Родственные заявки
[0001] По настоящей заявке испрашивается приоритет по дате подачи предварительной заявки на патент США №62/090,547, поданной 11 декабря 2014, с названием "Systems and Methods for Securing Network Endpoints", предварительной заявки на патент США №62/180,390, поданной 16 июня 2015, с названием "Systems and Methods for Automatic Device Detection, Device Management, and Remote Assistance", и предварительной заявки на патент США №62/217,310, поданной 11 сентября 2015, с названием "Systems and Methods for Automatic Network Service Takeover", содержание которых полностью включено в настоящий документ посредством ссылки.
УРОВЕНЬ ТЕХНИКИ
[0002] Изобретение относится к системам и способам обеспечения безопасности оконечных сетевых точек против угроз компьютерной безопасности, а также к системам и способам автоматического обнаружения устройства и удаленного управления устройством.
[0003] Вредоносное программное обеспечение, также известное как вредоносные программы, воздействует на большое количество компьютерных систем по всему миру. Во множестве своих форм, таких как компьютерные вирусы, инструменты эксплуатации уязвимости и шпионские программы, вредоносные программы представляют собой серьезный риск для миллионов компьютерных пользователей, подвергая их, среди прочего, опасности потери данных и конфиденциальной информации, хищения идентификационных данных и потери производительности.
[0004] В настоящее время к коммуникационным сетям и к Интернету подключается большое количество устройств, неофициально именуемых "Интернет вещей" (IоТ). К таким устройствам относятся, среди прочего, смартфоны, умные часы, телевизоры и другие мультимедийные устройства, игровые консоли, бытовая техника и различные бытовые датчики, такие как термостаты. По мере того как все больше таких устройств выходят в сеть, они становятся мишенями для угроз безопасности. Таким образом, возрастает необходимость в обеспечении безопасности таких устройств по отношению к вредоносным программам, а также в защите сообщений, проходящих к таким устройствам и от них.
[0005] Кроме того, распространение таких интеллектуальных устройств в таких средах, как дома и офисы, создает возрастающую проблему управления устройствами и сетями. Когда каждое устройство использует отдельный интерфейс конфигурирования и требует отдельных настроек подключения, управление большим количеством таких устройств может стать обременительным, особенно для обычного домашнего пользователя, не обладающего опытом администрирования сети. Таким образом, растет интерес к разработке систем и способов автоматического обнаружения и конфигурирования устройства, в частности с акцентом на безопасность.
РАСКРЫТИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ
[0006] В соответствии с одним аспектом предусмотрен сетевой регулятор, который содержит аппаратный процессор и запоминающее устройство, при этом аппаратный процессор конфигурирован так, чтобы, в ответ на получение набора настроек безопасности от удаленного сервера конфигурирования, конфигурировать сетевой регулятор в соответствии с настройками безопасности, причем конфигурирование сетевого регулятора в соответствии с настройками безопасности приводт к тому, что сетевой регулятор защищает множество клиентских систем от угроз компьютерной безопасности, при этом множество клиентских систем подсоединены к локальной сети, причем маршрутизатор предоставляет сетевую службу, содержащую назначение сетевых адресов множеству клиентских систем. Аппаратный процессор дополнительно конфигурирован так, чтобы, в ответ на соединение с маршрутизатором по локальной сети, устанавливать туннель, соединяющий сетевой регулятор с сервером конфигурирования, при этом установка туннеля содержит конфигурирование сетевого регулятора для перенаправления на маршрутизатор сообщения, полученного через туннель, причем сообщение конфигурировано так, чтобы приводить к прерыванию сетевой службы. Аппаратный процессор дополнительно конфигурирован так, чтобы, в ответ на прерывание, брать на себя сетевую службу от маршрутизатора.
[0007] В соответствии с другим аспектом предусмотрен сервер конфигурирования, который содержит по меньшей мере один аппаратный процессор и запоминающее устройство, причем упомянутый по меньшей мере один аппаратный процессор конфигурирован для передачи набора настроек безопасности на сетевой регулятор, соединенный с удаленной сетью, при этом конфигурирование сетевого регулятора в соответствии с настройками безопасности приводит к тому, что сетевой регулятор защищает множество клиентских систем от угроз компьютерной безопасности, причем множество клиентских систем соединены с удаленной сетью, при этом маршрутизатор предоставляет сетевую службу, содержащую назначение сетевых адресов множеству клиентских систем. Упомянутый по меньшей мере один аппаратный процессор дополнительно конфигурирован для передачи сообщения в сетевой регулятор через туннель, установленный сетевым регулятором, при этом туннель соединяет сетевой регулятор с сервером конфигурирования, причем установка туннеля содержит конфигурирование сетевого регулятора для перенаправления сообщения на маршрутизатор, при этом сообщение конфигурировано так, чтобы приводить к прерыванию сетевой службы.
[0008] В соответствии с другим аспектом предусмотрен долговременный машиночитаемый носитель, который хранит команды, которые при их исполнении по меньшей мере одним аппаратным процессором сетевого регулятора приводят к тому, что сетевой регулятор, в ответ на получение набора настроек безопасности от удаленного сервера конфигурирования, конфигурирует сетевой регулятор в соответствии с настройками безопасности, при этом конфигурирование сетевого регулятора в соответствии с настройками безопасности приводит к тому, что сетевой регулятор защищает множество клиентских систем от угроз компьютерной безопасности, причем множество клиентских систем соединены с локальной сетью, при этом маршрутизатор предоставляет сетевую службу, содержащую назначение сетевых адресов множеству клиентских систем. Упомянутые команды дополнительно приводят к тому, что сетевой регулятор, в ответ на соединение с маршрутизатором по локальной сети, устанавливает туннель, соединяющий сетевой регулятор с сервером конфигурирования, при этом установка туннеля содержит конфигурирование сетевого регулятора для перенаправления на маршрутизатор сообщения, полученного через туннель от сервера конфигурирования, причем сообщение конфигурировано так, чтобы приводить к прерыванию сетевой службы. Упомянутые команды дополнительно заставляют сетевой регулятор, в ответ на прерывание, взять на себя сетевую службу от маршрутизатора.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0009] Вышеупомянутые аспекты и преимущества настоящего изобретения станут более понятными по прочтении подробного описания, приводимого ниже со ссылками на чертежи, где показано следующее.
[0010] На фиг. 1-А показаны примерная конфигурация клиентских систем, соединенных локальной сетью, и сетевой регулятор, защищающий клиентские системы от угроз компьютерной безопасности, согласно некоторым вариантам осуществления настоящего изобретения.
[0011] На фиг. 1-В показана альтернативная конфигурация клиентских систем и сетевого регулятора "согласно некоторым вариантам осуществления настоящего изобретения.
[0012] На фиг. 2 показан набор удаленных серверов, взаимодействующих с сетевым регулятором, согласно некоторым вариантам осуществления настоящего изобретения.
[0013] На фиг. 3 показан пример аппаратной конфигурации клиентской системы согласно некоторым вариантам осуществления настоящего изобретения.
[0014] На фиг. 4 показан пример аппаратной конфигурации сетевого регулятора согласно некоторым вариантам осуществления настоящего изобретения.
[0015] На фиг. 5 показан пример аппаратной конфигурации устройства администрирования согласно некоторым вариантам осуществления настоящего изобретения.
[0016] На фиг. 6 показан набор примерных компонентов программного обеспечения, исполняющихся в защищенной клиентской системе, согласно некоторым вариантам осуществления настоящего изобретения.
[0017] На фиг. 7 показан набор примерных компонентов программного обеспечения, исполняющихся в сетевом регуляторе, согласно некоторым вариантам осуществления настоящего изобретения.
[0018] На фиг. 8 показан пример программного обеспечения, исполняющегося в маршрутизаторе, согласно некоторым вариантам осуществления настоящего изобретения.
[0019] На фиг. 9 показан пример программного обеспечения, исполняющегося на устройстве администрирования, согласно некоторым вариантам осуществления настоящего изобретения.
[0020] На фиг. 10 показана примерная последовательность этапов, выполняемых сетевым регулятором, согласно некоторым вариантам осуществления настоящего изобретения.
[0021] На фиг. 11 показан пример обмена данными между маршрутизатором, сетевым репримергулятором и сервером конфигурирования, выполняемый во время процедуры взятия на себя сетевых служб, согласно некоторым вариантам осуществления настоящего изобретения.
[0022] На фиг. 12 показана примерная последовательность этапов, выполняемых сетевым регулятором во время процедуры взятия на себя сетевых служб, согласно некоторым вариантам осуществления настоящего изобретения.
[0023] На фиг. 13 показан альтернативный обмен данными, выполняемый во время взятия на себя сетевых служб, согласно некоторым вариантам осуществления настоящего изобретения.
[0024] На фиг. 14 показана примерная последовательность этапов, выполняемых сетевым регулятором совместно с сервером конфигурирования для осуществления взятия на себя сетевых служб, согласно некоторым вариантам осуществления настоящего изобретения.
[0025] На фиг. 15 показан обмен данными между маршрутизатором, сетевым регулятором и клиентской системой, выполняемый в другом примере процедуры взятия на себя сетевых служб, согласно некоторым вариантам осуществления настоящего изобретения.
[0026] На фиг. 16 показана другая примерная последовательность этапов, выполняемых сетевым регулятором во время процедуры взятия на себя сетевых служб, согласно некоторым вариантам осуществления настоящего изобретения.
[0027] На фиг. 17 показан пример обмена данными между клиентской системой, сетевым регулятором и сервером конфигурирования как часть установки специфического для устройства агента.
[0028] На фиг. 18 показана примерная последовательность этапов, выполняемых сетевым регулятором во время процедуры установки агента, согласно некоторым вариантам осуществления настоящего изобретения.
[0029] На фиг. 19-А показан вариант осуществления настоящего изобретения, в котором часть сетевого трафика сканируется на сервере безопасности, согласно некоторым вариантам осуществления настоящего изобретения.
[0030] На фиг. 19-В показан вариант осуществления настоящего изобретения, в котором часть сетевого трафика сканируется сетевым регулятором, согласно некоторым вариантам осуществления настоящего изобретения.
[0031] На фиг. 20 показан пример обмена данными между клиентской системой, сетевым регулятором и сервером конфигурирования как часть конфигурирования вспомогательного агента виртуальной частной сети (VPN) и безопасного соединения для защищенной клиентской системы, согласно некоторым вариантам осуществления настоящего изобретения.
[0032] На фиг. 21 показана примерная последовательность этапов, выполняемых клиентской системой для работы агента VPN, согласно некоторым вариантам осуществления настоящего изобретения.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
[0033] В нижеследующем описании подразумевается, что все упоминаемые соединения между структурами могут быть непосредственными функциональными соединениями или опосредованными функциональными соединениями через промежуточные структуры. Набор элементов содержит один или более элементов. Любое упоминание элемента понимается как относящееся к по меньшей мере одному элементу. Множество элементов содержит по меньшей мере два элемента. Если не требуется иное, любые описанные этапы способа не обязательно должны выполняться в конкретном проиллюстрованном порядке. Первый элемент (например, данные), полученный из второго элемента, охватывает первый элемент, эквивалентный второму элементу, а также первый элемент, генерированный посредством обработки второго элемента и, опционально, другие данные. Выполнение определения или решения в соответствии с параметром охватывает выполнение определения или решения в соответствии с этим параметром и, опционально, в соответствии с другими данными. Если не указано иное, индикатор некоторой величины/данных может представлять собой сами величину/данные, или индикатор, отличный от самих величины/данных. Понятие «кКомпьютерная безопасность» охватывает защиту пользователей и аппаратного оборудования от непреднамеренного или несанкционированного доступа к данным и/или аппаратному оборудованию, от непреднамеренной или несанкционированной модификации данных и/или аппаратного оборудования, а также от разрушения данных и/или аппаратного оборудования. Компьютерная программа представляет собой последовательность процессорных команд, выполняющих задачу. Компьютерные программы, описанные в некоторых вариантах осуществления настоящего изобретения, могут быть автономными программными объектами или подобъектами (например, подпрограммами, библиотеками) других компьютерных программ. Подразумевается, что два устройства соединены с одной и той же локальной сетью или принадлежат ей, если их сетевые адреса принадлежат одной и той же подсети и/или когда они оба имеют один и тот же широковещательный адрес. Туннель есть виртуальное соединение "точка-точка" между двумя объектами, соединенными с коммуникационной сетью. Машиночитаемые носители включают в себя долговременные носители, такие как магнитные, оптические и полупроводниковые запоминающие носители (например, жесткие диски, оптические диски, флэш-память, DRAM), а также линии связи, такие как токопроводящие кабели и волоконно-оптические линии. Согласно некоторым вариантам осуществления, настоящее изобретение предусматривает, в частности, компьютерные системы, содержащие аппаратное оборудование (например, один или более микропроцессоров), программированное для выполнения способов, описанных в настоящем документе, и машиночитаемые носители, кодирующие команды для выполнения способов, описанных в настоящем документе.
[0034] В нижеследующем описании проиллюстрированы примеры осуществления изобретения, необязательно с ограничением таковых.
[0035] Figs. 1-А-В показаны примеры конфигурации 10а-b сети согласно некоторым вариантам осуществления настоящего изобретения, в которых множество клиентских систем 12a-f соединены друг с другом посредством локальной сети 14 и дополнительно соединены с расширенной сетью 16, такой как Интернет. Клиентские системы 12a-f могут представлять собой любое электронное устройство, имеющее процессор, запоминающее устройство и коммуникационный интерфейс. Примеры клиентских систем 12a-f включают в себя, среди прочего, персональные компьютеры, ноутбуки, планшетные компьютеры, мобильные телекоммуникационные устройства (например, смартфоны), медиаплееры, телевизоры, игровые консоли, бытовую технику (например, холодильники, термостаты, интеллектуальные системы отопления и/или освещения), и носимые устройства (например, умные часы, спортивное и фитнес-оборудование). Локальная сеть 14 может содержать локальную вычислительную сеть (LAN). Примеры локальных сетей 14 могут включать в себя, среди прочего, домашнюю сеть и корпоративную сеть.
[0036] Маршрутизатор 19 содержит электронное устройство, обеспечивающее возможность коммуникации между клиентскими системами 12a-f и/или доступа клиентских систем 12a-f к расширенной сети 16. В некоторых вариантах осуществления маршрутизатор 19 действует как шлюз между локальной сетью 14 и расширенной сетью 16, и предоставляет набор сетевых служб для клиентских систем 12a-f. Если не указано иное, термин "сетевые службы" используется в данном документе для обозначения служб, обеспечивающих коммуникацию друг с другом клиентских систем 12a-f, а также коммуникацию между клиентскими системами 12a-f и другими объектами. Такие службы могут включать в себя, например, распределение параметров конфигурации сети (например, сетевых адресов) в клиентских системах 12a-f и коммуникацию маршрутизации между участвующими оконечными точками. Как пример, сетевые службы реализуют протокол динамического конфигурирования хоста (DHCP).
[0037] На фиг. 1-А-В дополнительно показан сетевой регулятор 18, соединенный с локальной сетью 14. В некоторых вариантах осуществления сетевой регулятор 18 содержит сетевое устройство, конфигурированное для выполнения различных служб для клиентских систем 12a-f. К таким службам относятся, в частности, службы компьютерной безопасности (например, средства защиты от вредоносных программ, обнаружение вторжений, средства защиты от шпионских программ и т.д.), управление устройствами (например, удаленное конфигурирование клиентских систем 12a-f), службы родительского контроля, службы безопасной связи (например, виртуальная частная сеть - VPN) и удаленная техническая помощь (например, устранение неисправностей устройств и/или сетей).
[0038] В типичном приложении согласно некоторым вариантам осуществления настоящего изобретения сетевой регулятор 18 вводится в локальную сеть, уже конфигурированную и управляемую маршрутизатором 19. В некоторых вариантах осуществления при установке регулятор 18 берет на себя сетевые службы, такие как DHCP, от маршрутизатора 19, и устанавливает себя в положение шлюза между локальной сетью 14 и расширенной сетью 16, так что по меньшей мере часть трафика между клиентскими системами 12a-f и расширенной сетью 16 проходит через сетевой регулятор 18 (см. фиг. 1-А). Размещение сетевого регулятора 18 в положение шлюза может быть предпочтительным, поскольку в некоторых вариантах осуществления регулятор 18 предоставляет службы компьютерной безопасности путем перенаправления, по меньшей мере, некоторой части трафика (например, запросов протокола передачи гипертекста (HTTP)) от клиентских систем 12a-f на сервер безопасности. Наличие регулятора 18 в положении шлюза может облегчить перехват такого трафика.
[0039] В некоторых вариантах осуществления, таких как пример с фиг. 1-В, маршрутизатор 19 может продолжать работать в качестве шлюза для локальной сети 14 после установки регулятора 18, однако в таких случаях сетевой регулятор 18 предпочтительно расположен между клиентскими системами 12a-f и имеющимся шлюзом (т.е. маршрутизатором 19), так что регулятор 18 принадлежит к той же локальной сети, что и клиентские системы 12a-f. Такое положение является предпочтительным, поскольку в некоторых вариантах осуществления сетевой регулятор 18 конфигурирован для взаимодействия с удаленным сервером для обнаружения типа каждой клиентской системы (например, смартфон или ПК) и, в ответ, для доставки специфического для устройства вспомогательного агента в некоторые из клиентских систем 12a-f. Конфигурации, в которых регулятор 18 не является членом локальной сети 14 (например, размещение регулятора 18 между маршрутизатором 19 и расширенной сетью 16), могут несколько затруднить обнаружение такого устройства и доставку агента.
[0040] В некоторых вариантах осуществления клиентские системы 12a-f контролируются, управляются и/или конфигурируются удаленно пользователем/администратором с использованием программного обеспечения, исполняющегося на устройстве 20 администрирования, соединенном с расширенной сетью 16 (например, Интернет). Как пример, устройства 20 администрирования включают в себя, среди прочего, смартфоны и персональные компьютерные системы. Устройство 20 может предоставлять графический пользовательский интерфейс (GUI), позволяющий пользователю удаленно конфигурировать и/или управлять работой клиентских систем 12a-f, например, для установки опций конфигурирования и/или для получения уведомлений о событиях, происходящих на соответствующих клиентских системах.
[0041] В некоторых вариантах осуществления сетевой регулятор 18 может взаимодействовать с набором удаленных компьютерных систем, чтобы выполнять различные службы для клиентских систем 12a-f. Как пример, удаленные компьютерные системы включают в себя сервер 50 безопасности и сервер 52 конфигурирования, показанные на фиг. 2. Серверы 50 и 52 могут содержать отдельные машины или кластеры из множества соединенных друг с другом компьютерных систем. В некоторых вариантах осуществления сетевой регулятор 18 перенаправляет часть или весь трафик, поступающий в клиентские системы 12a-f и/или от них к серверу 50 безопасности. Затем сервер 50 может выполнять операции обнаружения угрозы (например, обнаружение вредоносных программ, блокирование доступа к вредоносным или мошенническим веб-сайтам, предотвращение вторжений и т.д.) для защиты клиентских систем 12a-f от угроз компьютерной безопасности. Сервер 50 безопасности может быть дополнительно соединен с базой 55 данных событий, содержащей множество записей безопасности, причем каждая запись безопасности включает в себя данные, указывающие на событие безопасности, а также индикатор связи между соответствующим событием и защищенной клиентской системой.
[0042] Одно из преимуществ маршрутизации трафика в защищенную клиентскую систему или же от защищенной клиентской системы через сервер 50 безопасности заключается в то, что это позволяет соответствующей клиентской системе покинуть локальную сеть 14, получая при этом преимущества от защиты. Такие конфигурации подробно описаны ниже.
[0043] В некоторых вариантах осуществления сервер 52 конфигурирования взаимодействует с устройством 20 администрирования, чтобы конфигурировать настройки управления устройствами и/или безопасности регулятора 18, маршрутизатора 19 и/или защищенной клиентской системы 12. Сервер 52 может быть соединен с возможностью коммуникации с подписной базой 54 данных и с базой 56 данных функций устройств. Подписная база 54 данных может хранить множество записей подписки, при этом каждая запись подписки указывает набор клиентских систем под управлением устройства, согласно некоторым вариантам осуществления настоящего изобретения. В одном варианте осуществления каждая запись подписки однозначно связана с отдельным сетевым регулятором 18. В таких вариантах осуществления все клиентские системы 12, конфигурированные и/или обслуживаемые иным образом с использованием соответствующего сетевого регулятора (например, клиентские системы 12a-f, соединенные с локальной сетью 14 на фиг. 1-А), связаны с одной и той же записью подписки. Каждая запись подписки может включать в себя индикатор периода подписки и/или набор параметров подписки, описывающих, например, требуемый уровень безопасности или выбор служб, на которые выполнена подписка. Подписки могут управляться в соответствии с соглашением об уровне служб (SLA).
[0044] В некоторых вариантах осуществления база 56 данных функций устройств содержит набор записей, указывающих на конфигурируемые функции каждой клиентской системы 12 и/или текущие настройки конфигурирования для каждой клиентской системы. База 56 данных может дополнительно содержать полный набор записей, пригодных для определения типа устройства клиентской системы 12. Такие записи могут включать в себя элементы, соответствующие различным типам устройств (например, маршрутизаторы, смартфоны, носимые устройства и т.д.), маркам и моделям, от разных производителей, которые используют различные операционные системы (например, Windows® или Linux®). Как пример, элемент может содержать, среди прочего, индикаторы того, использует ли устройство соответствующего типа конкретный сетевой протокол для коммуникации (например, HTTP, Bonjour®), индикатор макета интерфейса входа в систему, предоставляемого соответствующим типом устройства, и т.д.
[0045] Figs. 3-4-5 соответственно показаны примерные аппаратные конфигурации клиентской системы 12, сетевого регулятора 18 и устройства 20 администрирования. Без потери общности показанные конфигурации соответствуют компьютерным системам (фиг. 3-4) и смартфону (фиг. 5). Аппаратная конфигурация других систем (например, планшетных компьютеров) может отличаться от конфигураций, показанных на фиг. 3-4-5. Каждый из процессоров 22, 122 и 222 содержит физическое устройство (например, микропроцессор, многоядерную интегральную схему, выполненную на полупроводниковой подложке), конфигурированное для исполнения вычислительных и/или логических операций с набором сигналов и/или данных. Блоки 24, 124 и 224 запоминающего устройства могут содержать энергозависимые машиночитаемые носители (например, оперативное запоминающее устройство (RAM)), хранящие сигналы/данные, к которым, соответственно, осуществляют доступ процессоры 22, 122 и 222 или которые генерируются этими процессорами в ходе выполнения операций.
[0046] Устройства 26, 226 ввода могут включать в себя, среди прочего, компьютерные клавиатуры, мыши и микрофоны, включая соответствующие аппаратные интерфейсы и/или адаптеры, позволяющие пользователю вводить данные и/или команды в соответствующую систему. Устройства 28, 228 вывода могут включать в себя, среди прочего, устройства отображения, такие как мониторы и динамики, а также аппаратные интерфейсы/адаптеры, такие как графические карты, позволяющие соответствующей системе передавать данные пользователю. В некоторых вариантах осуществления устройства ввода и вывода совместно используют общий элемент аппаратного обеспечения (например, сенсорный экран). Устройства 32, 132 и 232 хранения включают в себя машиночитаемые носители, обеспечивающие возможность Долговременного хранения, чтения и записи команд программного обеспечения и/или данных. Как пример, устройства хранения включают в себя магнитные и оптические диски, устройства флэш-памяти, а также съемные носители, такие как CD- и/или DVD-диски и дисководы.
[0047] Сетевые адаптеры 34, 134 позволяют клиентской системе 12 и сетевому регулятору 18 соответственно подключаться к электронной коммуникационной сети, такой как локальная сеть 14, и/или к другим устройствам/компьютерным системам. Коммуникационные устройства 40 (фиг. 5) позволяют устройству 20 администрирования соединяться с расширенной сетью 16 (например, Интернет) и могут включать в себя телекоммуникационное аппаратное обеспечение (излучатели/приемники электромагнитных волн, антенна и т.д.). В зависимости от типа устройства и от конфигурации, устройство 20 администрирования может дополнительно включать в себя устройство 42 геолокации (например, приемник GPS) и набор датчиков 136 (например, датчики движения, оптические датчики и т.д.).
[0048] Контроллер-концентраторы 30, 130, 230 представляют собой множество системных, периферийных шин и/или шин набора микросхем и/или все другие схемы, обеспечивающие возможность коммуникации между процессором каждой соответствующей системы и остальными аппаратными компонентами. В примере клиентской системы 12 (фиг.3) концентратор 30 может содержать контроллер запоминающего устройства, контроллер ввода/вывода (I/O) и контроллер прерываний. В зависимости от производителя аппаратного оборудования некоторые из таких контроллеров могут быть объединены в одну интегральную схему и/или могут быть интегрированы с процессором.
[0049] На фиг. 6 показаны примерные компоненты программного обеспечения, исполняющиеся в клиентской системе 12, согласно некоторым вариантам осуществления настоящего изобретения. Такое программное обеспечение может включать в себя операционную систему (OS) 40, обеспечивающую интерфейс между аппаратным оборудованием клиентской системы 12 и набором приложений программного обеспечения, исполняющихся в соответствующей клиентской системе. Приложения программного обеспечения включают в себя вспомогательный агент 41, конфигурированный для предоставления различных служб соответствующей клиентской системе, таких как службы безопасности, службы управления устройствами, службы родительского контроля, службы безопасной связи (например, виртуальная частная сеть - VPN) и т.д. В некоторых вариантах осуществления вспомогательный агент 41 конфигурирован так, чтобы осуществлять доступ и/или изменять набор опций конфигурирования клиентской системы 12 (например, параметры конфигурирования сети, параметры управления электропитанием, параметры безопасности, специфические для устройства параметры, такие как требуемая температура в случае термостата с удаленным управлением, или выбор ламп в случае устройства управления домашним освещением с удаленным управлением и т.д.). В некоторых вариантах осуществления установка агента 41 в клиентской системе 12 инициируется и/или обеспечивается сетевым регулятором 18, как показано более подробно ниже.
[0050] На фиг. 7 показан набор компонентов программного обеспечения, исполняющихся в сетевом регуляторе, согласно некоторым вариантам осуществления настоящего изобретения. Такие компоненты могут включать в себя, среди прочего, модуль 42 обнаружения устройства и модуль 43 DHCP. В некоторых вариантах осуществления модуль 43 предоставляет службы DHCP для локальной сети 14. Такие службы могут включать в себя доставку информации конфигурации протокола Интернет (IP) клиентам, запрашивающим доступ к локальной сети 14 и/или к расширенной сети 16. Модуль 42 обнаружения устройства может быть конфигурирован для взаимодействия с сервером удаленного конфигурирования для обнаружения типа устройства клиентской системы 12, как описано ниже. В некоторых вариантах осуществления регулятор 18 дополнительно выполняет модуль 44 нарушения работы сети, конфигурированный так, чтобы выполнять взятие на себя сетевых служб, как подробно описано ниже.
[0051] На фиг. 8 показан примера набора компонентов программного обеспечения, исполняющихся на маршрутизаторе 19, согласно некоторым вариантам осуществления настоящего изобретения. Такие компоненты программного обеспечения могут включать в себя операционную систему 140 и набор приложений, которые включают в себя сервер 45 DHCP. Сервер 45 может быть использован для распределения параметров конфигурирования сети (например, IP-адресов) по клиентским системам 12а-f для установки локальной сети 14.
[0052] На фиг. 9 показан пример набора компонентов программного обеспечения, исполняющихся на устройстве 20 администрирования (например, смартфон), согласно некоторым вариантам осуществления настоящего изобретения. Такие компоненты программного обеспечения могут включать в себя операционную систему 240 и набор приложений. Приложения включают в себя приложение 46 администрирования, конфигурированное так, чтобы позволить пользователю удаленно конфигурировать клиентские системы 12a-f. Конфигурирование систем 12a-f может включать в себя, среди прочего, конфигурирование настроек безопасности, специфических для клиента, конфигурирование параметров сетевого доступа, специфических для клиента (например, скорость соединения и т.д.), и запуск задач обслуживания (например, обновления программного обеспечения, операции очистки диска и т.д.). Приложение 46 администрирования может предоставлять графический пользовательский интерфейс (GUI) 48 администрирования пользователю устройства 20 администрирования.
[0053] На фиг. 10 показана последовательность этапов, выполняемых сетевым регулятором 18, согласно некоторым вариантам осуществления настоящего изобретения. Такая последовательность может быть выполнена, например, при установке сетевого регулятора 18 или когда регулятор 18 впервые вводится в локальную сеть 14. На этапе 300 регулятор 18 автоматически обнаруживает маршрутизатор 19, в данном случае представляющий имеющегося поставщика сетевых служб. В некоторых вариантах осуществления регулятор 18 затем берет на себя некоторые из сетевых служб от маршрутизатора 19. Такое взятие на себя может содержать отключение или деактивацию иным образом некоторых функциональных возможностей маршрутизатора 19 и замену маршрутизатора 19 в качестве поставщика, по меньшей мере, части сетевых служб, связанных с локальной сетью 14. В альтернативном варианте осуществления взятие на себя служб может содержать предложение альтернативного набора сетевых служб в дополнение к тем, которые управляются маршрутизатором 19, без фактической деактивации последнего. В некоторых вариантах осуществления этап 302 дополнительно содержит установку сетевого регулятора 18 в положении шлюза между локальной сетью 14 и расширенной сетью 16, так что по меньшей мере часть сетевого трафика между клиентскими системами 12a-f и расширенной сетью 16 проходит через регулятор 18.
[0054] В течение последовательности этапов 304-306 сетевой регулятор 18 может автоматически обнаруживать устройства, принадлежащие локальной сети 14 (то есть клиентские системы 12a-f), и распределять специфические для устройства вспомогательные агенты 41, по меньшей мере, по некоторым клиентским системам 12a-f. На следующем этапе 308 выполняется набор служб компьютерной безопасности для клиентских систем 12a-f. Этапы 300-308 описаны более подробно ниже.
Взятие на себя сетевых служб
[0055] В некоторых вариантах осуществления настоящего изобретения службы DHCP маршрутизатора 19 могут быть отключены или деактивированы иным образом сетевым регулятором 18. Этот эффект может быть получен несколькими способами, некоторые из которых приведены в качестве примера ниже. Службы DHCP используются в данном документе только в качестве примера; описанные ниже системы и способы могут быть адаптированы для взятия на себя других сетевых служб.
[0056] В одном примерном сценарии, известном как истощение DHCP, сетевой регулятор 18 может использовать модуль 44 нарушения работы сети для имитации множества фиктивных устройств и для запроса сетевых адресов для каждого фиктивного устройства от маршрутизатора 19. Количество таких фиктивных устройств может быть выбрано так, чтобы полностью занять доступный пул IP-адресов, предложенных для аренды сервером 45 DHCP маршрутизатора 19. Таким образом, хотя сервер 45 продолжает работать, сервер 45 больше не может предоставлять IP-адреса клиентским системам в локальной сети 14. В некоторых вариантах осуществления сетевой регулятор 18 может затем использовать модуль 43 DHCP для трансляции своего собственного предложения аренды DHCP, тем самым принуждая клиентские системы 12a-f использовать регулятор 18 в качестве стандартного сервера DHCP и устройства шлюза для, по меньшей мере, части трафика между клиентскими системами 12a-f и расширенной сетью 16.
[0057] Другой примерныйй набор способов взятия на себя службы DHCP включает в себя автоматическое обнаружение имеющегося поставщика служб DHCP (например, маршрутизатора 19) и отключение соответствующего устройства, например, путем автоматического реконфигурирования его параметров сети и/или других функциональных параметров. Один такой сценарий задействует сетевой регулятор 18, взаимодействующий с сервером 52 конфигурации, как показано на фиг. 11-12.
[0058] В некоторых вариантах осуществления этап 320 запрашивает, а затем получает разрешение от пользователя на реконфигурирование маршрутизатора 19. Соответствующий пользователь может быть владельцем или администратором регулятора 18 и/или локальной сети 14, как указано, например, в подписной базе 54 данных, поддерживаемой сервером 52 конфигурирования (см. фиг. 2). Получение разрешения может включать в себя, например, отправку уведомления в устройство 20 администрирования, что может быть выполнено регулятором 18 или сервером 52 конфигурирования. GUI 48 администрирования устройства 20 может затем предоставить поле ввода, позволяющее пользователю указать, разрешает ли он/она реконфигурировать параметры маршрутизатора 19. Этап 320 может дополнительно включать в себя получение учетных данных для входа в систему (например, имя пользователя, пароль и т.д.) для маршрутизатора 19 либо непосредственно от пользователя через устройство 20 администрирования, либо из записи подписки, хранящейся в базе 54 данных.
[0059] На этапе 322 сетевой регулятор 18 собирает указывающую тип устройства информацию о маршрутизаторе 19, например, путем анализа данных, полученных от маршрутизатора 19 во время обмена запросами/ответами DHCP. Такие данные могут включать в себя, среди прочего, адрес управления доступом к среде (MAC) маршрутизатора 19 и аутентификационный заголовок. В некоторых вариантах осуществления сетевой регулятор 18 может дополнительно пытаться предоставить интерфейс входа в систему маршрутизатора 19 и дополнительно извлекать указывающие тип устройства данные из соответствующего интерфейса (например, определять, является ли интерфейс документом HTML или нет, и определять сетевой адрес соответствующего интерфейса). Некоторые варианты осуществления регулятора 18 могут даже извлекать определенные визуальные элементы соответствующего интерфейса, например, путем использования алгоритма обработки изображений.
[0060] Указывающие тип устройства данные 61 затем отправляются на сервер 52 конфигурирования (этап 324), который может идентифицировать тип устройства маршрутизатора 19 (например, производитель, модель, семейство, подсемейство, версия прошивки и т.д.) согласно этим данным и/или согласно данным, хранящимся в базе 56 данных функций устройств (фиг. 2). Затем сервер 52 конфигурирования может конфигурировать попытку 60 входа в систему, адаптированную для конкретного типа устройства маршрутизатора 19, в соответствии с указывающими тип устройства данными, полученными от регулятора 18, и может передавать данные попытки входа в систему в регулятор 18.
[0061] В некоторых вариантах осуществления сетевой регулятор 18 может повторять цикл этапов 326-334 в течение итеративной попытки методом проб и ошибок выполнить вход в маршрутизатор 19. Этапы 328-330 могут предоставлять интерфейс входа в систему маршрутизатора 19 и передавать данные 60 попытки входа в систему и/или пользовательские учетные данные в маршрутизатор 19. Индикатор того, был ли вход в систему успешным, отправляется обратно на сервер 52 (этап 332); индикатор успеха может быть использован для дополнительной идентификации типа устройства маршрутизатора 19.
[0062] После достижения успешного входа в систему, на этапе 336 сетевой регулятор 18 может получить набор команд 63 конфигурирования маршрутизатора от сервера 52 конфигурирования, при этом команды 63 специально созданы в соответствии с идентифицированным типом маршрутизатора и направлены на деактивацию маршрутизатора 19, или, по меньшей мере, некоторых сетевых служб, предложенных маршрутизатором 19. Как пример, команды 63 конфигурирования маршрутизатора могут, среди прочего, заставлять маршрутизатор 19 завершать работу, перезапускаться, предоставлять интерфейс конфигурирования и изменять настройку конфигурирования. Другая примерная команда 63 конфигурирования содержит запрос HTTP, конфигурированный для предоставления интерфейса конфигурирования маршрутизатора 19. В некоторых вариантах осуществления команды 63 могут автоматически заполнять набор полей предоставленного интерфейса. В некоторых вариантах осуществления команды 63 содержат набор значений параметров для заполнения набора полей интерфейса конфигурирования маршрутизатора 19.
[0063] На этапе 338 сетевой регулятор 18 может передавать команды 63 конфигурирования в маршрутизатор 19. Для завершения взятия на себя служб DHCP от маршрутизатора 19, регулятор 18 может использовать модуль 43 DHCP (фиг. 7) для трансляции своего собственного предложения аренды DHCP клиентским системам 12a-f.
[0064] В некоторых вариантах осуществления сетевой регулятор 18 может передавать другой набор команд маршрутизатору 19 в случае, если владелец/администратор регулятора 18 принимает решение о деисталляции регулятора 18. В одном таком примере регулятор 18 может заставлять маршрутизатор 19 вернуться к настройкам, которые действовали до установки сетевого регулятора 18.
[0065] На фиг. 13-14 показан альтернативный способ взятия на себя сетевых служб сетевым регулятором 18 в соответствии с некоторыми вариантами осуществления настоящего изобретения. Показанный способ представляет собой разновидность способа, описанного выше в связи с фиг. 11-12. Вместо использования сетевого регулятора 18 для активного реконфигурирования сетевых настроек и/или (для частичного) отключения маршрутизатора 19, в способе, показанном на фиг. 13-14, такие действия выполняются непосредственно сервером 52 конфигурирования, в то время как регулятор 18 используется в качестве прокси или реле. В некоторых вариантах осуществления выполняется удаленная конфигурация маршрутизатора 19 с использованием туннелей, то есть безопасных соединений/каналов связи "точка-точка".
[0066] В ответ на установку внутри локальной сети 14, сетевой регулятор 18 может передавать сообщение регистрации серверам 50-52, включая уникальные идентификационные индикаторы для соответствующего сетевого регулятора, маршрутизатора 19 и клиентских систем, соединенных с соответствующей локальной сетью. Таким образом, серверы 50-52 могут выборочно идентифицировать каждое отдельное устройство и связывать каждую клиентскую систему 12 и маршрутизатор 19 с подпиской и/или с соответствующим сетевым регулятором. Этот процесс регистрации с помощью сервера 52 конфигурирования позволяет серверу 52 принимать соединения между туннелями от регулятора 18.
[0067] В ответ на получение от пользователя разрешения на реконфигурирование локальной сети (этап 340), сетевой регулятор 18 может открыть коммуникационный туннель 69, соединяющий регулятор 18 с сервером 52. Как пример, туннель содержит туннель протокола безопасной оболочки (SSH), т.е. туннель, установленный с использованием версии протокола SSH. В некоторых вариантах осуществления сетевой регулятор 18 использует стратегию переадресации портов для перенаправления сетевого трафика, полученного через туннель 69, на маршрутизатор 19, и/или для перенаправления сообщений, полученных от маршрутизатора 19, на сервер 52 через туннель 69. Такая переадресация портов может быть достигнута с использованием любого известного способа в области сетевых технологий, например, с использованием проксирования, клиента SOCKS, трансляции сетевых адресов (NAT) и т.д.
[0068] Таким образом, путем использования переадресации портов, некоторые варианты осуществления сервера 52 конфигурирования могут удаленно конфигурировать маршрутизатор 19 через туннель 69. Такое удаленное конфигурирование может включать в себя некоторые из операций, описанных выше в связи с фиг. 11-12, такие как определение типа устройства маршрутизатора 19, отправка команд конфигурирования на маршрутизатор 19 и т.д
[0069] В ответ на определение типа устройства маршрутизатора 19, сервер 52 может отправить запрос 68 туннеля в регулятор 18, при этом запрос туннеля заставляет сетевой регулятор 18 установить туннель 69 (этап 346). Туннель может быть конфигурирован с помощью переадресации портов, так что сообщение, отправленное сервером 52 в регулятор 18, будет перенаправлено на маршрутизатор 19. На этапе 348 сервер 52 может затем передавать данные входа в систему и/или команды конфигурирования маршрутизатора по туннелю 69, чтобы побудить маршрутизатор 19 отключить или реконфигурировать иным образом службы DHCP маршрутизатора 19.
[0070] На фиг. 15-16 показан еще один способ взятия на себя сетевых служб от маршрутизатора 19 согласно некоторым вариантам осуществления настоящего изобретения. При введении в локальную сеть 14 регулятор 18 может отправить запрос 70 адреса текущему поставщику сетевых служб (например, маршрутизатору 19), запрашивая сетевой адрес (этап 350). В ответ маршрутизатор 19 может вернуть в регулятор 18 предложение 72 адреса. Запрос 70 и возврат 72 могут образовывать часть стандартного протокола назначения адресов, например DHCP. Этап 352 может дополнительно содержать прием предложения 72 адреса и конфигурирование сетевого регулятора 18 для использования соответствующего сетевого адреса и/или других параметров сети (например, шлюз, DNS-сервер и т.д.).
[0071] Затем на этапе 354 регулятор 18 может получить разрешение человека-оператора на выполнение процедуры взятия на себя сетевых служб (см. выше применительно к фиг. 12). В ответ на получение разрешения, на этапе 356 сетевой регулятор 18 может определить целевой набор сетевых адресов в соответствии с параметрами полученного ранее предложения 72 адреса. В некоторых вариантах осуществления, использующих DHCP, предложение 72 содержит индикатор пула адресов (например, диапазон значений адресов), управляемых и/или доступных для назначения текущим поставщиком сетевых служб. Регулятор 18 может выбрать целевой набор сетевых адресов из соответствующего пула адресов. В некоторых вариантах осуществления целевой набор включает в себя все адреса пула. В других вариантах осуществления целевой набор включает в себя все адреса пула, за исключением адреса, назначенного в настоящий момент маршрутизатору 19.
[0072] Этап 358 может конфигурировать сетевой регулятор 18 для использования всех адресов целевого набора. В некоторых вариантах осуществления этап 358 включает в себя создание набора фиктивных устройств (псевдонимов) и назначение поднабора целевого набора сетевых адресов каждому такому фиктивному устройству. Затем, в течение последовательности этапов 360-366, сетевой регулятор 18 может применять механизм обнаружения конфликтов адресов (ACD), чтобы последовательно принудительно инициировать освобождение клиентами 12a-f их сетевых адресов, назначенных в настоящий момент. Между тем, регулятор 18 может использовать модуль 36 DHCP для предложения клиентским системам 12a-f нового набора сетевых адресов и/или других параметров конфигурирования, завершая, таким образом, процедуру взятия на себя сетевых служб.
[0073] Пример механизма ACD описан в Запросе на комментарии относительно обнаружения конфликтов адресов IPv4 (RFC5227), опубликованном рабочей группой сети Apple®, Inc., в июле 2008 года. Описанный механизм ACD требует, чтобы, в качестве части назначения сетевого адреса (возникающего, например, при первоначальном предложении аренды сетевого адреса или при продлении аренды для соответствующего сетевого адреса), каждый клиент и/или их соответствующий поставщик сетевых служб проверяли, доступен ли соответствующий сетевой адрес, то есть, не используется ли он уже другим устройством. Такие проверки могут, среди прочего, использовать инструменты и/или механизмы, описанные в Протоколе разрешения адресов (ARP) и Протоколе обнаружения соседей (NDP). Примерная проверка включает в себя отправку зонда соответствующим клиентом и/или поставщиком (например, специально конфигурированный сетевой пакет, ping, arping и т.д.) на сетевой адрес, подвергаемый проверке в настоящий момент. Если клиент и/или поставщик, отправивший зонд, не получают ответа на соответствующий зонд, соответствующий адрес считается доступным и может быть (повторно) назначен соответствующему клиенту. Напротив, если клиент и/или поставщик получает ответ на соответствующий зонд, соответствующий адрес считается занятым и более (повторно) не назначается соответствующему клиенту.
[0074] Механизм ACD, описанный выше, используется некоторыми вариантами осуществления сетевого регулятора 18 для целей взятия на себя, как показано на фиг. 15-16. В течение последовательности этапов 360-362 регулятор 18 может прослушивать зонды 64а-b доступности адреса, отправленные соответственно клиентской системой 12 и/или маршрутизатором 19. В ответ на обнаружение такого зонда, этап 364 определяет, соответствует ли зондируемый адрес любому члену целевого набора сетевых адресов, определенных на этапе 356. Если нет, регулятор 18 возвращается к прослушиванию зондов доступности адреса.
[0075] Если зондируемый адрес соответствует члену целевого набора адресов, на этапе 366 регулятор 18 может вернуть ответ 66а-b зонда отправителю соответствующего зонда, при этом ответ зонда конфигурирован для указания, что соответствующий сетевой адрес недоступен. В некоторых вариантах осуществления этап 366 содержит фиктивное устройство (псевдоним), созданное сетевым регулятором 18, отправляющим ответ зонда, конфигурированный с помощью деталей соответствующего фиктивного устройства. Если клиентская система 12 конфигурирована так, чтобы поддерживать обнаружение конфликтов, получение такого зонда возврата может побудить клиентскую систему 12 прекратить использование соответствующего сетевого адреса и запросить новый адрес. Такие новые запросы будут завершаться неуспешно для всех адресов в целевом наборе адресов, поскольку они будут вызывать повторное выполнение этапов 360-366. Путем повтора последовательности этапов 360-366 для каждой клиентской системы 12a-f, сетевой регулятор 18 может, таким образом, последовательно отключать сетевые службы, предложенные маршрутизатором 19, и принудительно инициировать использование клиентскими системами 12a-f нового набора сетевых адресов, выданных регулятором 18.
Автоматическое обнаружение устройства и предоставление агента
[0076] Установив себя в качестве шлюза и/или поставщика сетевых служб для локальной сети 14, сетевой регулятор 18 может приступить к распределению вспомогательных агентов 41 (например, фиг. 6) по клиентским системам 12a-f, соединенным с локальной сетью 14. На фиг. 17 показан пример обмена данными между клиентской системой 12, сетевым регулятором 18 и сервером 52 конфигурирования клиента согласно некоторым вариантам осуществления настоящего изобретения, при этом обмен происходит во время обнаружения устройства и предоставления агента. Такие обмены могут происходить при установке сетевого регулятора 18, а также при первоначальном введении новой клиентской системы в локальную сеть 14.
[0077] Примерная последовательность этапов, выполняемых сетевым регулятором 18 для доставки специфичного для устройства вспомогательного агента, показана на фиг. 18. В некоторых вариантах осуществления регулятор 18 может ожидать запросы на соединение от локальных клиентских систем (этап 400). Как пример, запрос на соединение содержит запрос HTTP. Если клиентская система 12 пытается получить доступ к адресу в расширенной сети 16, регулятор 18 может принудительно инициировать установку соответствующей клиентской системой вспомогательного агента 41. В некоторых вариантах осуществления регулятор 18 может перенаправить текущий запрос сетевого доступа на сервер 52 конфигурирования, который может служить в качестве средства 75 установки агента для соответствующей клиентской системы (фиг. 17). В альтернативном варианте осуществления регулятор 18 может получить средство 75 установки агента от сервера 52, и затем принудительно отправить средство 75 установки в соответствующую клиентскую систему.
[0078] В некоторых вариантах осуществления средство 75 установки конфигурировано так, чтобы заставлять клиентскую систему 12 (или устройство 20 администрирования) предоставить пользователю интерфейс подтверждения, запрашивая у пользователя согласие на установку агента 41. Средство 75 установки может дополнительно запросить у пользователя подтверждение, что пользователь согласен с условиями соответствующей подписки (например, как указано в SLA). Если пользователь изъявляет согласие, средство 75 установки может установить и запустить агент 41. В некоторых вариантах осуществления средство 75 установки и/или сетевой регулятор 18 могут зарегистрировать соответствующую клиентскую систему с помощью сервера 52 конфигурирования клиента (этап 418 на фиг. 18). Такая регистрация может включать в себя выполняемое сервером 52 связывание соответствующей клиентской системы с записью подписки, прикрепленной к сетевому регулятору 18.
[0079] Принимая во внимание большое разнообразие устройств, подключаемых в настоящее время к коммуникационным сетям и к Интернету, может быть предпочтительным, чтобы вспомогательные агенты 41, доставляемые в защищенные клиентские системы 12a-f, были адаптированы к типу устройства каждой клиентской системы (например, смартфон, планшет, умные часы, работающие под управлением OS Windows® или iOS® и т.д.). На примере этапов 400-406 (фиг. 18) поясняется пример способа определения типа устройства клиентской системы 12. Сетевой регулятор 18 может получать указывающие тип устройства данные путем извлечения индикатора пользовательского агента из запроса HTTP (индикатор пользовательского агента обычно содержит информацию как о типе браузера, так и об операционной системе отправителя запроса HTTP). Регулятор 18 может дополнительно обнаруживать набор приложений, протоколов и/или служб, используемых соответствующими клиентскими системами, например, путем сканирования соответствующих служб и/или протоколов (этап 404). Такое сканирование может включать в себя отправку зонда в конкретный порт соответствующей клиентской системы и прослушивание ответа. Обнаруженные протоколы и службы могут включать в себя, среди прочего, Bonjour®, простой протокол сетевого управления (SNMP) и Network Mapper (Nmap). Сетевой регулятор 18 может затем локально определить тип устройства клиентской системы 12 в соответствии с этими указывающими тип устройства данными, используя набор правил, дерево решений и/или алгоритм машинного обучения. В альтернативном варианте осуществления указывающие тип устройства данные отправляются на сервер 52 конфигурирования (этап 406), который идентифицирует тип устройства в соответствии с полученными данными и согласно информации, хранимой в базе 56 данных функций устройств. Например, сервер 52 может попытаться сопоставить функции клиентской системы 12 с различными элементами базы 56 данных, причем каждый такой элемент может соответствовать определенному типу устройства (возможно, включая различные версии продукта, различные операционные системы и т.д.). Обнаружение устройства может выполняться итеративным образом: сервер 52 может выполнять предварительное определение типа устройства в соответствии с доступной информацией о клиентской системе. В ответ на предварительное определение сервер 52 может запрашивать дополнительные указывающие тип устройства данные о клиентской системе из сетевого регулятора 18. Последовательно все большее количество данных, типуказывающих тип устройства, отправляется на сервер 52 конфигурирования, пока будет достигнута достоверная идентификация типа устройства клиентской системы 12. Если тип устройства был успешно идентифицирован, сервер 52 может отправить уведомление регулятору 18. В ответ на получение уведомления (этап 408) регулятор 18 может перенаправить запрос на сетевое соединение, перехваченный на этапе 400, в приложение средства установки агента.
[0080] Альтернативный сценарий обнаружения устройства и/или предоставления агента может задействовать туннелирование способом, сходным с описанным выше в связи с автоматическим обнаружением маршрутизатора 19 (фиг. 13-14). В одном таком примере регулятор 18 открывает коммуникационный туннель (например, туннель SSH), соединяющий регулятор 18 с сервером 52. Соответствующий туннель может быть конфигурирован с помощью переадресации портов, так что сообщения, полученные от сервера 52, перенаправляются сетевым регулятором 18 в соответствующую клиентскую систему 12. Сервер 52 может затем непосредственно доставить средство установки агента в клиентскую систему 12 через туннель, и может дополнительно побудить клиентскую систему 12 установить соответствующий агент. Сервер 52 также может использовать туннель SSH для получения информации, указывающей тип устройства, из клиентской системы 12 с использованием любого из способов, описанных выше.
[0081] Может быть предоставлено большое разнообразие вспомогательных агентов с использованием систем и способов, описанных в данном документе. Как пример, вспомогательный агент 41, конфигурированный для предоставления служб безопасности, может выполнять оценку безопасности клиентской системы 12 (например, локальное сканирование на вредоносные программы), и может отправлять данные оценки безопасности на сервер 52 конфигурирования или сервер 50 безопасности. Сервер (серверы) затем может (могут) пересылать индикатор безопасности в устройство 20 администрирования для отображения пользователю/администратору. Как пример, индикаторы безопасности, отображаемые пользователю/администратору, могут включать в себя, среди прочего, индикатор, является ли конкретный объект программного обеспечения (например, операционная система), исполняющийся на клиентской системе 12, актуальным, и индикатор силы пароля, используемого для защиты клиентской системы 12. Примеры других действий агента безопасности включают в себя обновление программного обеспечения и/или правил безопасности для соответствующей клиентской системы. В некоторых вариантах осуществления агент 41 конфигурирован для фильтрации сетевого трафика в клиентскую систему 12 или же из клиентской системы 12 с использованием алгоритма проверки сетевых пакетов, чтобы определить, например, подвержена ли клиентская система 12 вредоносной атаке. Ниже детально описаны дополнительные функциональные возможности вспомогательного агента, предоставляющего службы компьютерной безопасности.
[0082] Как пример, вспомогательный агент 41, конфигурированный для обеспечения служб безопасной связи, включает в себя агент виртуальной частной сети (VPN). Такие агенты могут защищать клиентскую систему 12, если клиентская система 12 покидает локальную сеть 14 (например, если пользователь уходит из дома со своим мобильным телефоном). Такой агент может взаимодействовать с сетевым регулятором 18 и/или сервером 52 конфигурирования, чтобы открыть безопасный коммуникационный туннель и/или установить VPN между соответствующей клиентской системой и сервером 50 безопасности (более подробно ниже).
[0083] Как пример, вспомогательный агент 41, конфигурированный для обеспечения служб родительского контроля, может контролировать использование клиентской системы 12 и передавать шаблоны использования привилегированному пользователю (например, родителю) через устройство 20 администрирования. Агент 41 может дополнительно предотвращать осуществление доступа клиентской системой 12 к определенным удаленным ресурсам (например, IP-адреса, веб-сайты и т.д.) или использование ею некоторых локально установленных приложений (например, игр). Такая блокировка может быть применена принудительно на постоянной основе или в соответствии со специфическим для пользователя графиком.
[0084] Как пример, вспомогательный агент 41, конфигурированный для предоставления удаленной технической помощи, может автоматически конфигурировать и/или открывать канал безопасной связи (например, туннель SSH) между клиентской системой 12 и сервером 52 конфигурирования. Команды конфигурирования и/или устранения неисправностей затем могут быть переданы от сервера 52 в клиентскую систему 12, возможно без явного участия или помощи пользователя клиентской системы 12.
[0085] Некоторые клиентские системы, такие как бытовые приборы, переносные устройства и т.д., могут быть выполнены без возможности установки вспомогательного агента, как указано выше. Однако такие устройства могут включать в себя встроенные агенты конфигурирования и/или управления устройствами, обеспечивающие активацию удаленной команды соответствующих устройств. Некоторые варианты осуществления настоящего изобретения могут использовать имеющиеся агенты управления и специфичные для устройства протоколы и/или способы связи для передачи обновлений значений параметров в такие устройства. Даже для таких устройств правильная идентификация типа устройства позволяет серверу 52 конфигурирования надлежащим образом форматировать и передавать команды конфигурирования в соответствующие клиентские системы. Чтобы облегчить определение типа устройства таких клиентских систем, сетевой регулятор 18 может либо активно синтаксически анализировать сообщения, полученные от соответствующей клиентской системы, либо выполнять перемаршрутизацию соответствующих сообщений на сервер 52 конфигурирования.
[0086] В некоторых вариантах осуществления сетевой регулятор 18 может регулировать доступ клиентской системы 12 к расширенной сети 16 при успешной установке вспомогательного агента 41. Как показано с помощью этапа 416 на фиг.18, в некоторых вариантах осуществления клиентской системе может быть разрешено осуществить доступ к расширенной сети 16 только в ответ на установку агента. Такие конфигурации могут улучшить безопасность клиентской системы 12 и/или локальной сети 14.
Управление устройством
[0087] Когда вспомогательные агенты 41 являются функциональными, они могут быть использованы для выполнения различных задач управления устройством, например, для удаленного конфигурирования соответствующих клиентских систем 12a-f. Примеры задач конфигурирования включают в себя, среди прочего, включение или выключение клиентской системы (например, постановка на охрану или снятие с охраны домашней системы безопасности, включение и выключение света), настройку значения функционального параметра клиентской системы (например, настройка требуемой температуры на интеллектуальном термостате), конфигурирование сетевых функций и/или функций безопасности (например, блокирование или разрешение доступа некоторых клиентских систем к сети 14, конфигурирование параметров брандмауэра, конфигурирование приложений и/или функций родительского контроля), выполнение обновлений программного обеспечения для компонентов, исполняющихся в соответствующей клиентской системе, и выполнения задач технической помощи/устранения неисправностей в отношении соответствующей клиентской системы.
[0088] В некоторых вариантах осуществления пользователь/администратор может удаленно управлять клиентской системой 12 через графический пользовательский интерфейс (GUI) 48 администрирования, предоставленный устройством 20 администрирования (например, смартфон, на котором выполняется приложение администрирования). После регистрации сетевого регулятора 18 с помощью сервера 52 конфигурирования, сервер 52 может однозначно связать регулятор 18 и устройство 20 администрирования с подпиской. Соответствующая подписка также позволяет однозначно связать регулятор 18 с набором клиентских систем 12a-f, защищенных соответствующим сетевым регулятором. Таким образом, пользователь устройства 20 администрирования может иметь возможность выбрать конкретную клиентскую систему для удаленного управления из GUI 48 администрирования при помощи сервера 52 конфигурирования. Фактическое управление устройством (например, настройка значений параметров) может содержать передачу данных и/или команд конфигурирования между устройством 20 администрирования и соответствующей клиентской системой.
[0089] В некоторых вариантах осуществления передача данных/команд конфигурирования в целевую клиентскую систему использует вариант систем и способов, описанных выше, в отношении конфигурирования маршрутизатора 19 (фиг. 13-14) и обнаружения устройства. В ответ на получение запроса управления устройством от устройства 20 администрирования, сервер 52 может отправить уведомление в сетевой регулятор 18, при этом уведомление заставляет регулятор 18 и/или целевую клиентскую систему открыть коммуникационный туннель (например, туннель SSH) между сервером 52 и регулятором 18 и/или между сервером 52 и целевой клиентской системой. Туннель может быть конфигурирован с помощью переадресации портов, как описано выше. Такой туннель затем может быть использован для передачи команд конфигурирования от сервера 52 в целевую клиентскую систему, при этом соответствующие команды созданы, например, для изменения настроек конфигурирования соответствующей клиентской системы. В некоторых вариантах осуществления такие команды конфигурирования исполняются вспомогательным агентом 41. Если целевая клиентская система не имеет вспомогательного агента или она не может установить такой агент, то команды конфигурирования ориентируются на собственное управляющее программное обеспечение соответствующего устройства.
[0090] В одном примере приложения пользователь может запрашивать техническую помощь/устранение неисправностей конкретной целевой клиентской системы, используя описанные выше способы. Техническая помощь может осуществляться при этом автоматически, без дальнейшего участия соответствующего пользователя. В качестве части устранения неисправностей, некоторые варианты осуществления сервера 52 могут заставить целевую клиентскую систему установить специализированный вспомогательный агент, конфигурированный для решения конкретной технической проблемы.
Защита компьютерной безопасности
[0091] На фиг. 19-А-В показаны примерные варианты осуществления, в которых сетевой регулятор 18 взаимодействует с сервером 50 безопасности для защиты клиентских систем 12a-f от угроз компьютерной безопасности, таких как вредоносные программы, рекламные программы, шпионские программы и вторжение в сеть. В варианте осуществления, показанном на фиг. 19-А, сетевой регулятор 18 выполняет перемаршрутизацию части или всего трафика данных (в данном случае иллюстрированный сетевым пакетом 80) между защищенной клиентской системой 12 и компьютерной системой, внешней по отношению к локальной сети, через сервер 50 безопасности. Такая перемаршрутизация может быть, например, достигнута путем установки сетевого регулятора 18 в качестве шлюза между локальной сетью 14 и расширенной сетью 16, и использования регулятора 18 для перехвата сетевого трафика и его активного перенаправления на сервер 50. В вариантах осуществления, как показано на фиг. 19-А, обнаружение угрозы выполняется сервером 50 безопасности с использованием любого способа, известного в данной области техники (например, посредством анализа сетевых пакетов 80, чтобы определить, содержат ли они вредоносные программы или указывают ли они на вторжение в сеть).
[0092] В некоторых вариантах осуществления, как показано на фиг. 19-В, обнаружение угрозы выполняется сетевым регулятором 18. Такое локальное обнаружение может содержать, например, фильтрацию содержимого пакета. Регулятор 18 может поддерживать алгоритмы обнаружения вредоносных программ в актуальном состоянии путем загрузки набора параметров 82 фильтра (например, сигнатур, указывающих на наличие вредоносных программ) с сервера 50 безопасности. Некоторые варианты осуществления могут сочетать обнаружение угрозы в регуляторе 18 с обнаружением угрозы на сервере 50 безопасности. В одном таком примере сетевой регулятор 18 может выполнять предварительный анализ трафика данных, используя, например, сравнительно малозатратные способы. Затем регулятор 18 может отправлять подозрительные сетевые пакеты для дальнейшего анализа на сервер 50.
[0093] Перемаршрутизация трафика через сервер 50 безопасности (фиг. 19-А) может обладать несколькими преимуществами перед выполнением локального анализа безопасности (фиг. 19-В). Сервер 50 может содержать несколько специализированных высокопроизводительных компьютерных систем и, таким образом, может выполнять интенсивный с точки зрения вычислений анализ трафика, такой как углубленная проверка пакетов, намного эффективнее регулятора 18. Установка таких возможностей в сетевом регуляторе 18 может существенно увеличить стоимость, сложность и поверхность атаки регулятора 18. Еще одно преимущество наличия централизованного анализа данных заключается в том, что такие конфигурации устраняют необходимость в распределении обновлений сигнатур, идентифицирующих вредоносные программы, и других данных, используемых при анализе сетевых пакетов, на большое количество распределенных сетевых регуляторов 18. Централизованные системы безопасности, как правило, также лучше оборудованы для реагирования на новые обнаруженные угрозы.
[0094] Примеры применения таких систем и способов компьютерной безопасности включают в себя блокирование доступа защищенной клиентской системы к вредоносным или мошенническим веб-страницам. В одном таком примере запрос на доступ к удаленному ресурсу (например, запрос HTTP из защищенной клиентской системы) перехватывается и анализируется для определения, представляет ли доступ к удаленному ресурсу, веб-странице и т.д. риск для компьютерной безопасности. Такой анализ может использовать любой известный в данной области техники способ, например, сопоставление адреса соответствующего ресурса с черным списком известных вредоносных или мошеннических веб-страниц, анализ макета соответствующей веб-страницы и т.д. Анализ может быть выполнен на сервере 50 безопасности (например, в конфигурации, как показано на фиг. 19-А) или на сетевом регуляторе 18 (например, как показано на фиг. 19-В). Если анализ устанавливает, что осуществление доступа к удаленному ресурсу не представляет собой риск для компьютерной безопасности, соответствующей клиентской системе предоставляется доступ к соответствующему удаленному ресурсу. Если доступ считается рискованным, запрашивающая клиентская система может быть заблокирована от осуществления доступа к соответствующему ресурсу. В дополнение к блокированию доступа некоторые варианты осуществления сервера 50 безопасности отправляют уведомление о событии в устройство 20 администрирования, информируя пользователя/администратора сетевого регулятора 18 о том, что произошло событие безопасности. Уведомление может включать в себя индикатор клиентской системы, задействованной в соответствующем событии, и индикатор типа события (например, доступ к мошенническому веб-сайту).
[0095] Другой пример применения системы компьютерной безопасности согласно некоторым вариантам осуществления настоящего изобретения показан на фиг. 20-21. Как показано выше, клиентская система может быть защищена от компьютерных угроз безопасности, будучи соединенной с сетевым регулятором 18 по локальной сети 14. Выход из сети 14 (как это происходит, например, когда пользователь уходит из дома со своим мобильным телефоном) может, тем не менее, подвергать соответствующую клиентскую систему различным рискам безопасности. В некоторых вариантах осуществления гарантируется, что, после регистрации для защиты с помощью регулятора 18 и сервера 52 конфигурирования, соответствующая клиентская система защищена в любой момент времени.
[0096] Для достижения такой защиты некоторые варианты осуществления устанавливают вспомогательный агент 41 на соответствующей клиентской системе (например, мобильный телефон, планшетный компьютер), при этом вспомогательный агент 41 конфигурирован для управления виртуальной частной сетью (VPN), соединяющей соответствующую клиентскую систему с сервером 50 безопасности. Если соответствующая клиентская система имеет встроенный агент VPN, некоторые варианты осуществления могут выбирать конфигурирование имеющегося агента VPN вместо установки вспомогательного агента 41. Соединение VPN (туннель) с сервером 50 безопасности может быть инициировано, например, когда соответствующая клиентская система покидает локальную сеть 14. Путем обеспечения соединения с сервером 50 безопасности даже вдали от локальной сети 14, некоторые варианты осуществления могут продолжать использовать способы компьютерной безопасности, описанные выше (например, осуществлять перемаршрутизацию трафика через сервер 50 безопасности) для защиты соответствующей клиентской системы.
[0097] На фиг. 20 показан пример обмена данными между клиентской системой 12, сетевым регулятором 18 и сервером 52 конфигурирования, причем обмен происходит в виде части работы вспомогательного агента VPN и связанного безопасного соединения с сервером 50 безопасности. На фиг. 21 показана примерная последовательность этапов, выполняемых клиентской системой 12, обеспечивающей работу вспомогательного агента VPN, согласно некоторым вариантам осуществления настоящего изобретения.
[0098] Вспомогательный агент VPN, исполняющийся в клиентской системе 12, может получать параметры 88 соединения для создания туннеля VPN с сервером 50 безопасности от сервера 52 конфигурирования. Такие параметры могут быть адаптированы к типу устройства клиентской системы 12, как обсуждалось выше. В некоторых вариантах осуществления последовательность этапов 502-504 определяет, является ли клиентская система 12 в настоящий момент частью локальной сети 14 (то есть локальной сети, обслуживаемой сетевым регулятором 18). Этап 502 может выполняться в соответствии с любым способом, известным в данной области техники, например, путем обеспечения потока keepalive-сообщений 84 между регулятором 18 и соответствующей клиентской системой. Хотя клиентская система 12 остается соединенной с локальной сетью 14, клиентская система 12 может использовать регулятор 18 в качестве шлюза для осуществления доступа к внешней сети 16, будучи защищенной от угроз компьютерной безопасности в соответствии с описанными выше способами.
[0099] Если клиентская система 12 обнаруживает, что она больше не соединена с локальной сетью 14, на этапе 510 агент VPN, исполняющийся в клиентской системе 12, может открыть туннель 90 VPN к серверу 50 безопасности, конфигурируя туннель 90 в соответствии с параметрами 88 VPN. После этого клиентская система 12 может использовать туннель 90 VPN для коммуникации, такой как просмотр информации в Интернете, обмен сообщениями и т.д. В альтернативных вариантах осуществления сетевой регулятор 18 может определять, что клиентская система 12 покинула локальную сеть 14, и в ответ уведомлять сервер 50 безопасности. Затем сервером 50 может быть инициировано создание туннеля 90.
[0100] Если клиентская система 12 снова оказывается вблизи сетевого регулятора 18 (например, если пользователь возвращается домой со своим мобильным телефоном), клиентская система 12 может обнаружить предложение сетевых служб (например, предложение DHCP) от сетевого регулятора 18. При получении такого предложения для соединения с локальной сетью 14, в течение последовательности этапов 514-516 вспомогательный агент VPN, исполняющийся в соответствующей клиентской системе, может закрыть туннель 90 VPN и соединиться с локальной сетью 14.
[0101] Примеры систем и способов, описанные в этом документе, позволяют защитить множество клиентских систем от угроз компьютерной безопасности, таких как вредоносные программы и сетевое вторжение. Помимо защиты обычных компьютерных систем, описанные системы и способы в частности подходят для защиты неоднородной экосистемы интеллектуальных устройств, соединенных с Интернетом, таких как устройства, широко известные в массовой культуре как Интернет вещей (IoT). Примеры таких устройств включают в себя, среди прочего, носимые устройства (например, умные часы, браслеты для фитнеса, интерактивные украшения), бытовые развлекательные устройства (телевизоры, медиаплееры, игровые консоли), бытовую технику (холодильники, термостаты, интеллектуальные осветительные системы, системы домашней безопасности). Некоторые варианты осуществления позволяют, например, защищать все электронные устройства в доме, используя унифицированное интегрированное решение.
[0102] Некоторые варианты осуществления включают в себя сетевой регулятор, конфигурированный для установки и управления локальной сети, соединяющей между собой множество защищенных клиентских систем. Сетевой регулятор может установить себя в положение шлюза между локальной сетью и расширенной сетью, такой как Интернет. В некоторых вариантах осуществления защита достигается посредством того, что сетевой регулятор выполняет перемаршрутизацию, по меньшей мере, части трафика данных, обмениваемого между защищенной клиентской системой и объектом вне локальной сети, через удаленный сервер безопасности. Затем трафик может быть просканирован на наличие вредоносных программ, при этом может быть заблокирован доступ к опасным ресурсам (например, вредоносным или мошенническим сайтам).
[0103] Некоторые варианты осуществления гарантируют, что защита от угроз компьютерной безопасности продолжается, даже если соответствующая клиентская система покидает локальную сеть. Например, если пользователь уходит из дома со своим мобильным телефоном, для телефона обеспечивается сохранение защиты. В некоторых вариантах осуществления такая защита достигается путем автоматического обнаружения, что защищенная клиентская система покинула локальную сеть и, в ответ, путем автоматической активации туннеля (например, соединение VPN "точка-точка") к серверу безопасности, при этом туннель используется для переноса трафика данных в соответствующее устройство или же из соответствующего устройства, когда устройство находится вдали от локальной сети.
[0104] В некоторых вариантах осуществления сетевой регулятор однозначно связан с подпиской на службу, что обеспечивает возможность унифицированного управления безопасностью и другими аспектами для всех защищенных клиентских систем, например, для всех интеллектуальных устройств внутри дома. Событие безопасности, такое как попытка защищенной клиентской системы осуществить доступ к мошенническому веб-сайту, таким образом, может быть автоматически связано с учетной записью подписки и сообщено контактному лицу/администратору соответствующей учетной записи. Сообщение о событиях безопасности может включать в себя отправку уведомления устройству администрирования (например, мобильному телефону) администратора. В некоторых вариантах осуществления такие уведомления централизуются сервером безопасности и группируются для каждого пользователя и/или для каждого устройства. Графический пользовательский интерфейс (GUI), исполняющийся на устройстве администрирования, может отображать информацию о каждом событии безопасности, статистических данных и т.д. Таким образом, некоторые варианты осуществления настоящего изобретения обеспечивают централизованное решение для управления компьютерной безопасностью для большого количества абонентов/учетных записей, причем каждая такая учетная запись связана с ее собственной неоднородной группой устройств.
[0105] Помимо гарантии защиты клиентских систем, соединенных с локальной сетью, некоторые варианты осуществления обеспечивают унифицированное решение для автоматического конфигурирования, устранения неисправностей/технической помощи и удаленного управления защищенными клиентскими системами. Некоторые варианты осуществления устанавливают вспомогательный агент на каждом защищенном устройстве, причем этот вспомогательный агент взаимодействует с удаленными серверами для получения данных конфигурации и/или исполняемого кода. Пользователь/администратор клиентской системы может удаленно управлять соответствующим устройством через пользовательский интерфейс, отображаемый на устройстве администрирования (например, мобильном телефоне). Такое управление может включать в себя, например, настройку рабочих параметров (требуемая температура в доме, настройка родительского контроля и т.д.), применение обновлений программного обеспечения и устранение неисправностей.
[0106] Некоторые варианты осуществления настоящего изобретения специально разработаны для удобства использования без необходимости в специальных знаниях компьютерной инженерии или администрирования сети. Например, при установке сетевой регулятор может автоматически брать на себя некоторые сетевые службы от имеющегося маршрутизатора, чтобы стать стандартным поставщиком доступа в Интернет для локальной сети.
[0107] Специалисту в данной области техники будет ясно, что приведенные выше варианты осуществления изобретения могут быть изменены различными способами без выхода за рамки сущности изобретения. Соответственно, объем правовой охраны изобретения должен определяться прилагаемой формулой изобретения и ее законными эквивалентами.
название | год | авторы | номер документа |
---|---|---|---|
СИСТЕМА И СПОСОБ АВТОМАТИЧЕСКОГО ОБНАРУЖЕНИЯ УСТРОЙСТВА, УПРАВЛЕНИЯ УСТРОЙСТВОМ И УДАЛЕННОЙ ПОМОЩИ | 2015 |
|
RU2691858C2 |
СИСТЕМА И СПОСОБ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КОНЕЧНЫХ ТОЧЕК | 2015 |
|
RU2693922C2 |
ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И УДАЛЕННОГО УПРАВЛЕНИЯ СЕТЕВЫМИ КОНЕЧНЫМИ ТОЧКАМИ | 2015 |
|
RU2697935C2 |
СИСТЕМЫ И СПОСОБЫ АВТОМАТИЧЕСКОЙ ДЕТЕКЦИИ УСТРОЙСТВ | 2017 |
|
RU2742824C2 |
СИСТЕМЫ И СПОСОБЫ ДЛЯ ЗАЩИТЫ СЕТЕВЫХ УСТРОЙСТВ ПОСРЕДСТВОМ МЕЖСЕТЕВОГО ЭКРАНА | 2016 |
|
RU2714367C1 |
СИСТЕМЫ И СПОСОБЫ ИСПОЛЬЗОВАНИЯ СООБЩЕНИЙ DNS ДЛЯ СЕЛЕКТИВНОГО СБОРА КОМПЬЮТЕРНЫХ КРИМИНАЛИСТИЧЕСКИХ ДАННЫХ | 2020 |
|
RU2776349C1 |
Система и способы для дешифрования сетевого трафика в виртуализированной среде | 2017 |
|
RU2738021C2 |
СИСТЕМЫ И СПОСОБЫ ДЛЯ ЗАЩИТЫ СЕТЕВЫХ УСТРОЙСТВ | 2015 |
|
RU2675055C2 |
ЗАЩИТА СЕТЕВЫХ УСТРОЙСТВ ПОСРЕДСТВОМ МЕЖСЕТЕВОГО ЭКРАНА | 2016 |
|
RU2712815C1 |
СИСТЕМЫ И СПОСОБЫ ДЕТЕКТИРОВАНИЯ ПОВЕДЕНЧЕСКИХ УГРОЗ | 2019 |
|
RU2778630C1 |
Изобретение относится к защите локальной сети клиентских систем (например, устройства Интернета вещей, такие как смартфоны, бытовая техника, носимые устройства и т.д.) от угроз компьютерной безопасности. Технический результат – автоматическое обнаружение и конфигурирование таких устройств для их безопасности. Для этого при введении в локальную сеть некоторые варианты осуществления сетевого регулятора устанавливают туннель безопасности, соединяющий сетевой регулятор с удаленным сервером конфигурирования. Туннель может быть конфигурирован для перенаправления сообщений, полученных через туннель, на маршрутизатор, предоставляющий сетевые службы клиентским системам в локальной сети. В некоторых вариантах осуществления туннель используется сервером конфигурирования для передачи сообщения в маршрутизатор, причем сообщение конфигурировано для прерывания работы маршрутизатора. В ответ на прерывание сетевой регулятор может взять на себя сетевые службы от маршрутизатора и автоматически установить сетевой регулятор в качестве шлюза в локальную сеть. 3 н. и 26 з.п. ф-лы, 23 ил.
1. Сетевой регулятор, содержащий аппаратный процессор и запоминающее устройство, причем аппаратный процессор конфигурирован, чтобы:
в ответ на получение набора настроек безопасности от удаленного сервера конфигурирования конфигурировать сетевой регулятор в соответствии с настройками безопасности, при этом конфигурирование сетевого регулятора в соответствии с настройками безопасности приводит к тому, что сетевой регулятор защищает множество клиентских систем от угроз компьютерной безопасности, причем множество клиентских систем соединены с локальной сетью, при этом имеется маршрутизатор, предоставляющий сетевую службу, содержащую назначение сетевых адресов множеству клиентских систем; в ответ на соединение с маршрутизатором по локальной сети устанавливать туннель, соединяющий сетевой регулятор с сервером конфигурирования, причем установка туннеля содержит конфигурирование сетевого регулятора для перенаправления на маршрутизатор сообщения, полученного через туннель, причем сообщение конфигурировано так, чтобы приводить к прерыванию сетевой службы; и
в ответ на прерывание брать на себя сетевую службу от маршрутизатора.
2. Сетевой регулятор по п. 1, причем прерывание сетевой службы содержит деактивацию маршрутизатора.
3. Сетевой регулятор по п. 1, причем сообщение содержит набор команд, которые при их исполнении маршрутизатором приводят к прерыванию сетевой службы.
4. Сетевой регулятор по п. 1, причем сообщение содержит запрос на предоставление интерфейса конфигурирования маршрутизатора.
5. Сетевой регулятор по п. 1, причем сообщение конфигурировано так, чтобы автоматически заполнять набор полей интерфейса конфигурирования маршрутизатора набором значений, при этом набор значений выбран так, чтобы приводить к прерыванию сетевой службы.
6. Сетевой регулятор по п. 1, причем сообщение содержит набор учетных данных пользователя для входа в интерфейс конфигурирования маршрутизатора.
7. Сетевой регулятор по п. 1, причем сервер конфигурирования конфигурирован, при подготовке к передаче сообщения, чтобы:
собирать через туннель набор данных типа устройства, указывающих тип устройства маршрутизатора; и
в ответ на сбор набора данных типа устройства конфигурировать сообщение в соответствии с типом устройства маршрутизатора.
8. Сетевой регулятор по п. 1, причем сервер конфигурирования конфигурирован, чтобы определять тип устройства маршрутизатора в соответствии с ответом на сообщение.
9. Сетевой регулятор по п. 1, причем аппаратный процессор дополнительно конфигурирован, чтобы в ответ на взятие на себя сетевой службы:
получать запрос туннеля от сервера конфигурирования, при этом запрос туннеля указывает целевую клиентскую систему из множества клиентских систем; и
в ответ на получение запроса туннеля, устанавливать второй туннель, соединяющий сетевой регулятор с сервером конфигурирования, причем установка второго туннеля содержит конфигурирование сетевого регулятора для перенаправления на целевую клиентскую систему второго сообщения, полученного через второй туннель от сервера конфигурирования.
10. Сетевой регулятор по п. 9, причем второе сообщение содержит средство установки агента, конфигурированное для установки вспомогательного агента в целевой клиентской системе.
11. Сетевой регулятор по п. 9, причем второе сообщение содержит набор значений параметров для регулировки набора рабочих параметров целевой клиентской системы.
12. Сетевой регулятор по п. 9, причем сервер конфигурирования конфигурирован при подготовке к передаче второго сообщения, чтобы:
собирать через второй туннель набор данных типа устройства, указывающих тип устройства целевой клиентской системы; и
в ответ на сбор набора данных типа устройства конфигурировать второе сообщение в соответствии с типом устройства маршрутизатора.
13. Сетевой регулятор по п. 1, причем защита множества клиентских систем от угроз компьютерной безопасности содержит перенаправление запроса доступа к ресурсу на удаленный сервер безопасности, при этом запрос получают от клиентской системы из множества клиентских систем, причем сервер безопасности конфигурирован, чтобы определять, подвергает ли предоставление доступа к ресурсу клиентскую систему угрозе компьютерной безопасности.
14. Сетевой регулятор по п. 1, причем туннель установлен в соответствии с протоколом безопасной оболочки (SSH).
15. Сервер конфигурирования, содержащий по меньшей мере один аппаратный процессор и запоминающее устройство, причем упомянутый по меньшей мере один аппаратный процессор конфигурирован, чтобы:
передавать набор настроек безопасности на сетевой регулятор, соединенный с удаленной сетью, при этом конфигурирование сетевого регулятора в соответствии с настройками безопасности приводит к тому, что сетевой регулятор защищает множество клиентских систем от угроз компьютерной безопасности, причем множество клиентских систем соединены с удаленной сетью, при этом маршрутизатор предоставляет сетевую службу, содержащую назначение сетевых адресов множеству клиентских систем; и
передавать сообщение на сетевой регулятор через туннель, установленный сетевым регулятором, причем туннель соединяет сетевой регулятор с сервером конфигурирования, при этом установка туннеля содержит конфигурирование сетевого регулятора для перенаправления сообщения на маршрутизатор, причем сообщение конфигурировано, чтобы приводить к прерыванию сетевой службы.
16. Сервер конфигурирования по п. 15, причем прерывание сетевой службы содержит деактивацию маршрутизатора.
17. Сервер конфигурирования по п. 15, причем сообщение содержит набор команд, которые при их исполнении маршрутизатором приводят к прерыванию сетевой службы.
18. Сервер конфигурирования по п. 15, причем сообщение содержит запрос на предоставление интерфейса конфигурирования маршрутизатора.
19. Сервер конфигурирования по п. 15, причем сообщение конфигурировано, чтобы автоматически заполнять набор полей интерфейса конфигурирования маршрутизатора набором значений, при этом набор значений выбран так, чтобы приводить к прерыванию сетевой службы.
20. Сервер конфигурирования по п. 15, причем сообщение содержит набор учетных данных пользователя для входа в интерфейс конфигурирования маршрутизатора.
21. Сервер конфигурирования по п. 15, причем упомянутый по меньшей мере один аппаратный процессор дополнительно конфигурирован, чтобы при подготовке к передаче сообщения:
собирать через туннель набор данных типа устройства, указывающих тип устройства маршрутизатора; и
в ответ на сбор набора данных типа устройства конфигурировать сообщение в соответствии с типом устройства маршрутизатора.
22. Сервер конфигурирования по п. 15, причем упомянутый по меньшей мере один аппаратный процессор дополнительно конфигурирован, чтобы определять тип устройства маршрутизатора в соответствии с ответом на сообщение.
23. Сервер конфигурирования по п. 15, причем упомянутый по меньшей мере один аппаратный процессор дополнительно конфигурирован, чтобы в ответ на передачу сообщения:
передавать запрос туннеля на сетевой регулятор, при этом запрос туннеля указывает целевую клиентскую систему из множества клиентских систем, причем получение запроса туннеля приводит к тому, что сетевой регулятор устанавливает второй туннель, соединяющий сетевой регулятор с сервером конфигурирования, при этом установка второго туннеля содержит конфигурирование сетевого регулятора для перенаправления на целевую клиентскую систему второго сообщения, полученного через второй туннель; и
в ответ на передачу запроса туннеля передавать второе сообщение сетевому регулятору через второй туннель.
24. Сервер конфигурирования по п. 23, причем второе сообщение содержит средство установки агента, конфигурированное, чтобы устанавливать вспомогательный агент в целевой клиентской системе.
25. Сервер конфигурирования по п. 23, причем второе сообщение содержит набор значений параметров для регулировки набора рабочих параметров целевой клиентской системы.
26. Сервер конфигурирования по п. 23, причем упомянутый по меньшей мере один аппаратный процессор дополнительно конфигурирован, чтобы при подготовке к передаче второго сообщения:
собирать через второй туннель набор данных типа устройства, указывающих тип устройства целевой клиентской системы;
в ответ на сбор набора данных типа устройства конфигурировать второе сообщение в соответствии с типом устройства маршрутизатора.
27. Сервер конфигурирования по п. 15, причем защита множества клиентских систем от угроз компьютерной безопасности содержит перенаправление сетевым регулятором запроса доступа к ресурсу на удаленный сервер безопасности, при этом запрос получается от клиентской системы из множества клиентских систем, причем сервер безопасности конфигурирован, чтобы определять, подвергает ли предоставление доступа к ресурсу клиентскую систему угрозе компьютерной безопасности.
28. Сервер конфигурирования по п. 15, причем туннель установлен в соответствии с протоколом безопасной оболочки (SSH).
29. Долговременный машиночитаемый носитель, хранящий команды, которые при исполнении их по меньшей мере одним аппаратным процессором сетевого регулятора приводят к тому, что сетевой регулятор:
в ответ на получение набора настроек безопасности от удаленного сервера конфигурирования конфигурирует сетевой регулятор в соответствии с настройками безопасности, при этом конфигурирование сетевого регулятора в соответствии с настройками безопасности приводит к тому, что сетевой регулятор защищает множество клиентских систем от угроз компьютерной безопасности, причем множество клиентских систем соединены с локальной сетью, при этом маршрутизатор предоставляет сетевую службу, содержащую назначение сетевых адресов множеству клиентских систем;
в ответ на соединение с маршрутизатором по локальной сети устанавливать туннель, соединяющий сетевой регулятор с сервером конфигурирования, причем установка туннеля содержит конфигурирование сетевого регулятора для перенаправления на маршрутизатор сообщения, полученного через туннель от сервера конфигурирования, при этом сообщение конфигурировано, чтобы приводить к прерыванию сетевой службы; и
в ответ на прерывание брать на себя сетевую службу от маршрутизатора.
ВЫСОКОПРОЧНАЯ КОАКСИАЛЬНАЯ НАГРУЗКА | 2014 |
|
RU2575319C1 |
US 20080172476 A1, 17.07.2008 | |||
US 20040066782 A1, 08.04.2004 | |||
СПОСОБ ВЫБОРА БЕЗОПАСНОГО МАРШРУТА В СЕТИ СВЯЗИ (ВАРИАНТЫ) | 2007 |
|
RU2331158C1 |
УСТРОЙСТВО И СПОСОБ ЗАЩИЩЕННОЙ ПЕРЕДАЧИ ДАННЫХ | 2006 |
|
RU2448365C2 |
US 20110122774 A1, 26.05.2011. |
Авторы
Даты
2019-07-08—Публикация
2015-12-11—Подача