thin client, smartphone, laptop, etc.
В качестве средств В/В данных 505 может использоваться клавиатура. Помимо клавиатуры, в составе средств В/В данных также может использоваться: джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п.The data I/O means 505 may be a keyboard. In addition to the keyboard, I/O data tools can also include: joystick, display (touch display), projector, touchpad, mouse, trackball, light pen, speakers, microphone, etc.
Средства сетевого взаимодействия 506 выбираются из устройств, обеспечивающий сетевой прием и передачу данных, например, Ethernet карту, WLAN/Wi-Fi модуль, Bluetooth модуль, BLE модуль, NFC модуль, IrDa, RFID модуль, GSM модем и т.п. С помощью средств 506 обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM.Network interaction means 506 are selected from devices that provide network reception and transmission of data, for example, an Ethernet card, WLAN/Wi-Fi module, Bluetooth module, BLE module, NFC module, IrDa, RFID module, GSM modem, etc. Using tools 506, the organization of data exchange is ensured over a wired or wireless data transmission channel, for example, WAN, PAN, LAN, Intranet, Internet, WLAN, WMAN or GSM.
Компоненты устройства 500 сопряжены посредством общей шины передачи данных 510.The components of device 500 are interfaced via a common data bus 510.
В настоящих материалах заявки были представлены варианты предпочтительного раскрытия осуществления заявленного технического решения, которые не должны использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.In these application materials, options for the preferred disclosure of the implementation of the claimed technical solution were presented, which should not be used as limiting other, private embodiments of its implementation, which do not go beyond the scope of the requested scope of legal protection and are obvious to specialists in the relevant field of technology.
Claims (36)
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2022114307A Division RU2797264C1 (en) | 2022-05-27 | 2022-05-27 | Method and system for tunnelling traffic in a distributed network to detonate malicious software |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2820803C1 true RU2820803C1 (en) | 2024-06-10 |
Family
ID=
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086367A1 (en) * | 2003-10-20 | 2005-04-21 | Transwitch Corporation | Methods and apparatus for implementing multiple types of network tunneling in a uniform manner |
| WO2016081561A1 (en) * | 2014-11-20 | 2016-05-26 | Attivo Networks Inc. | System and method for directing malicious activity to a monitoring system |
| RU2595968C2 (en) * | 2011-09-09 | 2016-08-27 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Control activation templates |
| US20180332005A1 (en) * | 2014-09-30 | 2018-11-15 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter ip and peer-checking evasion techniques |
| US20200252429A1 (en) * | 2016-12-19 | 2020-08-06 | Attivo Networks Inc. | Deceiving Attackers Accessing Network Data |
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086367A1 (en) * | 2003-10-20 | 2005-04-21 | Transwitch Corporation | Methods and apparatus for implementing multiple types of network tunneling in a uniform manner |
| RU2595968C2 (en) * | 2011-09-09 | 2016-08-27 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Control activation templates |
| US20180332005A1 (en) * | 2014-09-30 | 2018-11-15 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter ip and peer-checking evasion techniques |
| WO2016081561A1 (en) * | 2014-11-20 | 2016-05-26 | Attivo Networks Inc. | System and method for directing malicious activity to a monitoring system |
| US20200252429A1 (en) * | 2016-12-19 | 2020-08-06 | Attivo Networks Inc. | Deceiving Attackers Accessing Network Data |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112422481B (en) | Trapping method, system and forwarding equipment for network threats | |
| US10567431B2 (en) | Emulating shellcode attacks | |
| US9571523B2 (en) | Security actuator for a dynamically programmable computer network | |
| US9762599B2 (en) | Multi-node affinity-based examination for computer network security remediation | |
| US9942130B2 (en) | Selective routing of network traffic for remote inspection in computer networks | |
| US10476891B2 (en) | Monitoring access of network darkspace | |
| US9680852B1 (en) | Recursive multi-layer examination for computer network security remediation | |
| US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
| US8234361B2 (en) | Computerized system and method for handling network traffic | |
| US10979453B2 (en) | Cyber-deception using network port projection | |
| KR102545124B1 (en) | Automated Packetless Network Reachability Analysis | |
| US8528092B2 (en) | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking | |
| JP2019097133A (en) | Communication monitoring system and communication monitoring method | |
| US11539722B2 (en) | Security threat detection based on process information | |
| US10554547B2 (en) | Scalable network address translation at high speed in a network environment | |
| WO2013144713A1 (en) | Articles of manufacture, service provider computing methods, and computing service systems | |
| AU2021269297A1 (en) | Systems and methods for providing a ReNAT communications environment | |
| JP2024023875A (en) | Inline malware detection | |
| CN110995763B (en) | Data processing method and device, electronic equipment and computer storage medium | |
| Bernardo et al. | Multi-layer security analysis and experimentation of high speed protocol data transfer for GRID | |
| RU2820803C1 (en) | Method and system for tunneling traffic in distributed network | |
| RU2797264C1 (en) | Method and system for tunnelling traffic in a distributed network to detonate malicious software | |
| US11522913B1 (en) | Simplifying networking setup complexity for security agents | |
| US20230388275A1 (en) | Method and a system of tunneling traffic in a distributed network for detecting malware | |
| Tudosi et al. | Network congestion solution for FTP services based on distributed firewall and snort |