RU2017115774A

RU2017115774A - Системы и способы для защиты сетевых устройств

Info

Publication number: RU2017115774A
Application number: RU2017115774A
Authority: RU
Inventors: Курт ГЛЭЙЗМЭЙКЕРС; Малкольм ХЭМИЛТОН; Гокхан БЕРБЕРОГЛУ
Original assignee: Криптзоун Норт Америка, Инк.
Priority date: 2014-10-06
Filing date: 2015-09-16
Publication date: 2018-11-13
Also published as: CN107005542A; AU2015328628A1; KR102009685B1; US9148408B1; WO2016057177A1; US20180139177A1; BR112017007051A2; JP2019208219A; US20190116156A1; KR20170063795A; CA2963947A1; US10193869B2; MX2017004292A; AU2015328628B2; US10979398B2; EP3205073A1; US20160099916A1; CO2017003283A2; RU2675055C2; US9853947B2

Claims

1. Машинореализуемый способ, содержащий этапы, на которых:

принимают, посредством компьютерной системы, реализующей шлюз в частную сеть, из клиентского устройства запрос на предмет сетевого туннеля между клиентским устройством и сетевым устройством в частной сети;

аутентифицируют клиентское устройство посредством компьютерной системы;

принимают, из сервера аутентификации, поддерживающего связь с компьютерной системой, список доступа клиента, который включает в себя список сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь;

удостоверяются, посредством компьютерной системы, в том, что сетевое устройство в частной сети является частью списка сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; и

устанавливают, посредством компьютерной системы, сетевой туннель между клиентским устройством и сетевым устройством в частной сети через шлюз.

2. Способ по п. 1, в котором сетевое устройство в частной сети включает в себя сервер приложений, предоставляющий услугу.

3. Способ по п. 2, в котором сервер приложений включает в себя одно или более из следующего:

почтовый сервер, предоставляющий почтовую службу;

файловый сервер, предоставляющий сетевое хранение данных; и

веб-сервер, предоставляющий услуги хостинга.

4. Способ по п. 1, в котором сетевое устройство в частной сети включает в себя одно или более из маршрутизатора и коммутатора, предоставляющего доступ администратора.

5. Способ по п. 1, в котором компьютерная система дополнительно реализует брандмауэр для избирательного блокирования и разрешения сетевого трафика между клиентским устройством и сетевым устройством в частной сети.

6. Способ по п. 5, в котором брандмауэр блокирует весь сетевой трафик между клиентским устройством и сетевым устройством в частной сети по умолчанию.

7. Способ по п. 5, дополнительно содержащий этапы, на которых:

получают, посредством компьютерной системы, правило брандмауэра для разрешения сетевого доступа между клиентским устройством и сетевым устройством в частной сети; и

конфигурируют брандмауэр на основе правила брандмауэра.

8. Способ по п. 7, в котором правило брандмауэра включено в список доступа клиента.

9. Способ по п. 1, в котором установление сетевого туннеля между клиентским устройством и сетевым устройством в частной сети включает в себя установление виртуальной частной сети.

10. Способ по п. 1, в котором список доступа клиента является считываемым, но не изменяемым посредством клиента.

11. Способ по п. 1, в котором аутентификация клиентского устройства включает в себя этап, на котором верифицируют цифровую подпись в списке доступа клиента через ключ подписи, совместно используемый шлюзом и сервером аутентификации.

12. Способ по п. 1, дополнительно содержащий этап, на котором принимают, посредством компьютерной системы из сервера аутентификации, список туннелей клиента, который включает в себя информацию для установления сетевого туннеля.

13. Способ по п. 12, в котором список туннелей клиента принимается только из сервера аутентификации в ответ на успешную аутентификацию клиентского устройства и не принимается в ином случае.

14. Способ по п. 12, в котором список туннелей клиента включает в себя целевой адрес Интернет-протокола и номер целевого порта шлюза.

15. Способ по п. 1, в котором список доступа клиента включает в себя первую подборку сетевых устройств и вторую подборку сетевых устройств, причем вторая подборка сетевых устройств имеет усиленные требования по аутентификации относительно первой подборки сетевых устройств.

16. Способ по п. 15, в котором усиленные требования по аутентификации включают в себя требование, выбранное из группы, состоящей из следующего:

такое требование, что все исправления должны применяться к операционной системе на клиенте;

такое требование, что актуальный антивирусный сканер должен работать на клиенте; и

такое требование, что клиент не пытается осуществлять доступ к сетевому устройству в частной сети через беспроводную сеть общего пользования.

17. Способ по п. 15, в котором усиленные требования по аутентификации включают в себя такое требование, что пользователь клиентского устройства должен предоставлять аутентификационные учетные данные, выбранные из группы, состоящей из следующего:

сканирование отпечатков пальцев;

сканирование радужной оболочки глаз; и

ключ, сформированный посредством внешнего формирователя ключей.

18. Способ по п. 1, дополнительно содержащий этапы, на которых:

принимают, посредством компьютерной системы, информацию состояния клиента от клиента; и

разрывают сетевой туннель в ответ на сбой при приеме информации состояния клиента от клиента с регулярным временным интервалом или в ответ на несоответствие информации состояния клиента предварительно заданным требованиям для клиента.

19. Долговременный машиночитаемый носитель, на котором сохранены инструкции, которые при их исполнении инструктируют компьютерной системе, реализующей шлюз в частную сеть:

принимать из клиентского устройства запрос на предмет сетевого туннеля между клиентским устройством и сетевым устройством в частной сети;

аутентифицировать клиентское устройство;

принимать из сервера аутентификации, поддерживающего связь с компьютерной системой, список доступа клиента, который включает в себя список сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь;

удостоверяться в том, что сетевое устройство в частной сети является частью списка сетевых устройств, с которыми клиентскому устройству разрешено осуществлять связь; и

устанавливать сетевой туннель между клиентским устройством и сетевым устройством в частной сети через шлюз.

20. Компьютерная система, реализующая шлюз, причем компьютерная система содержит:

процессор; и

энергонезависимое запоминающее устройство, поддерживающее связь с процессором и хранящее инструкции, которые при их исполнении процессором инструктируют компьютерной системе:

аутентифицировать клиентское устройство;