[go: up one dir, main page]

JP7561265B2 - サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム - Google Patents

サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム Download PDF

Info

Publication number
JP7561265B2
JP7561265B2 JP2023501496A JP2023501496A JP7561265B2 JP 7561265 B2 JP7561265 B2 JP 7561265B2 JP 2023501496 A JP2023501496 A JP 2023501496A JP 2023501496 A JP2023501496 A JP 2023501496A JP 7561265 B2 JP7561265 B2 JP 7561265B2
Authority
JP
Japan
Prior art keywords
esni
packets
packet filtering
destination
filtering device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023501496A
Other languages
English (en)
Other versions
JP2023535304A (ja
Inventor
ムーア,ショーン
ムートロ,ヴィンセント
アール. ロジャース,ジョナサン
Original Assignee
セントリペタル リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=74570199&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP7561265(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by セントリペタル リミテッド filed Critical セントリペタル リミテッド
Publication of JP2023535304A publication Critical patent/JP2023535304A/ja
Priority to JP2024163896A priority Critical patent/JP2024178324A/ja
Application granted granted Critical
Publication of JP7561265B2 publication Critical patent/JP7561265B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0414Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Evolutionary Computation (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Transmission Systems Not Characterized By The Medium Used For Transmission (AREA)
  • Oscillators With Electromechanical Resonators (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

(関連出願の相互参照)
本出願は、2020年7月14日に出願された米国仮特許出願第16/928,083号(現在は米国特許第10,924,456号である)に対する優先権を主張する。また本出願は、2021年2月15日に出願された米国非仮特許出願第17/175,747号および2021年5月4日に出願された米国非仮特許出願第17/307,080号の各継続出願にも関連する。これらの先行出願の各々の内容は、その全体が参照により本明細書に明示的に組み込まれる。
(発明の分野)
本明細書で説明する本発明(以下、本発明のことを「本開示」ということがある)の態様は、概して、コンピュータのハードウェア、ソフトウェア、およびネットワークセキュリティに関する。詳細には、本開示の1またはそれ以上の態様は、全般的には、サイバーセキュリティアプリケーションに関連するサーバ名指示(Server Name Indication、SNI)(例えば、暗号化されたSNI(encrypted SNI、eSNI))の値に対応する暗号文を含むトランスポート層セキュリティ(Transport Layer Security、TLS)ハンドシェイクメッセージの効率的なパケットフィルタリングのためのコンピュータハードウェアおよびソフトウェアに関し、より全般的には、ネットワーク通信ポリシー施行アプリケーションに関する。
情報時代が進むにつれ、ネットワークセキュリティはますます重要になっている。ネットワークの脅威/攻撃は、多様な形態(例えば、不正な要求またはデータ転送、ウイルス、マルウェア、リソースを圧倒するように設計された大量のトラフィック(例えば、DDoS)など)をとり得る。これらの脅威の多くは、インターネットを使用して、企業ないし組織(以下「エンタープライズ」という)のコンピュータリソースおよび/または資産にアクセスし、これらを攻撃する。例えば、デスクトップコンピュータ、モバイルデバイス、オンプレミスまたはクラウドエンタープライズアプリケーションサーバ、公開ウェブサーバなどのエンタープライズホストは、営利事業者、政府、国家などのようなエンタープライズによって所有および/または運営および管理されるプライベートネットワーク(例えば、TCP/IPネットワーク)に直接接続され(例えば、アタッチされ)得る。これらのエンタープライズネットワークは、次に、エンタープライズのホストが、例えば、他の公的にアドレス指定された、インターネットに接続されたホスト(例えば、公開ウェブサーバ、アプリケーションサーバなど)にアクセスし得るように、インターネットに直接接続される。しかしながら、いくつかの事例では、例えば、エンタープライズホストのオペレータ/ユーザが、悪意のあるインターネットホストと通信するフィッシング電子メールリンクをクリックするようにソーシャルエンジニアリングされている場合、エンタープライズホストは、本質的に悪意のある、インターネット接続ホストまたはインターネットホストにアクセスしている場合がある。他の事例では、エンタープライズホストは、エンタープライズのネットワーク通信ポリシーに違反してインターネットホストと通信している場合がある。
エンタープライズは、例えば、バウンダリを横切るホスト間通信(伝送中のL2/L3パケットの形態)を検査することができる、エンタープライズネットワークとインターネットとの間のバウンダリに(例えば、1またはそれ以上のインターネットアクセスリンクに、またはその近くに)ネットワークパケットフィルタリングデバイスを設置することによって、悪意のあるアクタからこれらのエンタープライズのネットワークを保護しようと試み得るか、さもなければネットワーク通信ポリシーを施行し得る。これらのパケットフィルタリングデバイスは、通信が本質的に悪意のあるものであるか、さもなければエンタープライズ通信ポリシーに違反しているかを判定し、そうである場合、脅威または違反からエンタープライズネットワークを保護するポリシーを施行し(例えば、関連付けられたIPパケットをドロップすることによって通信をブロックし)得る。エンタープライズはまた、そのようなネットワークデバイスを使用して、例えば、特定のインターネットホストへのアクセスを制御および/または監視することによって、エンタープライズの通信ポリシーを施行し得る。そのようなポリシーを施行するための1つの手法は、ネットワークパケットフィルタリングデバイスが、ポリシー内のパケットフィルタリングルールに関連付けられたmalicious-adware-site.netなどのドメイン名(例えば、完全修飾ドメイン名(fully qualified domain name、FQDN))のインスタンスについて通信の伝送中パケットを検査またはフィルタリングすることであってもよい。パケットとルールとの間にマッチが見つかった場合には、ネットワークパケットフィルタリングデバイスは、パケットをドロップし得る。多くのウェブ、eコマース、ソーシャルメディアなどの通信を転送および仲介するために使用される一般的なHTTPプロトコルは、多くの場合、HTTPメッセージ内にインターネットホストのそのようなドメイン名を含む。HTTPメッセージに含まれるドメイン名に対して伝送中パケットをフィルタリングすることは、ポリシー施行技法である。同様に、他のアプリケーション層プロトコル(例えば、DNS、SMTP、SIPなど)は、ポリシー施行中に使用され得るドメイン名を含み得る。エンタープライズ通信ポリシーはまた、エンタープライズ自体によって、または、例えば、HIPAA、PCI DSSなどの、エンタープライズに対する規制もしくはコンプライアンス権限を有する外部エンティティによって定義され得る、プライバシー保護および保存(privacy protection & preservation、P3)ポリシーを含んでもよい。エンタープライズ通信ポリシーはまた、法執行(law enforcement、LE)アプリケーション、例えば、合法的傍受のためのサポートを含んでもよい。
伝送中のネットワークトラフィックは、例えば、トランスポート層セキュリティ(TLS)プロトコルを使用して、暗号化を介してセキュリティ保護され得る。TLSハンドシェイクプロトコルを最初に使用して、ネットワーク(例えば、TCP/IPネットワーク)によって接続された2つのホスト間で、セキュアな暗号化された接続またはトンネルを確立し得る。TLSレコードプロトコルを使用して、トンネルを介した通信を含むアプリケーション層データをセキュアに転送し得る。HTTPセッションがTLSによってセキュリティ保護される場合、この組み合わせは、「HTTPS」と標記され、一般に、HTTPの拡張であるとみなされる。伝送中のHTTPSパケットのアプリケーション層は、暗号化されたHTTPメッセージ(TLSレコードプロトコルパケットにカプセル化されている)を含む。伝送中のHTTPSパケットに含まれる平文HTTPメッセージ、したがって任意のドメイン名を、オブザーバが読み取ることはできない。これにより、盗取している場合がある悪意のあるアクタからHTTPセッションがセキュリティ保護されるが、悪意のない/正当なパケットフィルタリングデバイスおよび関連付けられたアプリケーションがHTTPメッセージに含まれる任意のドメイン名を読み取ることも防止される。これにより、エンタープライズがこれらのエンタープライズの通信ポリシーを施行し、かつこれらのエンタープライズのネットワークを保護することが妨げられることがある。
しかしながら、TLSハンドシェイクプロトコルClientHelloメッセージは、ClientHelloメッセージのサーバ名指示(SNI)拡張(RFC6066)内のセキュリティ保護/暗号化されるべきアプリケーション(例えば、HTTP)セッションに関連付けられた(平文)ドメイン名またはホスト名を含み得る。エンタープライズパケットフィルタリングデバイスおよび関連付けられたアプリケーション、並びに盗取者は、伝送中パケットに含まれるClientHelloメッセージのクリアテキストSNIフィールドを検査することによって、TLSによってセキュリティ保護されたセッションに関連付けられたドメイン名を継続して読み取って、場合によっては、それに作用し得る。しかしながら、TLSをさらにセキュアにするために、伝送中である間にSNI値の暗号化をサポートする、TLSに対する1またはそれ以上の拡張が開発されている。当業者であれば、一般に、この拡張および関連技術を「ESNI」として理解するであろう。ESNIの主な目的は、悪意のあるアクタによるドメイン名盗取のリスクを軽減することである。しかし、エンタープライズのネットワークを保護し、かつ伝送中パケットのSNI拡張に含まれるクリアテキストドメイン名を読み取って、場合によっては、それに作用することによってエンタープライズの通信ポリシーを施行するエンタープライズは、ドメイン名が暗号化されているため、ESNIが使用される場合にそのようにすることができなくなる。
したがって、エンタープライズは、TLSによってセキュリティ保護された通信を確立するときにエンタープライズホストがESNIを使用する場合、これらのエンタープライズのネットワークを保護し、かつ通信ポリシーを施行するために、平文/クリアテキストドメイン名を使用する方途を必要とする。
以下は、本開示のいくつかの態様の基本的な理解を提供するための簡略化された概要を提示する。本開示の主要なまたは重要な要素を特定することも、本開示の範囲を定めることも意図されていない。以下の概要は、以下の説明の前置きとして、本開示のいくつかの概念を簡略化した形式で提示するに過ぎない。
本明細書に開示される方法、デバイス、システム、および/またはコンピュータ可読媒体は、例えば、伝送中パケットに含まれるドメイン名が暗号化される(例えば、TLSハンドシェイクプロトコルメッセージ内の暗号化されたサーバ名指示(eSNI)拡張、暗号化されたTLSプロトコルメッセージなど)いくつかの場合において、脅威(例えば、インターネット脅威)からエンタープライズネットワークを保護し、かつエンタープライズ通信ポリシーを施行することを説明する。サイバーセキュリティアプリケーションは、1またはそれ以上のパケット内の暗号化されたホスト名を検出し得る。暗号化されたホスト名(例えば、ドメイン名)を検出することに基づいて、サイバーセキュリティアプリケーションは、暗号化されたホスト名に対応する平文のホスト名(例えば、ドメイン名)を解読し得る。サイバーセキュリティアプリケーションは、平文ホスト名を使用して、平文ホスト名が任意の通信ポリシーに関連付けられているかどうかを判定し得る。例えば、レポート(例えば、サイバー脅威インテリジェンスレポート)において識別された脅威からネットワークを保護するサイバーセキュリティアプリケーションは、平文のホスト名を使用して、平文のホスト名が1またはそれ以上の脅威インジケータに関連付けられているかどうかを判定し得る。平文のホスト名が1またはそれ以上の脅威インジケータに関連付けられている場合、サイバーセキュリティアプリケーションは、1またはそれ以上のパケットフィルタリングルールを1またはそれ以上のパケットに適用し得る。暗号化されたホスト名から平文のホスト名を解読することによって、サイバーセキュリティアプリケーションは、例えば、脅威(例えば、インターネット脅威)から、および悪意のある盗取などのプライバシー侵害からエンタープライズネットワークを保護し、エンタープライズ通信ポリシーを施行し、かつ/または法執行を支援し得る。
上記のプロセスには多くの可能な変形態があり、そのうちのいくつかは、「発明を実施するための形態」セクションにおいて以下に詳しく説明されている。
本発明は、実施例として説明され、添付の図に限定されるものではなく、図において、類似の参照番号は、類似の要素を示す。
本開示の1またはそれ以上の態様による、TLSによってセキュリティ保護された通信および関連付けられたエンタープライズネットワークのための脅威保護およびポリシー施行システムの例示的な環境を示す。 本開示の1またはそれ以上の態様による、サイバーセキュリティアプリケーションを実行するための例示的な効率的なeSNIパケットフィルタリングゲートウェイを示す。 eSNI暗号文と平文ドメイン名との間の対応を判定するためにサイバーセキュリティアプリケーションによって使用される代表的なeSNIドメイン名対応リスト(eSNI Domain Name Correspondence List、EDCL)を示す。 EDCLを作成、配信、および維持するための例示的なプロセスのフロー図を示す。 EDCLを作成、配信、および維持するための例示的なプロセスのフロー図を示す。 CTIデータベースから導出されたパケットフィルタリングルールから構成されるポリシーを作成、配信、および維持するための例示的なプロセスのフロー図を示す。 eSNIをサポートするDNS登録されたドメイン名である要素を含むDNS-ESNIセットデータ構造を作成、配信、および維持するための例示的なプロセスのフロー図を示す。 EDCL、CTIによって導出されたポリシー、およびDNS-ESNIセットデータ構造を作成、配信、および維持するための例示的プロセスのフロー図を示す。 本明細書で説明される1またはそれ以上の実施例による、効率的なeSNIゲートウェイを構成し、かつ動作させるための方法を示す。 本明細書で説明される1またはそれ以上の実施例による、効率的なeSNIゲートウェイを構成し、かつ動作させるための方法を示す。 本明細書で説明される1またはそれ以上の態様による、効率的なeSNIゲートウェイを構成し、かつ動作させるための方法を示す。 本明細書で説明する1またはそれ以上の実施例による、効率的なeSNIゲートウェイを構成し、かつ動作させるための方法を示す。 暗号化されたネットワークトラフィックが1またはそれ以上の脅威に関連付けられているかどうかを判定するためのプロセスの一実施例を示す。 本明細書で説明される1またはそれ以上の実施例による、暗号化されたホスト名を使用するポリシーを施行するためのプロセスの一実施例を示す。 本明細書で説明される1またはそれ以上の実施例による、パケットを記憶するための方法の一実施例を示す。
本開示の様々な実施形態の以下の説明において、添付図面が参照されるが、添付図面は、本明細書の一部を形成するものであり、そこには、本開示の態様が実施され得る様々な実施形態が例示として示されている。本開示の範囲から逸脱することなく、他の実施形態が利用され得、構造的および機能的な変更が行われ得ることを理解されたい。更およびに、本開示の態様が実施され得る特定の適用例、プロトコル、実施形態が参照される。本開示の範囲から逸脱することなく、他の適用例、プロトコル、および実施形態が利用され得、構造的および機能的な変更が行われ得ることを理解されたい。
以下の説明では、要素間の様々な接続について考察する。これらの接続は一般的なものであり、特に明記されていない限り、直接的または間接的、有線または無線、物理的または論理的(仮想/ソフトウェア定義)であり得る。同様に、ホストおよびアプライアンスなどのネットワーク要素は、物理的または仮想的であり得る。この点において、本明細書は限定することを意図したものではない。
本開示は、ドメイン名が暗号化され得る場合に、TLSによってセキュリティ保護された通信を構成する伝送中パケットに含まれるドメイン名に作用するサイバーセキュリティアプリケーションのための技法を説明する。いくつかのネットワークサイバーセキュリティアプリケーションは、ルールマッチング基準として平文ドメイン名を含むパケットフィルタリングルールから構成されるTCP/IP通信ポリシーを施行する。伝送中パケットに含まれるドメイン名が、例えば、TLS ClientHelloメッセージ内の暗号化されたサーバ名指示(SNI)拡張フィールド値である場合には、ポリシーを施行することができない。追加的もしくは代替的に、サイバーセキュリティアプリケーションは、例えば、暗号化されたSNIの使用を選択的に施行して、クリアテキストドメイン名に関連付けられた盗取を阻止してもよい。
本明細書を通して、「ドメイン名」という用語は、ドメイン名によって識別されるネットワークドメインと互換的に使用され得る。文脈が、「ドメイン名」がドメインの実際の名称またはアイデンティティを指すかどうか、または「ドメイン名」がドメイン自体を指すかどうかを決定する。この用語の互換性を、当業者であれば理解するであろう。また、「ドメイン名」を、文脈によって正確な意味を定義して、ホスト名、完全修飾ドメイン名(FQDN)などと互換的に使用する場合がある。例えば、伝送中のL2/L3パケットの構造化フィールドにおいて観測されるドメイン名は、FQDNである場合がある。同様に、CTIインジケータであるドメイン名もFQDNである場合がある。
本明細書で使用されるように、暗号化されたサーバ名指示(「eSNI」)は、概して、特定のプロトコル、実装、または規格ではなく、暗号化されたSNIに関連付けられた技術および論理を指し得る。さらに、「eSNI暗号文」は、概して、2者以上の当事者間でセキュアな通信チャネルを確立することに関連付けられたメッセージ(例えば、TLS ClientHelloメッセージ)のうちの1またはそれ以上の暗号化された部分(例えば、フィールド、値など)を指し得る。1またはそれ以上の暗号化された部分は、SNI値、および、例えば、メッセージ(例えば、ClientHelloメッセージ)全体を含む、メッセージ(例えば、ClientHelloメッセージ)の他の部分を含み得る。本出願人は、eSNIプロトコルが現在インターネット技術特別調査委員会(Internet Engineering Task Force、IETF)によって開発されており、メッセージのどの部分が暗号化されることとなるかはまだ確定されておらず、かつ/または規格の一部として分類されていないと認識している。当業者であれば、本明細書で説明されるプロセス、方法、技法、デバイス、装置、および/またはシステムが、そのような通信のどの部分が暗号化されるかにかかわらず、暗号化されたサーバ名指示(eSNI)を含む通信において、脅威(例えば、インターネット脅威)を検出すること、エンタープライズネットワークを保護すること、プライバシー侵害を軽減すること、エンタープライズ通信ポリシーを施行すること、および/または法執行を支援することに適用され得ることを認識するであろう。
本開示の態様は、例えば、通信の伝送中パケットに含まれるドメイン名が暗号化されている場合に、エンタープライズネットワークをインターネット脅威から保護し、かつエンタープライズ通信ポリシーを施行するための方法、デバイス、システム、および/またはコンピュータ可読媒体に関する。インラインおよび/または伝送中パケットフィルタリングデバイスを動作させる、サイバーセキュリティアプリケーションなどのアプリケーションは、eSNIを使用してドメイン名が暗号化されている場合を検出し得る。eSNIの使用を検出することに基づいて、アプリケーションおよび/または伝送中パケットフィルタリングデバイスは、eSNI暗号文に対応する平文ドメイン名を判定し、平文ドメイン名に関連付けられた通信ポリシーを施行し得る。
本開示の態様はまた、例えば、通信に含まれるドメイン名が暗号化されていない場合に、エンタープライズネットワークを悪意のある盗取などの脅威から保護し、かつエンタープライズ通信ポリシーを施行するための方法、デバイス、システム、および/またはコンピュータ可読媒体を説明し得る。インラインおよび/または伝送中パケットフィルタリングデバイスを動作させる、サイバーセキュリティアプリケーションは、eSNIを使用しないでドメイン名が暗号化されている場合を検出し得る。サイバーセキュリティアプリケーションおよび/または伝送中パケットフィルタリングデバイスは、関連付けられたドメインによってeSNIがサポートされるかどうかを判定し得る。eSNIがサポートされる場合、インラインおよび/または伝送中パケットフィルタリングデバイスを動作させるサイバーセキュリティアプリケーションは、例えば、通信にeSNI(利用可能な場合)を使用させることによって、クリアテキストドメイン名を伝送することに関連付けられた通信ポリシーを施行し得る。
インターネット脅威に関連付けられた通信の識別は、多くのサイバー脅威インテリジェンス(cyber threat intelligence、CTI)プロバイダ組織から入手可能であるCTIレポートのデータベースを活用し得る。これらのCTIレポートは、悪意のあるアクティビティに関連付けられたインターネットホストまたはインターネットホストのリソース(例えば、サービス、アプリケーションインスタンスなど)の一意の識別子であるインジケータ、または脅威インジケータ、またはセキュリティ侵害インジケータ(Indicators-of-Compromise、IoC)を含み得る。CTIは、脅威アクタによって制御/操作され得るか、またはさもなければ悪意のあるアクティビティに関連付けられ得るリソースのインターネットネットワークアドレス(IPアドレス、5つのタプル(L3ホストIPアドレス、L4ポート、および/または関連付けられたL3プロトコルタイプ)、ホスト名/ドメイン名、URIなどの形態)を含み得る。CTIインジケータには、いくつかのTCP/IP通信をセキュリティ保護するために使用される証明書および関連付けられた認証局の識別子も含まれ得る(例えば、HTTPを介したセッションをセキュリティ保護するためにTLSプロトコルによって使用されるX.509証明書)。脅威インジケータに加えて、CTIレポートは、脅威のタイプ、脅威属性および脅威アクタ、特徴的挙動、攻撃ターゲット、地理的および地政学的情報など、脅威に関連する追加情報を含んでもよい。
本開示は、CTIにおいて受信されたドメイン名インジケータからパケットフィルタリングルールを導出するための方法、デバイス、システム、および/またはコンピュータ可読媒体を説明し得る。本開示はまた、TLSによってセキュリティ保護された通信(例えば、HTTPS通信)を含むパケットに導出されたパケットフィルタリングルールを施行するための方法、デバイス、システム、および/またはコンピュータ可読媒体を説明し得る。この点に関して、エンタープライズは、サイバー脅威インテリジェンスプロバイダ(cyber threat intelligence provider、CTIP)へのサブスクリプションを介してCTIインジケータを受信し得る。エンタープライズは、CTIインジケータから導出されたパケットフィルタリングルールから構成されるポリシーを作成し、ポリシーを用いてパケットフィルタリングデバイスを構成し、ネットワークのバウンダリを横断する伝送中パケットにポリシーを施行することによって、エンタープライズのエンタープライズネットワークをインターネット脅威から保護し得る。
TLSによってセキュリティ保護された通信においてドメイン名を暗号化するためのeSNIの使用は、通信するホストとインターネットのドメイン名システム(Domain Name System、DNS)との共同参加を介して実現され得る。すなわち、第1のホスト(例えば、エンタープライズホスト上で実行されているウェブブラウザアプリケーションなどの、HTTPクライアント)および第2のホスト(例えば、www.web-domain-X.comという名称のドメインをホストするウェブアプリケーションサーバなどのインターネットに接続されたHTTPサーバ)は、2つのホストの間でTLSによってセキュリティ保護された通信を確立するためにeSNIをサポートし得る。第2のホスト(例えば、ウェブサーバ)は、第2のホストの関連付けられたDNSエントリ(例えば、www.web-domain-X.com)において公開鍵を公開し得る。クライアントは、公開鍵を使用して、例えば、SNI拡張に含まれるドメイン名(例えば、www.web-domain-X.com)および他の情報(例えば、ClientHelloメッセージ、ClientHelloメッセージ内のデータおよび/または情報など)を暗号化し得る。第2のホスト(例えば、www.web-domain-X.com)と通信する前に、第1のホスト(例えば、HTTPクライアント)は、DNSに照会を発行して、IPアドレス(例えば、www.web-domain-X.comの12.34.56.78)、および第2のホストのeSNI公開鍵を取得し(例えば、取り出し、解読し)得る。第1のホスト(例えば、HTTPクライアント)は、12.34.56.78の周知のポート(例えば、ポート443(HTTPS))へのTCPコネクションを確立し得る。第1のホストは、公開鍵を使用して、SNI拡張に含まれるFQDN(例えば、www.web-domain-X.com)を暗号化し得る。いくつかの実施例では、公開鍵を使用して、FQDNに加えて、ClientHelloメッセージ並びに/またはClientHelloメッセージに含まれるデータおよび情報などの、他のデータを暗号化し得る。FQDNおよび任意の追加のデータを公開鍵で暗号化した後、第1のホストは、結果として得られるeSNI暗号文をClientHelloメッセージなどの通信文に挿入し得る。通信文(例えば、ClientHelloメッセージ)は、443の宛先ポートを有するTCPパケットにカプセル化され得る。TCPパケットは、12.34.56.78の宛先IPアドレスを有するIPパケットにカプセル化され得る。IPパケットは、コネクション(例えば、TCPコネクション)を介して第2のホスト(例えば、ウェブサーバ)に送信(例えば、伝送)され得る。ClientHelloメッセージを受信すると、第2のホスト(例えば、ウェブサーバ)は、公開鍵に関連付けられた非公開(例えば、秘密)鍵を使用して暗号文を復号化し、第1のホスト(例えば、ウェブブラウザ)が通信したい第2のホスト(例えば、ドメイン)の平文ドメイン(例えば、www.web-domain-X.com)を取得(例えば、判定)し得る。
パケットフィルタリングデバイスを動作させるアプリケーションは、(例えば、ClientHelloメッセージを含む)伝送中パケットのL3宛先IPアドレスをeSNI関連情報と相関させることによって、eSNI暗号文から平文ドメイン名を導出(例えば、判定)し得る。例えば、パケットフィルタリングデバイスを動作させるサイバーセキュリティアプリケーションは、ドメイン名インジケータのサイバー脅威インテリジェンス(CTI)データベースをTCP/IP通信と相関させて、潜在的な脅威通信を識別し、かつ/または識別された潜在的な脅威通信をどのように処理(例えば、通信をブロック/ドロップまたは許可/転送)するかを決定し得る。CTIデータベースは、複数のドメイン名を含むことができ、CTIデータベースの内容は、動的であり得る。すなわち、新しいエントリ(例えば、ドメイン名および任意の関連付けられた情報)をCTIデータベースに追加することができ、既存のエントリをCTIデータベースから継続的に削除することができる。本開示は、オーバーフローするバッファのために伝送中のパケットがドロップされず、かつ遅延に起因してネットワークセキュリティが危殆化されないように計算効率的であり得るパケットフィルタリング技法を説明する。本明細書で説明されるアプリケーションおよび/またはインラインパケットフィルタリングデバイスは、パケットごとに、伝送中のL2/L3パケットをフィルタリングし得る。すなわち、L2/L3透過デバイスは、到着順(例えば、FIFOキューイング)に各伝送中パケットをフィルタリングするか、または各伝送中パケットにパケットフィルタリングルールを適用し、次のパケットをフィルタリングする前に各パケットの処置/アクション(例えば、ブロック/ドロップ、許可/転送など)を決定する。ClientHelloメッセージなどの通信文は、いくつかのパケットにわたってフラグメント化され得ることが理解されよう。本明細書で説明されるパケットごとの処理は、複数のパケットにわたってフラグメント化された、ClientHelloメッセージなどの通信文に適用されてもよい。
eSNIドメイン名対応リスト(EDCL)は、ドメイン名のCTIデータベースから生成され得る。EDCLは、データ構造であり得る。データ構造は、効率的なアクセスおよび/または修正を可能にするデータ編成、管理、および/または記憶フォーマットであり得る。データ構造は、データ値、これらのデータ値の間の関係、および/またはデータに適用され得る関数若しくは演算の集合であり得る。いくつかの実施例では、データ構造は、IPアドレスによって一意にインデックス付けされる{IP-アドレス,cti-esni-ドメイン-名-リスト}と標記された少なくとも2つの列を含む2Dテーブルであり得る。他の実施例では、データ構造は、データベースであり得る。EDCLを生成するために、CTIデータベース内の各ドメイン名(例えば、完全修飾ドメイン名(FQDN))が、DNSに照会され得る。DNS照会は、ドメイン名のIPアドレスと、関連付けられたドメインがeSNIをサポートするかどうかと、のうちの少なくとも1つを判定し得る。ドメインがeSNIをサポートするかどうかを判定することは、暗号化のためのeSNI公開鍵を含むリソースレコードを照会することを含み得る。関連付けられたドメインがeSNIをサポートする場合、EDCL内のエントリ(例えば、行)が、IPアドレスをIPアドレス列内に、ドメイン名をcti-esni-ドメイン-名-リスト列内に配置することによって、作成および/または更新され得る。複数のドメイン名が同じIPアドレスに解読され得る仮想ドメイン技術のために、EDCL内の各IPアドレスに関連付けられた複数のドメイン名またはドメイン名のリストが存在し得る。例示の目的で、この概要の実施例について、EDCL内の(一意の)IPアドレスに関連付けられたcti-esni-ドメイン-名-リスト内に1つのドメイン名のみがあると仮定する。バッファオーバーフローおよびパケットドロップを回避し、かつパケット伝送待ち時間を最小化するように、伝送中パケットを迅速に処理するために、EDCLを、ハッシュテーブルなどの効率的なデータ構造として編成して、EDCLエントリの存在をチェックし、かつIPアドレスに関連付けられたドメイン名のリストを返す、IPアドレスによってインデックス付けされる高速探索をサポートし得る。
(インライン)パケットフィルタリングデバイスが、eSNI暗号文を有するClientHelloメッセージを含む伝送中パケットを検査するとき、パケットフィルタリングデバイスは、L3パケットから宛先IPアドレスを抽出し、かつEDCL内の宛先IPアドレスを探索することによって、eSNI暗号文に対応する平文ドメイン名を判定し得る。宛先IPアドレスセキュリティがEDCL内に見つからない場合には、サイバーセキュリティアプリケーションロジックは、パケットに関連付けられたCTIベースの脅威がないため、パケットをパケットの宛先に向けて許可(例えば、転送)することを決定し得る。宛先IPアドレスがEDCL内に見つかる場合には、関連付けられたドメイン名は、eSNI暗号文に対応する平文ドメイン名であり得る。パケットをどのように処理するかを決定するために、サイバーセキュリティアプリケーションは、平文ドメイン名に対応するパケットマッチング基準を有するルールについて、複数の伝送中パケットフィルタリングルール(CTIデータベースから導出される)を含む1またはそれ以上のネットワークセキュリティポリシーを探索し得る。マッチルールは、パケット処置(例えば、許可/転送/パスまたはブロック/ドロップ/拒否)を示し得る。マッチルールはまた、ログ、捕捉、ミラー/リダイレクト、プロキシへの転送、偽装tcp-rstなどの、パケットのための追加の(ネットワーク保護)アクション、またはパケット変換機能(packet transformation function、PTF)を示し得る。
複数のドメイン名が、EDCL内の単一のIPアドレスに関連付けられ得る。例えば、ドメインホスティングサービスは、単一のIPアドレスに対して多くのドメインをホストすることが多い。これらの多くのドメインのうちのいくつかは、プライバシー保護データベース、法執行データベース、企業使用ポリシーデータベースなどのCTIデータベースまたは他のサイバーセキュリティ関連のデータベース内にあり得る。加えて、これらのドメインのうちのいくつかは、eSNIをサポートし得る。eSNI暗号文に対応する平文ドメイン名は、EDCL内の関連付けられたIPアドレスから明確に判定されない場合がある。サイバーセキュリティアプリケーションは、いくつかの異なるアクションの中から選択して、平文ドメイン名の曖昧さを解消し、かつ/またはさもなければ潜在的な脅威を軽減し得る。これらのアクションは、拡張されたEDCL情報、追加の効率的なデータ構造、TLSメッセージなどに基づき得る。例えば、サイバーセキュリティアプリケーションは、TCPコネクションを切断し、かつTLSハンドシェイクセッションを終了するTCP RSTをクライアントに送信し、TLSハンドシェイクセッションを終了するTLSメッセージ(例えば、「ハンドシェイク失敗」(コード40)アラートを有するTLSアラートプロトコルメッセージ)をクライアントに送信し、クライアントにeSNIをサポートしないTLSバージョン(例えば、TLS v.1.2)を使用させるTLSメッセージをクライアントに送信し、クライアントに暗号化されたSNIの代わりに平文SNIを送信させるTLSメッセージをクライアントに送信するなどを行い得る。
パケットフィルタリングデバイスを動作させるアプリケーションは、ClientHelloメッセージを含む伝送中パケットを検査し、eSNIが使用されていると判定し、パケットのL3宛先IPアドレスがEDCL内にあると判定し得る。eSNI暗号文は、CTIデータベースに含まれるものなど、関心の(平文)ドメイン名に対応し得る。アプリケーションが平文ドメイン名の曖昧性を解消し、かつ/または別様に脅威を軽減するためにとり得るいくつかのアクションがある。例えば、アプリケーションは、ClientHelloメッセージを含むパケットをドロップし、ClientHelloメッセージの意図されるホストを偽装するか、または(透過)プロキシとなり得る。
追加的もしくは代替的に、セキュリティアプリケーションは、ClientHelloメッセージを(透過的な)介在TLS中間者(Man-In-The-Middle、MITM)プロキシ機能に転送することができる。MITMプロキシ機能は、TLSによってセキュリティ保護されたアプリケーションセッションを復号化し、セッションを平文で調査し、セッションを再暗号化し、TLSによってセキュリティ保護されたセッションをこのセッションの宛先に転送し得る。MITMプロキシ機能は、eSNI暗号文を復号化することができない場合があるが、MITMプロキシ機能は、復号化されたアプリケーションセッションを検査(例えば、調査)し、セッションの内容からeSNI暗号文に対応する平文ドメイン名を抽出してもよい。例えば、HTTPSセッションは、クリアテキストHTTPセッションを公開するためにMITMプロキシ機能によって復号化されてもよい。この点に関して、GET、POST、PUTなどのHTTPメソッド要求は、ドメイン名を含み得る。セキュリティアプリケーションは、クリアテキストから平文ドメイン名を抽出し、パケットフィルタリングデバイスによって施行されている任意のポリシーを通じて平文ドメイン名をフィルタリングし得る。
別の実施例では、セキュリティアプリケーションは、eSNI値に対応する平文ドメイン名の曖昧性を解消するために使用され得るシステムDNS-QUERY-TRACKERを動作させるか、または別様にこれにアクセスし得る。DNS-QUERY-TRACKERシステムは、パケットフィルタリングデバイスを通過するTLSセッションも発信し得るエンタープライズホストから発信されたDNS照会を監視し得る。DNS-QUERY-TRACKERシステムは、eSNIをサポートするドメイン名に対する任意のDNS照会に関連付けられたデータのレコードを、例えば、テーブル(例えば、ハッシュテーブル)および/またはデータベースに記憶し得る。各レコードは、DNS照会を発信したホストのIPアドレス、ドメイン名、ドメイン名の解読されたIPアドレス、および/または照会時間を含み得る。DNS-QUERY-TRACKERシステムは、IPアドレスを入力として受け入れ、かつ入力されたIPアドレスに対応する1またはそれ以上のレコードを返す関数呼び出しを有するレコードを記憶するテーブルおよび/またはデータベースに対するインターフェースを提供し得る。いくつかの実施例では、DNS-QUERY-TRACKERは、HTTPS上のDNS照会(DNS Queries over HTTPS、DoH)(例えば、RFC8484)および/またはトランスポート層セキュリティ上のDNS(DNS over Transport Layer Security、DoT)(例えば、RFC7858)などの、暗号化されたDNSプロトコルの使用を考慮するように構成され得る。これらのプロトコルは、DNS照会要求および/または応答などの、DNS通信を暗号化し得る。すなわち、この構成は、DNS-QUERY-TRACKERシステムが、DoHおよびDoT通信の平文および/またはクリアテキストにアクセスし得るようなものであり得る。
ドメイン名に関連付けられたTLSによってセキュリティ保護されたセッション(例えば、HTTPS通信)を開始する前に、エンタープライズホストは、DNS照会を発行して、ドメイン名をIPアドレスに解読し、ドメインの公開鍵(例えば、eSNI公開鍵)を取得し(例えば、取り出し、獲得し)得る。上述したように、公開鍵を使用して、ClientHelloメッセージに含まれるドメイン名並びに他のデータおよび/または情報を暗号化し得る。公開鍵(例えば、eSNI公開鍵)がある場合、DNS-QUERY-TRACKERシステムは、公開鍵(例えば、eSNI公開鍵)のレコードをDNS-QUERY-TRACKERシステムのテーブルおよび/またはデータベースに挿入し得る。パケットフィルタリングデバイスは、eSNI暗号文を有するClientHelloメッセージを含むL3パケットを受信し得る。パケットフィルタリングデバイス上で実行されているセキュリティアプリケーションは、パケットから宛先IPアドレスを抽出し、宛先IPアドレスによってインデックス付けされた1またはそれ以上のレコードをDNS-QUERY-TRACKERに照会し得る。照会は、時間制限され得る。すなわち、レコードは、L3パケットを受信する所定の時間内に作成および/または更新されていてもよい。ClientHelloメッセージと時間相関があり、かつ/または発信ホストIPアドレスをL3パケットの送信元IPアドレスと照合するレコードは、eSNI暗号文に関連付けられた平文ドメイン名を含み得る。セキュリティアプリケーションは、パケットフィルタリングデバイスによって施行されている任意のポリシーを通じて平文ドメイン名をフィルタリングし得る。上述したDNS-QUERY-TRACKINGシステムおよび方法は、eSNI暗号文に対応する平文ドメイン名を推定するためのEDCLベースのシステムおよび方法とともに、またはこれらの代替として使用され得る。
いくつかの事例では、EDCLは、アプリケーションに関連し得るドメイン名のデータベースから生成され得る。例えば、データベースは、法執行(LE)が合法的傍受アプリケーションのための関連付けられた通信セッション(例えば、HTTPSセッション)の平文を傍受、復号化、および記憶する権限を有するドメイン名のコレクションであり得る。法執行は、ドメイン名に関連付けられていないセッションを傍受、復号化、および/または記憶する権限がない場合があることから、ドメイン名の合法的傍受データベースからEDCLを生成して、セッションが合法的傍受データベース内の平文ドメイン名に関連付けられ得るかどうかを判定し得る。セッションが合法的傍受データベース内のドメイン名に関連付けられている場合には、アプリケーションは、適切なアクションを取り(例えば、関連付けられた通信文の平文を傍受、復号化、および記憶し)得る。
プライバシー保護および保存(P3)アプリケーションでは、データベースは、プライバシーを保護および保存するために復号化および記憶されるべきではない暗号化された通信セッション(例えば、HTTPSセッション)に関連付けられたドメイン名のコレクションであり得る。TLSによってセキュリティ保護されたセッションがeSNIを使用する場合、ドメイン名のP3データベースからEDCLを生成して、セッションがP3データベース内の平文ドメイン名に関連付けられているかどうかを判定し得る。ドメイン名がP3データベース内のドメイン名に関連付けられている場合には、アプリケーションは、セッションが復号化および/または記憶されないことを確保するための適切なアクションをとり得る。
いくつかの実施例では、エンタープライズは、悪意のあるアクタによる盗取を軽減および/または防止するeSNI使用ポリシーを施行しようとし得る。eSNI使用ポリシー施行は、上述したEDCLベースのeSNIセキュリティ機能および/またはDNS-QUERY-TRACKERベースのセキュリティ機能とともに使用され得る。EDCLにアクセス可能であることに加えて、アプリケーションは、例えば、eSNIをサポートする関連付けられたドメインとともにDNSに登録されたドメイン名の1またはそれ以上の要素を含む、DNS-ESNIと名付けられたデータ構造にアクセス可能であり得る。例えば、パケットフィルタリングデバイスを動作させるアプリケーションは、CTIデータベース内にはないがDNS-ESNIデータ構造内にエントリを有するSNI値(例えば、(クリアテキスト)ドメイン名)を有するClientHelloメッセージを検出し得る。ドメイン名は、ドメイン名を暗号文として送信することができる場合でも、平文で送信されている。追加的もしくは代替的に、アプリケーションは、DNSに照会して、ドメイン名を解読し、ドメインがeSNIをサポートするかどうかを判定し得る。照会への応答に基づいて、アプリケーションは、ドメイン名が抽象または実際のDNS-ESNIデータ構造の要素またはメンバであるかどうかを判定し得る。アプリケーションが、ドメインがeSNIをサポートしていると判定した場合、アプリケーションは、ClientHelloメッセージ(クリアテキストドメイン名を有する)を含むパケットをドロップし、ClientHelloメッセージが送信されているホストに対して偽装/透過プロキシとなり、かつ/またはクライアントに平文SNIの代わりに暗号化されたSNIを使用させるTLSメッセージをクライアントに送信し得る。
いくつかの実施例では、エンタープライズは、TLSセッションのためのeSNIを実装するeSNI使用ポリシーを施行しようとし得る。すなわち、エンタープライズホストは、eSNIをサポートするドメインのみにアクセスし得る。パケットフィルタリングデバイスを動作させるアプリケーションは、例えば、SNI値(例えば、DNS-ESNIの要素ではない平文ドメイン名)を有するClientHelloメッセージを検出し、TLSハンドシェイクセッションを終了するTLSメッセージをクライアントに送信し、かつ/または関連付けられたTCPセッションを終了するTCP RSTメッセージをクライアントに送信することによって、そのようなポリシーを施行し得る。本明細書で説明されるフィルタリングルールおよび/または施行ポリシーは、例えば、2015年12月23日に出願された「Rule-Based Network-Threat Detection for Encrypted Communications」と題する米国特許出願第14/757,638号(現在は米国特許第9,917,856号)において本出願人によって開示された技法を使用して、ルールベースのネットワーク脅威検出を実行するシステムにおいて用途を見出すことができ、その全体が参照により本明細書に組み込まれる。
図1は、サイバーセキュリティアプリケーションのためのeSNIフィルタリングのシステム100を示す。システム100は、ネットワーク間アクセスおよび/または相互接続を提供する1またはそれ以上のネットワークリンク106によって接続され得るネットワークA102およびネットワークB104を含み得る。システム100はまた、1またはそれ以上のホストを含んでもよい。本明細書で使用される場合、「ホスト」(または「複数のホスト」)は、ネットワークに接続された任意のタイプのネットワークデバイスまたはノードまたはコンピューティングデバイスを指し、それらのネットワークインターフェースには、L3ネットワークアドレスが割り当てられる。1またはそれ以上のホストは、サーバ、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ、モバイルデバイス、スマートフォン、ルータ、ゲートウェイ、プロキシ、ファイアウォール、スイッチ、アクセスポイントなどの、コンピューティングデバイスおよび/またはネットワークデバイスであり得る。いくつかの実施例では、いくつかのコンピューティングデバイスは、PSG/ESNI G/W120などの、ネットワークアドレスのないネットワークインターフェースを有し得る。ネットワークアドレスを有していないコンピューティングデバイスは、ホストとみなされない場合がある。割り当てられたネットワークアドレスを有していないネットワークインターフェースは、ネットワークレベル(例えば、L3および/またはL2)に関して「透過的」であるとみなされ得る。
ネットワークA102は、1またはそれ以上の個人および/またはエンティティ(例えば、政府、企業、サービスプロバイダなど)に関連付けられた1またはそれ以上のネットワーク(例えば、ローカルエリアネットワーク(Local Area Network、LAN)、ワイドエリアネットワーク(Wide Area Network、WAN)、仮想プライベートネットワーク(Virtual Private Network、VPN)、ソフトウェア定義ネットワーク(Software-Defined Network、SDN)、またはそれらの組み合わせ)を備え得る。ネットワークB104は、ネットワークA102を1またはそれ以上の他のネットワーク(図示せず)とインターフェースおよび/または相互接続する1またはそれ以上のネットワーク(例えば、LAN、WAN、VPN、SDN、またはそれらの組み合わせ)を備え得る。例えば、ネットワークB104は、インターネット、若しくは同様のネットワーク、および/またはその部分を備え得る。
図1に示されるように、ネットワークA102は、ホスト110、112、および/または114と、パケットセキュリティゲートウェイ(packet security gateway、PSG)などの1またはそれ以上のパケットフィルタリングネットワークゲートウェイデバイスと、を備え得る。ホスト110、112、および/または114は、TLSクライアントおよび/またはTLSトンネル端末として機能するように構成され得る。PSGは、eSNIを使用し得るTLSによってセキュリティ保護された通信に関連付けられた伝送中パケットを処理するためのeSNI-ゲートウェイ(ESNI-G/W)120機能を含み得る。いくつかの実施形態では、eSNIゲートウェイネットワークデバイス(例えば、ESNI-G/W120またはこれらのeSNIゲートウェイネットワークデバイスの組み込みPSG)は、eSNIゲートウェイが機能する伝送中パケットを入力および/または出力するこれらのeSNIゲートウェイネットワークデバイスのネットワークインターフェースに割り当てられたL3ネットワークアドレスおよび/またはL2ネットワークアドレスを有していない場合がある。eSNIゲートウェイ(および組み込みPSG)は、L3透過であってもよい。
同様に、ネットワークB104は、ホスト130、131、および/または139を含むか、またはそれらへのネットワークアクセスを提供し得る。ホスト130、131、および/または139は、TLSサーバおよび/またはTLSトンネル端末として機能するように構成され得る。ホスト130、131、および/または139は、1またはそれ以上のドメインをホストすることができ、関連付けられたドメイン名をDNS(例えば、DNS160)に登録し得る。ホスト130、131、および/または139はまた、インターネットDNS上のドメインのeSNIサポートを関連付けてもよい(例えば、暗号化のためのeSNI公開鍵を含むドメインのリソースレコードを作成する)。ネットワークB104はまた、システム140、142、および/または144を含むか、またはそれらへのネットワークアクセスを提供し得る。システム140、142、および/または144は、様々なサービスを提供するように構成されたネットワーク化されたホストのコレクションであり得る。例えば、CTIP140は、ネットワーク脅威インジケータ(例えば、ドメイン名)を含むCTIレポートを加入者(SPMS150など)に提供する1またはそれ以上のCTIプロバイダ(CTIP)であり得る。同様に、法執行インテリジェンスプロバイダ(LEIP)142と保護および保存インテリジェンスプロバイダ(P3IP)144とは、ネットワークインジケータ(例えば、ドメイン名)を含むインテリジェンスレポートを加入者(セキュリティポリシー管理サーバ(Security Policy Management Server、SPMS)150など)に提供し得る。CTI、LE、およびP3アプリケーションに加えて、他のアプリケーションのインテリジェンスプロバイダ(図示せず)がまた、ドメイン名の形態のネットワークインジケータを含むインテリジェンスレポートを加入者に提供してもよい。
セキュリティポリシー管理サーバ(SPMS)150は、1またはそれ以上のパケットフィルタリングルールを含むポリシーを作成および配信するシステムであり得る。1またはそれ以上のパケットフィルタリングルールは、CTIP140によって供給されるCTIから、LEIP142によって供給されるLEIから、P3IP144によって供給されるP3Iからなどで、導出され得る。これらのポリシーは、ESNI-G/W120などの加入者に配信され得る。SPMS150はまた、データを作成し、かつeSNIゲートウェイ機能をサポートする加入eSNIゲートウェイ(例えば、ESNI-G/W120)に配信するシステムであってもよい。例えば、EDCL-SYS152は、CTI、LEI、P3Iなどに含まれるドメイン名インジケータから導出されたEDCLを作成し、かつ加入eSNIゲートウェイESNI-G/W120に配信する、SPMS150のモジュール、デバイス、システム、またはサブシステムを表し得る。別の実施例では、CTI-POLICY-SYS154は、CTIインジケータ(ドメイン名インジケータを含む)から導出された1またはそれ以上のパケットフィルタリングルールを含むポリシーを作成する、SPMS150のモジュール、デバイス、システム、またはサブシステムであり得る。さらに別の実施例では、DNS-ESNI-SYS156は、eSNIをサポートするドメインのDNS登録されたドメイン名を含むセットデータ構造(例えば、テーブル、データベースなど、および関連付けられた機能)を作成および配信する、SPMS150のモジュール、デバイス、システム、またはサブシステムを表し得る。例えば、法執行アプリケーションに関連付けられた法執行ポリシー作成システム(例えば、LEI-POLICY-SYS(図示せず))、P3アプリケーションに関連付けられたプライバシーポリシー作成システム(例えば、P3I-POLICY-SYS(図示せず))、および他のポリシー作成システムは、CTI-POLICY-SYS154と同様であるが、ドメイン名インジケータを含み得る、インテリジェンスのソースおよび/またはタイプが異なり得る。
ドメイン名サーバ(DNS)160は、インターネットドメイン名システム(DNS)を備える1またはそれ以上のコンピュータであり得る。DNS160は、ドメイン名をIPアドレスに解読するために様々なホストによって使用され得る。追加的もしくは代替的に、DNS160は、TLS ClientHelloメッセージに含まれるeSNI暗号文を作成する際に使用するための暗号鍵(例えば、公開暗号鍵)を取得する(例えば、取り出す、獲得する)ために使用されてもよい。
ESNI-G/W120は、第1のネットワーク(例えば、ネットワークA102)と第2のネットワーク(例えば、ネットワークB104)との間をインターフェースするネットワークバウンダリに、またはこのネットワークバウンダリの近くに位置し得る。例えば、ESNI-G/W120は、ネットワーク102、またはネットワーク102内に位置する1またはそれ以上のホストを、ネットワーク104、またはネットワーク102内に位置する1またはそれ以上のホストと接続(例えば、インターフェース)し得る。上述したように、ネットワークB104は、ホスト130、131、および/または139を含み得る。ホスト130、131、および/または139は、1またはそれ以上のネットワーク化されたアプリケーションサーバおよび/または関連付けられたドメインをホストし得る。1またはそれ以上のアプリケーションサーバおよび/または関連付けられたドメインは、TLSによってセキュリティ保護された通信をサポートするように構成され得る。ネットワークA102は、ホスト110、112、および/または114を含み得る。ホスト110、112、および/または114は、ネットワークアプリケーションクライアント(例えば、ウェブブラウザ)をホストすることができ、TLSによってセキュリティ保護された通信をサポートするように構成され得る。ESNI-G/W120は、ネットワークリンク106上にインラインで挿入されることができ、TLSによってセキュリティ保護された通信に関連付けられたドメイン名に関連付けられたポリシーを施行するために、伝送中パケットをフィルタリングし得る。いくつかの実施形態では、ESNI-G/W120は、ネットワークA102に関連付けられたホストとネットワークB104に関連付けられたホストとの間の全てのTCP/IPパケット通信に対してポリシーを施行するための、パケットセキュリティゲートウェイ(PSG)などのより一般的なパケットフィルタリングゲートウェイシステムのサブコンポーネントまたはサブ機能であり得る。PSGは、ネットワークA102などの保護されたネットワークと、ネットワークB104などの保護されたネットワークに接続された保護されていないネットワークと、の間のインターフェースであり得る。1またはそれ以上のPSGが、保護されたネットワークの1またはそれ以上のバウンダリに位置し、いずれか一方の方向に1またはそれ以上のバウンダリを横断する伝送中パケットをフィルタリング(例えば、パケットフィルタリングルールからなるポリシーを適用)し得る。図1に示されるように、PSGは、ESNI-G/W120を組み込み得る。PSGのESNI-G/W120機能は、eSNIを使用するTLSによってセキュリティ保護された通信に関連付けられた1またはそれ以上のパケットに適用され得る。
図示されていないが、追加のネットワークコンポーネントが図1に存在し得ることが理解されよう。これらのネットワークコンポーネントは、パケットヘッダ情報を改変し得るネットワークバウンダリに、またはこのネットワークバウンダリの近くに位置する、ネットワークファイアウォールおよび関連付けられたネットワークアドレス変換(network address translation、NAT)機能、プロキシなどの、デバイスを含み得る。パケットヘッダ情報を改変することは、本明細書で説明される方法、デバイス、システム、および/またはコンピュータ可読媒体に影響を及ぼし得る。以下でより詳細に説明されるように、CTIベースのアプリケーションに関連して説明されるシステム、コンポーネント、機能、データなどは、法執行(LE)アプリケーション、プライバシー保護および保存(P3)アプリケーションなどの、他のアプリケーションに適用され得る。これらのアプリケーション(例えば、LEアプリケーション、P3アプリケーションなど)は、CTIベースのネットワーク保護アプリケーションと置換され、かつ/または同時に動作され得る。本明細書で説明される方法、デバイス、システム、および/またはコンピュータ可読媒体は、伝送中のTLS ClientHelloメッセージ/パケットに含まれるeSNI暗号文と、アプリケーションおよび通信に関連付けられている平文/クリアテキストドメイン名と、の間の対応を判定し得る任意の好適なシステムに実装され得る。eSNI暗号文と平文ドメイン名との間の対応の判定に基づいて、システムは、パケットフィルタリングルールに従ってパケットを処理し得る。
図2は、ネットワークA102とネットワークB104との間の通信に対してポリシーを施行するためのESNI-G/W120の一実施例を示す。通信は、暗号化されたホスト名(例えば、eSNI暗号文に含まれ得る暗号化されたSNI値)を有するTLSによってセキュリティ保護された通信であり得る。ESNI-G/W120は、ESNI-G/W120、ネットワークインターフェースNTWK-I/F127、管理インターフェースMGMT-I/F129を構成し、および動作させるためのロジックを実行し得る、プロセッサおよびメインメモリ(CPU-w/MEM)121を備え得る。CPU-w/MEM121は、1またはそれ以上の通信ポリシー施行アプリケーションに従ってESNI-G/W120を構成し、および動作させるためのロジックを実行し得る。これらのアプリケーションは、同時かつ協働的/協調的に実行され得る。追加的もしくは代替的に、プロセッサおよびメインメモリ(CPU-w/MEM)121は、ESNI-G/W120およびESNI-G/W120の関連付けられたアプリケーションの動作をサポートし得る、PKT-FILTER122、EDCL-SVC123、DNS-ESNI-SVC124、DNS-QUERY-TRACKER125、および/またはTLS-MITM-PROXY126などのシステムおよびサービスのコレクションを構成し、および動作させるためのロジックを実行し得る。これらのコンポーネントは、BUS128を使用して通信し得る。BUS128を使用して、ESNI-G/W120のコンポーネント間で、パケットを含むデータを転送し得る。BUS128は、ESNI-G/W120のコンポーネント間にデータ通信チャネルを提供し得る。いくつかの実施例では、BUS128は、プロセッサロジック(例えば、プロセッサおよびメインメモリ(CPU-w/MEM)121)をオンチップキャッシュメモリと接続するオンチップシリコンバスであり得、これにより、高速かつコンパクトな処理が提供される。追加的もしくは代替的に、BUS128は、ネットワークA102またはネットワークB104などのネットワーク接続(例えば、TCP/IPネットワーク)であってもよい。更なる実施例では、BUS128として、プリント回路基板(printed circuit board、PCB)上の統合/埋め込みデータバス、コンピュータおよび/または周辺機器を接続するパラレルデータケーブル、ネットワークスイッチおよびルータのポートおよび/またはインターフェースを接続するシリアル光ケーブル、L2/L3スイッチされるネットワーク、L3ルーティングされるネットワークなど、並びにそれらの任意の組み合わせが挙げられ得る。BUS128は、シリコン、有線、無線、物理、論理、仮想、ソフトウェア定義などであり得る。
ESNI-G/W120は、ネットワークインターフェースポートNTWK-I/F127を介してネットワークA102とネットワークB104とを相互接続し得るネットワークリンク106とインラインで位置し得る。いくつかの実施形態では、ネットワークインターフェースポートNTWK-I/F127は、L3および/またはL2において透過的であり得る。すなわち、ネットワークインターフェースポートNTWK-I/F127は、これらのネットワークインターフェースポートに割り当てられたIPアドレスおよび/またはMACアドレスを有していない場合がある。これらの実施例によれば、伝送中のL2/L3パケットは、L2/L3パケットヘッダを修正することなくESNI-G/W120を通過し得る。ESNI-G/W120の伝送中パケット処理ロジックは、例えば、遅延に起因する内部バッファオーバーフローに起因してパケットをドロップすることなく、リンク106のピークパケット伝送レートでのパケットフィルタリングを可能にする、時間効率的かつメモリ効率的なパケット処理を提供し得る。いくつかの実施例では、管理インターフェースMGMT-I/F129は、L3/IPアドレスを割り当てられ得る。管理インターフェースMGMT-I/F129は、ESNI-G/W120が、SPMS150および/またはDNS160などのサービスを提供するホストと通信することを可能にし得る。
PKT-FILTER122システムは、1またはそれ以上のパケットフィルタリングルールを含むポリシーを、ESNI-G/W120を横断する伝送中パケットに適用し得る。ポリシーは、SPMS150などのサーバおよび/またはサービスによって供給され得る。ポリシーのパケットフィルタリングルールは、様々なタイプのインテリジェンスレポート、例えば、CTIレポート、LEIレポート、P3Iレポートなどに含まれるインジケータから導出され得る。PKT-FILTER122は、CTIベースのネットワーク保護、合法的傍受、プライバシー保護および保存などの、1またはそれ以上の異なるサイバーセキュリティアプリケーションを同時にサポートするように構成され得る。
EDCL-SVC123サービスは、1またはそれ以上のEDCLに関連付けられた情報についての照会を管理し得る。EDCLは、EDCL-SYS152によって(MGMT-I/F129を介して)提供され得る。EDCL-SYS152は、SPMS150の一部であり得る。EDCL-SVC123は、ESNI-G/W120からの照会にサービスし得る。EDCL-SVC123は、ESNI-G/W120上で実行されている1またはそれ以上のアプリケーションから1またはそれ以上の照会要求を受信し得る。1またはそれ以上の照会要求は、BUS128を介して受信され得る。照会要求は、IPアドレスを含み得る。EDCL-SVC123は、照会応答をアプリケーションに伝送し得る。照会応答は、EDCL-SVC123によって管理される1またはそれ以上のEDCLに記憶されたIPアドレスに関連付けられたESNI関連情報を含み得る。
DNS-ESNI-SVC124サービスは、インターネットDNS160に登録され得るドメイン名に関連付けられたeSNIサポート情報についての照会を管理し得る。EDCL-SVC123は、ESNI-G/W120上で実行されている1またはそれ以上のアプリケーションから1またはそれ以上の照会要求を受信し得る。照会要求は、BUS128を介して受信され得る。照会要求は、ドメイン名を含み得る。EDCL-SVC123は、照会応答を1またはそれ以上のアプリケーションに伝送し得る。照会応答は、ドメイン名に関連付けられたドメインがeSNIをサポートするかどうかを示す情報を含み得る。DNS-ESNI-SVC124は、ドメイン名がDNS-ESNI-SVCによって管理されるDNS-ESNIセットのメンバであるかどうかを判定することによって、ドメイン名がeSNIをサポートするかどうかを判定し得る。DNS-ESNIセットは、例えば、MGMT-I/F129を介してDNS-ESNI-SYS156によって提供され得る。DNS-ESNI-SYS156は、SPMS150のコンポーネントであり得る。追加的もしくは代替的に、DNS-ESNI-SVC124は、DNS160に照会してドメイン名がeSNIサポートのための任意のリソースレコードに関連付けられているかどうかを判定することによって、ドメイン名がeSNIをサポートするかどうかを判定し得る。
DNS-QUERY-TRACKER125システムは、ネットワークA102に接続されたホストによって発行された場合があるDNS照会に関連付けられた情報を管理し得る。追加的もしくは代替的に、DNS-QUERY-TRACKER125システムは、ネットワークA102に接続されたホストによって発行された場合があるDNS照会に関連付けられた情報についての照会にサービスし得る。DNS-QUERY-TRACKER125は、ドメイン名をIPアドレスに解読するためのDNS照会要求および応答を観測し得る。各DNS照会に対して、DNS-QUERY-TRACKER125は、効率的なデータ構造(テーブル(例えば、ハッシュテーブル)またはデータベースなど)に、照会に対するレコードを記憶し得る。レコードは、(1)DNS照会を発信したホストのIPアドレス、(2)ドメイン名、(3)ドメイン名の解読されたIPアドレス、(4)照会時間、並びに/または(5)システムおよび/若しくはサービスを管理および/若しくは改善するための追加の情報を含み得る。例えば、追加の情報は、ドメイン名に関連付けられたeSNIサポート情報を含み得る。DNS-QUERY-TRACKER125は、eSNI暗号文に対応し得る平文ドメイン名の曖昧さを解消することを援助し得る。例えば、eSNIゲートウェイアプリケーションは、eSNI暗号文を含むClientHelloメッセージを含む伝送中パケットを処理し得る。アプリケーションは、EDCL-SVC123に照会し、複数のドメイン名がeSNI暗号文に対応し得ると判定し得る。複数のドメイン名のうちのどれがeSNI暗号文に対応し得るかの曖昧さを解消するために、アプリケーションは、パケットのL3送信元IPアドレスおよび/またはL3宛先IPアドレスに対応するレコードをDNS-QUERY-TRACKER125に照会し得る。照会にサービスするために、DNS-QUERY-TRACKER125は、パケットの送信元IPアドレスがレコードの発信ホストIPアドレスとマッチし、かつ/またはパケットの宛先IPアドレスがレコードの解読されたIPアドレスとマッチする、のいずれかである1またはそれ以上のレコードについて、DNS-QUERY-TRACKER125のデータ構造(例えば、テーブルおよび/またはデータベース)を探索し得る。任意のそのようなレコードが、アプリケーションに送信される照会応答に含まれ得る。次いで、アプリケーションは、最新のレコードからeSNI暗号文に対応する平文ドメイン名を判定し得る。判定された平文ドメイン名に基づいて、アプリケーションは、パケットおよびドメイン名をフィルタリングおよび処理のためにPKT-FILTER122に送信し得る。
TLS-MITM-PROXY126(透過)プロキシシステムをeSNIゲートウェイアプリケーションによって使用して、パケットおよび/または関連付けられた通信のより深い検査を実行し得る。例えば、TLS-MITM-PROXY126は、TLSによってセキュリティ保護された通信を復号化し、TLSによってセキュリティ保護された通信の平文を調査し、TLSによってセキュリティ保護された通信を再暗号化し得る。アプリケーションは、この中間者手法を使用して、TLSによってセキュリティ保護された通信に関連付けられたeSNI暗号文に対応する平文ドメイン名を判定し得る。例えば、アプリケーションは、暗号化されたホスト名(例えば、eSNI暗号文を含むClientHelloメッセージ)を含む伝送中パケットを受信し得る。アプリケーションに関連付けられた平文ドメイン名と、eSNI暗号文と、の間に対応があるかどうかを判定するために、アプリケーションは、EDCL-SVC123および/またはDNS-QUERY-TRACKER125を呼び出し得る。ただし、EDCL-SVC123および/またはDNS-QUERY-TRACKER125は、暗号化されたホスト名(例えば、ドメイン名)に対応する平文ドメイン名を判定しない場合がある。いくつかの実施例では、EDCL-SVC123および/またはDNS-QUERY-TRACKER125は、ある程度の確実性内で平文ドメイン名を判定することができない場合がある。次いで、アプリケーションは、TLSによってセキュリティ保護された通信をTLS-MITM-PROXY126に転送し得る。TLS-MITM-PROXY126は、eSNI暗号文に対応する平文ドメイン名を取得(例えば、判定)するために、TLSによってセキュリティ保護された通信を復号化し得る。以下でより詳細に説明するように、LEアプリケーションおよびP3アプリケーションなどの1またはそれ以上のESNI-G/Wアプリケーションは、TLS-MITM-PROXY126を使用して、TLSによってセキュリティ保護された通信セッションの平文を獲得し得る。
図3は、eSNIドメイン名対応リスト(EDCL)300の代表的な実施例を示す。EDCLデータ構造は、二次元テーブルとして表され得る。EDCL300をeSNIゲートウェイ(例えば、ESNI-G/W120)によって使用して、暗号化されたホスト名(例えば、eSNI暗号文)が、CTIベースのネットワーク保護、法執行(LE)、プライバシー保護および保存(P3)などの、サイバーセキュリティアプリケーションに関連付けられたドメイン名のデータベース内の平文ドメイン名に対応するかどうかを判定し得る。暗号化されたホスト名(例えば、暗号化されたドメイン名)がデータベース内の1またはそれ以上の平文ドメイン名に対応するかどうかの判定は、eSNIゲートウェイ(例えば、ESNI-G/W120)が、暗号化されたドメイン名(例えば、eSNI暗号文を有するClientHelloメッセージ)を含む伝送中パケットをどのように処理するかについての要因であり得る。本明細書で考察されるように、EDCL300は、CTIベースのネットワーク保護に関連付けられた1またはそれ以上のサイバーセキュリティアプリケーション、並びに法執行(LE)アプリケーションおよび/またはプライバシー保護および保存(P3)アプリケーションのような1またはそれ以上のアプリケーションとともに使用され得る。
EDCL300は、複数の列を含み得る。「IP-アドレス」と標記された第1の列301は、テーブルの各行および/またはエントリにインデックス付けする1またはそれ以上の一意のIPアドレスを含み得る。第1の列301内の各IPアドレスは、eSNIをサポートするドメインに関連付けられているCTIデータベース内の1またはそれ以上のドメイン名に対するDNSレコード(例えば、インターネットDNS A(IPv4)またはAAAA(IPv6))に対応し得る。「CTI-ESNI-ドメイン」と標記された第2の列302は、eSNIをサポートするCTIデータベース内のドメイン名を含み得る。第2の列302内の要素は、第1の列301内の対応するIPアドレスにおいてホストされるドメインの名称である。例えば、EDCL300の(311,302)要素位置内のドメイン{pgorlzex.cn,x-advice.onln,bmb27.com}は、(311,301)要素位置によって示されるように、IPアドレス40.07.25.13においてホストされ得る。例えば、ESNI-G/W120が暗号化されたホスト名(例えば、ClientHelloメッセージ内のeSNI暗号文)を検出し、かつ関連付けられたパケットのL3宛先IPアドレスが40.07.25.13である場合、EDCL300は、平文ドメイン名{pgorlzex.cn,x-advice.onln,bmb27.com}のうちの1つが暗号化されたホスト名(例えば、eSNI暗号文)に対応し得ることを示し得る。eSNI暗号文に対応し得るドメイン名を有する同じIPアドレス40.07.25.13においてホストされる追加のドメインがあり得る。ただし、それらのドメイン名は、CTIデータベース内にないか、またはeSNIをサポートしないかのいずれかであるため、要素(311,302)にリストされない場合がある。
EDCL300内の残りの列は例示的あり、暗号化されたホスト名(例えば、eSNI暗号文を有するClientHelloメッセージ)を含むパケットをどのように処理するかについての意思決定支援のためにESNI-G/W120によって使用され得る。「#CTI-ESNI-ドメイン」と標記された第3の列303は、第2の列302内のドメイン名「CTI-ESNI-ドメイン」のカウントを含み得る。例えば、要素(311,302)において表される3つのドメイン名は、要素(311,303)を3と定義し得る。「#CTI-ドメイン」と標記された第4の列304は、第1の列301内の対応するIPアドレスにおいてホストされるCTIデータベース内のドメイン名のカウントを含み得る。例えば、要素(313,304)は、15であることができ、これは、CTIデータベース内の15個のドメイン名がIPアドレス6203:7400:3340:8618:46ef(例えば、要素(313,301))においてホストされることを意味する。15個のドメイン名がIPアドレス6203:7400:3340:8618:46efにおいてホストされ得るが、CTIデータベースには、eSNIをサポートしないIPアドレス6203:7400:3340:8618:46efにおいてホストされる6つのドメインがある。このことを、要素(313、303)において示すことができ、これは、所与のIPアドレスにおけるeSNIをサポートするドメイン名の数を示し得る。「#リバース-IP-ルックアップ-ドメイン」と標記された第5の列305は、リバースIPルックアップサービスに従ってIPアドレスによってホストされる全てのドメインのカウントを含み得る。いくつかの実施形態では、ESNI-G/W120が意思決定支援のために使用し得る追加の列がEDCL300内にあり得る。
行314に例示される実施例によって示されるように、ESNI-G/W120は、暗号化されたホスト名を有する通信(例えば、eSNI暗号文を有するClientHelloメッセージ)を受信し得る。ESNI-G/W120は、ネットワークアドレス(例えば、送信元IPアドレス、宛先IPアドレスなど)を使用して、受信されたeSNI暗号文に対応する平文ドメイン名を高い確度で判定し得る。示されるように、ESNI-G/W120は、受信されたeSNI暗号文に関連付けられた平文ドメインがtoplipts.comであると判定し得る。この点に関して、ESNI-G/W120は、IPアドレス22.74.02.18を使用してEDCL300に照会して、eSNI暗号文に対応する平文ドメイン名を判定し得る。ESNI-G/W120ロジックは、#CTI-ESNI-ドメイン(314,303)=1、かつ#CTI-ドメイン(314,304)=1、かつ#リバース-IP-ルックアップ-ドメイン(314,305)=1であることから、(314、302)=toplipts.comであり、受信された暗号化されたホスト名(例えば、eSNI暗号文)は、toplipts.comに対応すると決定し得る。
別の実施例では、ESNI-G/W120は、暗号化されたホスト名を有する通信(例えば、eSNI暗号文を有するClientHelloメッセージ)を受信し得る。ESNI-G/W120は、ネットワークアドレス(例えば、送信元IPアドレス、宛先IPアドレスなど)を使用して、暗号化されたホスト名に対応する平文ドメイン名を判定するために追加の方法が必要であり得ると判定し得る。行312によって例示される実施例に示されるように、ESNI-G/W120は、IPアドレス14.99.65.22を使用してEDCL300に照会して、暗号化されたホスト名(例えば、eSNI暗号文)に対応する1またはそれ以上の平文ドメイン名を判定し得る。ESNI-G/W120ロジックは、#CTI-ESNI-ドメイン(312,303)=5、かつ#CTI-ドメイン(312,304)=5、かつ#リバース-IP-ルックアップ-ドメイン(312,305)=20であることから、ESNI-G/W120は、IPアドレス14.99.65.22においてホストされるドメインがeSNIをサポートすると判定し得る。追加的に、ESNI-G/W120は、eSNI暗号文に対応する平文ドメイン名がCTIデータベース内にない可能性が高いと判定し得る。この点に関して、ESNI-G/W120は、暗号化されたホスト名(例えば、eSNI暗号文)に対応する平文ドメイン名を判定するための追加の方法を使用することを決定し得る。
行310に例示される実施例によって示されるように、ESNI-G/W120は、暗号化されたホスト名を有する通信(例えば、eSNI暗号文を有するClientHelloメッセージ)を受信し得る。ESNI-G/W120は、ネットワークアドレス(例えば、送信元IPアドレス、宛先IPアドレスなど)を使用して、通信が悪意のあるものであり得ると判定し得る。ESNI-G/W120は、IPアドレス102.2.18.81を使用してEDCL300に照会して、暗号化されたホスト名(例えば、eSNI暗号文)に関連付けられた1またはそれ以上の平文ドメイン名を判定し得る。ESNI-G/W120ロジックは、#CTI-ESNI-ドメイン(310,303)=8、かつ#CTI-ドメイン(310,304)=8、かつ#リバース-IP-ルックアップ-ドメイン(310,305)=0であることから、ESNI-G/W120は、インターネットの存在を混乱させるために対策およびアクションを取った悪意のあるアクタにIPアドレスが割り当てられたと判定し得る。この判定に基づいて、ESNI-G/W120は、通信が悪意のある可能性が最も高いと判定し得る。
行311に例示される実施例によって示されるように、ESNI-G/W120は、暗号化されたホスト名を有する通信(例えば、eSNI暗号文を有するClientHelloメッセージ)を受信し得る。ESNI-G/W120は、ネットワークアドレス(例えば、送信元IPアドレス、宛先IPアドレスなど)を使用して、通信が悪意のあるものであり得ると判定し得る。ESNI-G/W120は、IPアドレス40.07.25.13を使用してEDCL300に照会して、暗号化されたホスト名(例えば、eSNI暗号文)に関連付けられた1またはそれ以上の平文ドメイン名を判定し得る。ESNI-G/W120ロジックは、#CTI-ESNI-ドメイン(311,303)=3、かつ#CTI-ドメイン(311,304)=3、#リバース-IP-ルックアップ-ドメイン(311,305)=3であることから、ESNI-G/W120は、この通信が、IPアドレスのクライアントを積極的に検閲または監視しないコンテンツ配信および/またはアドウェアサービスオペレータに割り当てられたIPアドレスに通信が向けられていると判定し得る。ESNI-G/W120は、通信が悪意のある可能性が最も高いと判定し得る。
図4Aおよび図4Bは、EDCLを作成、配信、および維持するシステム(例えば、EDCL-SYS152)のプロセス400の一実施例を示す。いくつかの実施形態では、システム(例えば、EDCL-SYS152)は、CTIデータベースおよび/または他のインテリジェンスデータベースから導出されるパケットフィルタリングルールのポリシーを作成、配信、および維持する、SPMS150と統合され得るか、またはSPMS150のサブシステムを備え得る。CTIデータベースは、ドメイン名の形態の複数の脅威インジケータを含む複数の脅威インジケータを含み得る。追加的に、CTIデータベースは、例えば、新しい脅威インテリジェンスレポートおよび/または関連付けられたネットワーク脅威インジケータを生成するサイバー脅威インテリジェンスプロバイダ(例えば、CTIP140)によって、継続的に更新されてもよい。CTIによって導出されたポリシーおよびEDCLは、個々のeSNIゲートウェイによって作成および/または管理され得る。追加的もしくは代替的に、EDCLおよび/またはCTIによって導出されたセキュリティポリシーは、CTIPなどの集中型サーバによって作成および/または管理されてもよい。
ステップ405において、システム(例えば、EDCL-SYS152)は、SPMS150の現在のCTIインジケータデータベース(例えば、CTI-INDICATOR-DB)にアクセスし、現在のCTIインジケータデータベース(例えば、CTI-INDICATOR-DB)から完全修飾ドメイン名(FQDN)を抽出し、かつFQDNをデータベース(例えば、CTI-FQDN-DB)に挿入することによって、データベース(例えば、CTI-FQDN-DB)を作成する。ステップ410において、システムは、EDCLを初期化することができ、EDCLは、作成時間、SPMS識別情報、CTI-INDICATOR-DBおよびCTI-FQDN-DB識別可能情報などを含むメタデータに関連付けられ得る。EDCLが初期化されると、システムは、EDCLをポピュレートするために、CTI-FQDN-DB内の各FQDNを通るループプロセスまたは反復プロセスを開始し得る。
ステップ415において、システムは、DNS(例えば、インターネットDNS160)に照会して、現在のFQDNがeSNIに関連付けられたリソースレコード(resource record、RR)を有するかどうかを判定し得る。ステップ420において、システムは、リソースレコードが、関連付けられたドメインがeSNIをサポートするかどうかを示すかどうかを判定し得る。リソースレコードが、関連付けられたドメインがeSNIをサポートしないことを示す場合には、プロセス400は、ステップ415に戻って、CTI-FQDN-DB内の次のエントリについてDNSに照会する。ただし、リソースレコードが、関連付けられたドメインがeSNIをサポートすることを示す場合には、プロセス400は、ステップ425に進み、その間に、システムは、FQDNのドメインレコード(例えば、resp.AおよびAAAAレコード)についてDNSに照会し得る。システムは、応答を受信し得る。応答は、FQDNに関連付けられたIPv4 IPアドレスおよび/またはIPv6 IPアドレスを含み得る。いくつかの実施例では、FQDNについてA(IPv4)レコードおよびAAAA(IPv6)レコードの両方が存在する場合には、ドメイン名がIPv4 IPアドレスおよびIPv6 IPアドレスの両方を有する場合、ステップ425が繰り返され得る。
ステップ430において、システムは、IPアドレスがEDCL内に存在するかどうかを判定し得る。例えば、システムは、IPアドレスによってインデックス付けされたレコード/行/エントリを探索し得る。エントリが存在しない場合、システムは、ステップ435においてEDCL内に新しいレコードを作成する。エントリは、IPアドレスによってインデックス付けされ得る。
IPアドレスに対する新しいエントリを作成した後、またはエントリがすでに存在することを発見した後、システムは、ステップ440において、CTI-ESNI-ドメイン302フィールド内のFQDNのリストにFQDNを付加し得る。ステップ445において、システムは、#CTI-ESNI-ドメイン303フィールドをインクリメントして、エントリに関連付けられた新しいIPアドレスを示し得る。ステップ450において、システムは、CTI-FQDN-DB内に処理すべきFQDNがさらにあるかどうかを判定し得る。処理すべきFQDNがさらにある場合、プロセス400は、ステップ415に戻って、CTI-FQDN-DB内の次のFQDNを用いてプロセスを繰り返す。更なるFQDNが存在しない場合、プロセス400は、ステップ455に進む。
ステップ455において、システムは、EDCL内の追加のフィールドおよび/または列をポピュレートし得る。追加のフィールドおよび/または列は、IPアドレス301、CTI-ESNI-ドメイン302、および#CTI-ESNI-ドメイン303に追加され得る。図3に関して上記で考察した一実施例を続けると、行313は、要素(313、301)内のIPアドレス6203:7400:3340:8618:46efによってインデックス付けされ得る。行313は、CTIデータベース内にあり、かつeSNIをサポートするドメインに関連付けられている、9つのドメイン名(要素(313,303)の値)を有し得る。要素(313,305)=15は、いくつかのリバース-IP-ルックアップサービスに従って、IPアドレス6203:7400:3340:8618:46efにおいてホストされるドメインの数である。ステップ460において、システム(例えば、SPMS150)は、EDCLを1またはそれ以上のESNI-G/W(例えば、ESNI-G/W120)に配信し得る。いくつかの実施例では、ESNI-G/Wは、EDCLを受信するためのサブスクリプションを有し得る。プロセス400は、EDCLを変更し、修正し、改変し、または別様に更新するように繰り返され得る。
プロセス400は、上述したものとは異なる順序および/または異なる組み合わせで実行されてもよい。CTI、eSNIサポート、および/またはドメイン名のIPアドレスへのマッピングの動態は、遅延および/または同期の問題を最小限に抑えるために、プロセス400が頻繁に、またはさらには継続的に実行され得ることを示唆する。この点に関して、プロセス400は、継続的な動的更新モデルを使用し得る。追加的もしくは代替的に、プロセス400は、バッチ処理を使用して、EDCLを更新してもよい。プロセス400は、CTIベースのネットワーク保護のためのサイバーセキュリティアプリケーションに関して説明されたが、合法的傍受並びにプライバシー保護および保存アプリケーションなどの、他のアプリケーションが、プロセス400を使用してEDCLまたはその均等物を更新し得ることが理解されよう。
図5は、CTIデータベースから導出された1またはそれ以上のパケットフィルタリングルールを含むポリシーを作成、配信、および維持するシステム(例えば、CTI-POLICY-SYS154)のプロセス500の一実施例を示す。CTIベースのポリシーは、ネットワークバウンダリに位置し、いずれか一方の方向にバウンダリを横切る1またはそれ以上のパケットにポリシーを適用するパケットセキュリティゲートウェイ(PSG)に配信され得る。PSGが、CTI-POLICY-SYS156によって作成されるポリシーなどのCTIによって導出されたポリシーを用いて構成される場合には、PSGは、脅威インテリジェンスゲートウェイ(threat intelligence gateway、TIG)として識別され得る。ESNI-G/W120は、TLSによってセキュリティ保護された通信、またはeSNIを使用するTLSによってセキュリティ保護された通信に関連付けられたパケットのみをフィルタリングするタスクを課されたTIGのサブシステム、サブコンポーネント、またはサブ機能であり得る。eSNI暗号文に対応する平文ドメイン名に対してパケットをフィルタリングするためにESNI-G/W120によって使用され得るPKT-FILTER122を、TIGまたはPSGによって使用して、1またはそれ以上の、CTIによって導出されたインジケータ(例えば、IPアドレス、5つのタプル、ドメイン名、URIなど)に基づいてパケットをフィルタリングし得る。CTI-POLICY-SYS154によって作成されたポリシーは、ESNI-G/W120、並びにTIGおよび/またはPSGなどのESNI-G/W120を統合するシステムによって、直接、共通、かつ同時に使用され得る。いくつかの実施例では、システム(例えば、CTI-POLICY-SYS154)は、CTIデータベースから導出されたポリシーを作成、配信、および/または維持するSPMS150と統合され得るか、またはSPMS150のサブシステムを備え得る。
ステップ510において、システムは、SPMS150の現在のCTIインジケータデータベースCTI-INDICATOR-DBにアクセスすることによって、CTI-POLICY作成プロセスを開始し得る。システムは、他のアプリケーション(例えば、法執行、プライバシー保護および保存など)および他のアプリケーションに関連付けられたデータベースに適合されてもよいことが理解されるであろう。CTI-POLICYが初期化されると、システムは、CTI-INDICATOR-DB内の各インジケータを通してループプロセスまたは反復プロセスを開始して、CTI-POLICYを作成し得る。
ステップ520において、システムは、現在のインジケータをマッチング基準として有するパケットフィルタリングルールを作成し得る。ステップ530において、システムは、ルールをCTI-POLICYに挿入し得る。OpenBSD PFシンタックスなどの典型的なパケットフィルタリングルールシンタックスの観点で、ルールは、少なくとも1つのアクションおよび少なくとも1つのパケットマッチング基準を指定し得る。アクションまたは処置は、パケット(例えば、伝送中のL2/L3パケット)をこのパケットの意図される宛先に許可すること(例えば、渡すこと、転送することなど)を含み得る。代替的に、アクションは、パケット(例えば、伝送中のL2/L3パケット)がこのパケットの意図される宛先に到達することをブロックすること(例えば、拒否すること、ドロップすることなど)を含み得る。パケットマッチング基準は、CTIインジケータ(例えば、IPアドレス、5つのタプル、ホスト名/FQDN、URIなど)に対応するL3、L4、および/またはアプリケーションレイヤパケットフィールド値を含み得る。ターゲットパケットフィルタリングデバイス(例えば、PSG、TIG、およびESNI-G/W)の能力および目的(例えば、ネットワークセキュリティ)に応じて、追加のルールコンポーネントが指定され得る。これらのルールコンポーネントは、パケット変換機能(PTF)およびメタデータなどを含み得る。PTFは、ロギング、捕捉、ミラーリング、リダイレクト、トンネリングなどを含み得る。追加的もしくは代替的に、PTFは、プロキシ機能を含んでもよい。例えば、PTF「tcp-rst」は、送信元ホストにTCPコネクションをドロップさせるTCP RSTパケットを作成し、送信元ホストに転送することによって、TCPパケットの宛先ホストを透過的に偽装し得る。メタデータを使用して、パケットフィルタリングデバイスおよび/またはゲートウェイのアプリケーションロジックに、パケットの内容から直接導出することができない、パケットに関連付けられたプロパティを通知し得る。メタデータは、例えば、インジケータの関連付けられたCTIレポートから導出された情報、インジケータを供給したCTIプロバイダ、インジケータに関連付けられた攻撃のタイプ、属性などを含み得る。
ステップ540において、システムは、CTI-INDICATOR-DB内にインジケータがさらにあるかどうかを判定し得る。CTI-INDICATOR-DB内にインジケータがさらにある場合、プロセスは、ステップ520に戻って、CTI-INDICATOR-DB内の追加のインジケータを処理する。CTI-INDICATOR-DB内に追加のインジケータがない場合、プロセス500は、ステップ550に進み、システムは、CTI-POLICY内のルールを編成し得る。追加的もしくは代替的に、システムは、制約を満たすために、および/またはCTI-POLICYを伝送中パケットに適用するパケットフィルタリングアプリケーション(PSG/TIG/ESNI-G/Wによって実行される)のパフォーマンスを改善するために、CTI-POLICY内のルールを符号化してもよい。例えば、重複するルールが除去されてもよく、ルールがマージされてもよく、かつ/または順序依存性が識別されてもよい。追加的に、ルールは、パケットフィルタリングアプリケーションによる高速探索をサポートするように、再順序付け並びに/またはグループ化および順序付けされてもよい。ステップ550は、ターゲットパケットフィルタリングデバイス/ゲートウェイによって実行され得る。いくつかの実施例では、ステップ550とステップ530とが組み合わされ得る。ステップ560において、システム(例えば、SPMS150)は、CTI-POLICYを1またはそれ以上の加入ESNI-G/W120に配信し得る。プロセス500は、CTI-POLICYを変更し、修正し、改変し、または別様に更新するように繰り返され得る。
プロセス500は、上述したものとは異なる順序および/または異なる組み合わせで実行されてもよい。CTIの動態は、遅延および/または同期の問題を最小限に抑えるために、プロセス500が頻繁に、または継続的に実行されることを示唆する。この点に関して、プロセス500は、継続的な動的更新モデルを使用し得る。追加的もしくは代替的に、プロセス500は、バッチ処理を使用して、CTI-POLICYを更新してもよい。プロセス500は、CTIベースのネットワーク保護のためのサイバーセキュリティアプリケーションの観点で説明されたが、合法的傍受並びにプライバシー保護および保存アプリケーションなどの、他のアプリケーションが、プロセス500を使用して、CTI-POLICYまたはその均等物を更新し得ることが理解されよう。
図6は、DNS-ESNIセットデータ構造を作成、配信、および維持するシステム(例えば、DNS-ESNI-SYS156)のプロセス600の一実施例を示す。いくつかの実施例では、DNS-ESNI-SYS156システムは、CTIデータベースから導出されたパケットフィルタリングルールのポリシーを作成、配信、および維持するSPMS150と統合され得るか、またはSPMS150のサブシステムを備え得る。DNS-ESNIセットデータ構造は、eSNIをサポートするDNS登録されたドメイン名のためのエントリを含み得る。DNS-ESNIデータ構造は、インターネットDNSに登録されたドメイン名が、eSNIをサポートするドメインに関連付けられているかどうかを判定し得る。DNS-ESNIセットは、インターネットDNS内の登録されたドメイン名を含む動的データベースから、および登録されたドメイン名に関するeSNIサポートステータスについてDNSに照会することから導出される動的eSNIサポート情報から導出され得る。ESNI-G/Wは、DNS-ESNIを作成および/または維持し得る。追加的もしくは代替的に、例えば、SPMS(例えば、SPMS150)を介した集中型手法を採用して、DNS-ESNIを作成および/または管理し得る。
DNS-ESNIセットデータ構造は、Bloomフィルタ(B/F)、Cuckooフィルタ(C/F)、および/または任意の好適なセットデータ構造であり得る。これらのタイプのフィルタは、データセットの要素を効率的に記憶し、要素をデータセットに挿入し、要素がセットのメンバであるかどうかを判定し得る。特に、Cuckooフィルタは、セットからの要素の時間効率的な削除または除去をサポートし得る。BloomフィルタまたはCuckooフィルタのものと同様のプロパティを有する同様のセットデータ構造が使用されてもよいことが理解されよう。
ステップ610において、システム(例えば、DNS-ESNI-SYS156)は、DNSに登録されたドメイン名のリストを収集および/または集約することによって、データベース(例えば、DNS-REG-DB)を生成し得る。これらのリストのソースとして、例えば、DNSレジストリオペレータ組織および/または関連付けられたデリゲートおよび/または権限のあるネームサーバによって発見されるゾーンファイル、ドメインリストアグリゲータサービス、国別コードドメイン(country code domain、CCD)を発見するサードパーティサービス、ICANNなどが挙げられる。DNS登録されたドメイン名が取得される(例えば、判定される)と、システムは、ループプロセスまたは反復プロセスを開始して、DNS-ESNIを生成し得る。
ステップ620において、システムは、データベースDNS-REG-DB内の各ドメインについてのeSNIリソースレコード(RR)の存在についてDNS(例えば、インターネットDNS160)に照会し得る。RRは、関連付けられたドメインがeSNIをサポートすることを示し得る。ステップ630において、システムは、eSNIに関連付けられたRRが現在のドメイン名に対して存在するかどうかを判定し得る。ドメインがeSNIをサポートしないとシステムが判定した場合、プロセス600は、ステップ620に戻り、データベースDNS-REG-DB内の次のドメイン名エントリについてDNSに照会する。システムが、ドメインがeSNIをサポートすると判定した場合には、システムは、ステップ640において、ドメイン名をセットDNS-ESNIに挿入し得る。ステップ650において、システムは、DNS-REG-DB内に処理すべきドメイン名がさらにあるかどうかを判定し得る。ある場合、プロセス600は、ステップ620に戻って、DNS-REG-DB内の次のエントリを処理する。これ以上のドメイン名がない場合には、システムは、ステップ660に進み、システム(例えば、SPMS150)は、DNS-ESNIを1またはそれ以上の加入ESNI-G/W120に配信し得る。プロセス600は、DNS-ESNIを変更し、修正し、改変し、または別様に更新するように繰り返され得る。
プロセス600は、上述したものとは異なる順序および/または異なる組み合わせで実行されてもよい。DNSの動態およびeSNIは、遅延および/または同期の問題を最小限に抑えるために、プロセス600が頻繁に、または継続的に実行され得ることを示す。この点に関して、プロセス600は、継続的な動的更新モデルを使用し得る。いくつかの実施例では、ESNI-G/W(例えば、ESNI-G/W120)は、このESNI-G/Wが伝送中パケットに含まれるクリアテキストSNIを観測すると、eSNIサポートステータスについてDNSに直接照会することによって、必要に応じてDNS-ESNIに含まれる情報を判定し得る。
図7は、EDCL、CTIによって導出されたポリシー、および/またはDNS-ESNIセットデータ構造を作成、配信、および維持するシステム(例えば、SPMS150)のプロセス700の一実施例を示す。以下で説明される実施例は、CTIベースのネットワーク保護アプリケーションに関連するが、以下で説明されるシステムおよび方法は、SPMS150の動作および/または関連付けられたESNI-G/Wの動作に組み込まれ得ることが理解されよう。
ステップ710において、システム(例えば、SPMS150)は、複数のCTIプロバイダ140からCTIレポートを収集し、これらのレポートのデータベース(例えば、CTI-REPORT-DB)を作成し得る。CTIレポートは、IPアドレス、5つのタプル、ドメイン名、URIなどの形態の1またはそれ以上のネットワーク脅威インジケータを含み得る。脅威インジケータは、脅威に関連付けられたネットワークホストおよび/またはリソース、並びに、脅威攻撃タイプ、属性などの、脅威に関連付けられた追加の情報を識別し得る。CTIレポートは、脅威であり得るドメイン名を示すネットワーク脅威インジケータを含み得る。
ステップ720において、システム(例えば、SPMS150)は、CTI-REPORT-DB内のレポートからネットワーク脅威インジケータを抽出して、データベースCTI-INDICATOR-DBを作成し得る。CTI-INDICATOR-DBは、例えば、ステップ405および510において上述した入力であり得る。CTIプロバイダは、新しいCTIレポートを作成し、かつ/または既存のCTIレポートを更新し得る。この点に関して、システム(例えば、SPMS150)は、ステップ720を完了した後にステップ710に戻り得る。
ステップ725において、システム(例えば、SPMS150)は、EDCL-SYS152を動作させ得る。ステップ730において、システム(例えば、SPMS150)は、CTI-POLICY-SYS154を動作させ得る。ステップ735において、システム(例えば、SPMS150)は、DNS-ESNI-SYS156を動作させ得る。ステップ725、730、および/または735は、同時に動作し得る。ステップ725において、システムは、MGMT-I/F129を介して1またはそれ以上の加入ESNI-G/W120にEDCL-SYS152を配信し得る。ステップ730において、システムは、MGMT-I/F129を介して1またはそれ以上の加入ESNI-G/W120にCTI-POLICYを配信し得る。ステップ735において、システムは、MGMT-I/F129を介して1またはそれ以上の加入ESNI-G/W120にDNS-ESNIを配信し得る。1またはそれ以上の加入ESNI-G/Wの各々は、EDCL、CTI-POLICY、およびDNS-ESNIを受信し、データを(例えば、BUS128を介して)EDCL-SVC123、PKT-FILTER122、およびDNS-ESNI-SVC124にそれぞれ転送し得る。
図8Aおよび図8Bは、1またはそれ以上のパケットフィルタリングポリシーおよびEDCLを用いてESNI-G/W120を構成し、かつ1またはそれ以上のパケットフィルタリングポリシーと1またはそれ以上のCTIインジケータから導出されたEDCLとに基づいてネットワーク脅威保護アプリケーションを実行するためのプロセスの一実施例を示す。
ステップ805において、SPMS150は、CTIによって導出されたパケットフィルタリングポリシー(例えば、CTI-POLICY)と、関連付けられたCTIによって導出されたEDCLと、のうちの少なくとも1つをESNI-G/W120に配信し得る。SPMS150はまた、DNS-ESNIをESNI-G/W120に配信してもよい。CTIによって導出されたパケットフィルタリングポリシー(例えば、CTI-POLICY)、関連付けられたCTIによって導出されたEDCL、および/またはDNS-ESNI、のうちの少なくとも1つに基づいて、ESNI-G/W120は、ESNI-G/W120のPKT-FILTER122、EDCL-SVC123、および/またはDNS-ESNI-SVC124を構成し得る。
ステップ810において、HOST-1 110上で実行されているウェブブラウザのユーザは、サイトSRVR-0 130にアクセスすることを試行し得る。SRVR-0 130は、eSNIをサポートするドメイン(例えば、www.legitimate-non-CTI-site.net)をホストし得る。すなわち、ドメインのDNSエントリは、公開暗号鍵を含み得る。ユーザは、ブラウザウィンドウにドメインをURI(例えば、https://www.legitimate-non-CTI-site.net/)の一部として入力し得る。ブラウザは、ドメインのIPアドレス(例えば、www.legitimate-non-CTI-site.net)についてDNS160に照会し得る。照会に応答して、ブラウザは、IPアドレス(例えば、87.65.43.21)および公開暗号鍵(例えば、SITE-0-KEY)を受信し得る。いくつかの実施例では、DNS照会は、DNS-QUERY-TRACKER125インスタンス(図示せず)によって捕捉され得る。IPアドレスおよび公開暗号鍵を受信した後、ブラウザは、87.65.43.21のポート443(HTTPS)とのTCPコネクションを確立し得る。TLSによってセキュリティ保護されたセッションを確立するために、ブラウザは、ClientHelloメッセージを生成し、SITE-0-KEYのキーを使用してメッセージのドメイン名および/または他の部分を暗号化し、メッセージをTCPパケットおよび(L3/IP)宛先IPアドレスフィールドが87.65.43.21に設定されたIPパケットPKT-0にカプセル化し、パケットPKT-0をSRVR-0 130に向けて転送し得る。
ステップ815において、ESNI-G/W120は、パケットPKT-0を傍受し得る。ESNI-G/W120は、ClientHelloメッセージを調査し、メッセージが暗号化されたホスト名(例えば、eSNI暗号文)を含むと判定し得る。暗号化されたホスト名(例えば、暗号化されたドメイン名)を検出することに応答して、ESNI-G/W120は、PKT-0から(L3/IP)宛先IPアドレス(例えば、87.65.43.21)を抽出し、EDCL-SVC123に照会することによって、87.65.43.21によってインデックス付けされたエントリについてEDCLを探索し得る。探索が結果を返さない場合、ESNI-G/W120は、平文ドメイン名(例えば、www.legitimate-non-CTI-site.net)が、関連付けられたポリシーCTI-POLICY内のいずれのドメイン名脅威インジケータにも関連付けられていないと判定し得る。ESNI-G/W120は、ESNI-G/W120が暗号化されたホスト名(例えば、暗号化されたドメイン名)に対応する平文ドメイン名を知らなくても、この判定を行い得る。ステップ815の終結時に、ESNI-G/W120は、PKT-0がPKT-0の宛先87.65.43.21(SRVR-0 130)に向かって進むことを許可し得る。ステップ820において、HOST-1 110とSRVR-0 130との間のTLSトンネルを確立することができ、(TLSによってセキュリティ保護された)HTTPセッション(例えば、HTTPS)が行われる。HTTPセッションが完了すると、TLSトンネルおよびTCPコネクションがテアダウンされ得る。
ステップ825において、HOST-1 110上で実行されているウェブブラウザのユーザは、サイトSRVR-1 131にアクセスすることを試行し得る。SRVR-1 131は、eSNIをサポートする第2のドメイン(例えば、toplipts.com)をホストし得る。上記で考察したように、第2のドメインのDNSエントリは、第2のドメイン名の第2の公開暗号鍵を含み得る。ユーザは、ブラウザウィンドウに第2のドメインをURI(例えば、https://toplipts.com/)の一部として入力し得る。ブラウザは、第2のドメイン(例えば、toplipts.com)のIPアドレスについてDNS160に照会し得る。照会に応答して、ブラウザは、第2のIPアドレス(例えば、22.74.02.18)および第2の公開暗号鍵(例えば、SITE-1-KEY)を受信し得る。上記の第1の照会と同様に、DNS照会は、DNS-QUERY-TRACKER125インスタンス(図示せず)によって捕捉され得る。第2のIPアドレスおよび第2の公開暗号鍵を受信した後、ブラウザは、第2のIPアドレス(例えば、22.74.02.18)のポート443(HTTPS)とのTCPコネクションを確立し得る。TLSによってセキュリティ保護されたセッションを確立するために、ブラウザは、ClientHelloメッセージを生成し、第2の公開暗号鍵(例えば、SITE-1-KEY)を使用して、第2のドメイン名(例えば、toplipts.com)、および/またはメッセージの1またはそれ以上の部分を暗号化し、(L3/IP)宛先IPアドレスフィールドが第2のIPアドレス(例えば、22.74.02.18)に設定されたTCPパケットおよびIPパケットPKT-1にメッセージをカプセル化し、パケットPKT-1をSRVR-1 131に向けて転送し得る。
ステップ830において、ESNI-G/W120は、パケットPKT-1を傍受し得る。ESNI-G/W120は、ClientHelloメッセージを調査し、メッセージがeSNI暗号文を含むと判定し得る。ESNI-G/W120は、(L3/IP)宛先IPアドレス(例えば、22.74.02.18)を抽出し、EDCL-SVC123に照会することによって、22.74.02.18によってインデックス付けされたエントリについてEDCLを探索し得る。探索は、EDCLからエントリを返し得る。例えば、探索は、図3に関して上記で考察したEDCL300から行314を返し得る。エントリの内容を調査した後、ESNI-G/W120は、eSNI暗号文が平文ドメイン名toplipts.comに対応すると判定し得る。ESNI-G/W120は、PKT-FILTER122システムを呼び出し得る。上記で考察したように、PKT-FILTER122は、ステップ805においてCTI-POLICYを用いて構成され得る。ESNI-G/W120は、基準「toplipts.com」にマッチするCTI-POLICY内のパケットフィルタリングルールを探索し得る。この実施例によれば、マッチパケット(PKT-1)を処理するための(ネットワーク保護)「ブロック」アクションを有するマッチルールを見つけ得る。追加的もしくは代替的に、マッチルールは、パケット変換機能(PTF)「tcp-rst」を含み得る。ESNI-G/W120は、SRVR-1 131を偽装するか、または透過プロキシとなることができ、(致命的な)アラートコード(例えば、コード40「ハンドシェイク失敗」)を有するTLSアラートプロトコルメッセージをHOST-1 110に送信することができ、このことが、HOST-1 110に、TLSセッションを閉じさせる。TCP RSTが、HOST-1 110にTCPコネクションをテアダウンさせ得る。代替的に、ESNI-G/W120は、TCP RSTを送信してもよく、これにより、シグナリングなしにTLSセッションが閉じられる。この点に関して、ESNI-G/W120は、危殆化されている場合があるいかなるデータおよび/または情報もHOST-1 110に提供したくない場合がある。
ステップ835において、HOST-1 110上で実行されているウェブブラウザのユーザは、サイトSRVR-2 132にアクセスすることを試行し得る。SRVR-2 132は、eSNIをサポートする第3のドメイン名(例えば、kottoqui.ga)をホストし得る。すなわち、第3のドメイン名のDNSエントリは、公開暗号鍵を含み得る。ユーザは、ブラウザウィンドウに第3のドメイン名をURI(例えば、https://kottoqui.ga/)の一部として入力し得る。HOST-1 110上のブラウザは、第3のドメイン名(例えば、kottoqui.ga)の第3のIPアドレス(例えば、102.2.18.81)および第3の公開暗号鍵(例えば、SITE-2-KEY)についてDNS160に照会し得る。上述したように、DNS照会は、DNS-QUERY-TRACKER125(図示せず)によって捕捉され得る。第3のIPアドレスおよび第3の公開暗号鍵を受信した後、ブラウザは、102.2.18.81のポート443(HTTPS)とのTCPコネクションを確立し得る。TLSによってセキュリティ保護されたセッションを確立するために、ブラウザは、ClientHelloメッセージを生成し、第3のドメイン名(例えば、kottoqui.ga)、および/または第3の公開暗号鍵(例えば、SITE-2-KEY)を使用してメッセージの1またはそれ以上の他の部分を暗号化し、メッセージをTCPパケットおよび(L3/IP)宛先IPアドレスフィールドが102.2.18.81に設定されたIPパケットPKT-2にカプセル化し、パケットPKT-2をSRVR-2 132に向けて転送し得る。
ステップ840において、ESNI-G/W120は、パケットPKT-2を傍受し得る。ESNI-G/W120は、ClientHelloメッセージを調査し、メッセージが暗号化されたホスト名(例えば、eSNI暗号文)を含むと判定し得る。ESNI-G/W120は、(L3/IP)宛先IPアドレス(例えば、102.2.18.81)を抽出し、EDCL-SVC123に照会することによって、102.2.18.81によってインデックス付けされたエントリについてEDCLを探索し得る。探索は、EDCLからエントリを返し得る。例えば、探索は、図3に関して上記で考察したEDCL300から行310を返し得る。エントリの内容を調査した後、ESNI-G/W120は、eSNI暗号文に対応する平文ドメイン名をEDCLから判定することができないと判定し得る。ESNI-G/W120は、IPアドレス102.2.18.81においてホストされる全てのドメインが、CTIインジケータデータベースおよび関連付けられたCTI-POLICY内にあり、eSNIをサポートするドメイン名を有すると判定し得る。EDCL300の要素{行310,列302}内の8つのドメイン名のいずれかは、eSNI暗号文に対応する平文ドメイン名であり得る。ESNI-G/W120は、8つのドメイン名のうちのいずれか1つを可能性のある通信相手として選択し、次いで、進み得る。追加的もしくは代替的に、ESNI-G/W120は、DNS-QUERY-TRACKER125が、通信相手を判定し得るエントリを有するかどうかをチェックし得る。この実施例では、ESNI-G/W120は、DNS-QUERY-TRACKER125をチェックして、第3のドメイン名(例えば、kottoqui.ga)が通信相手である可能性が高いと判定し得る。ESNI-G/W120は、ステップ805においてCTI-POLICYを用いて構成されたPKT-FILTER122システムを呼び出して、マッチング基準「kottoqui.ga」を用いてCTI-POLICY内のパケットフィルタリングルールを探索し得る。マッチパケット(PKT-2)を処理するための(ネットワーク保護)「ブロック」アクションと、パケット変換機能(PTF)「tcp-rst」と、を有するマッチルールを見つけ得る。ESNI-G/W120は、SRVR-2 132を偽装し得るか、または透過プロキシとなり得る。追加的もしくは代替的に、ESNI-G/W120は、(致命的な)アラートコード(例えば、コード40「ハンドシェイク失敗」)を有するTLSアラートプロトコルメッセージをHOST-1 110に送信してもよい。TLSアラートプロトコルメッセージは、HOST-1 110にTLSセッションを閉じさせ得る。追加的もしくは代替的に、ESNI-G/W120は、HOST-1 110にTCPコネクションをテアダウンさせるTCP RSTを送信してもよい。
図8Bを参照すると、HOST-1 110上で実行されているウェブブラウザのユーザは、ステップ845においてサイトSRVR-3 133にアクセスすることを試行し得る。SRVR-3 133は、eSNIをサポートする第4のドメイン名(例えば、cakbacon.cn)をホストし得る。上記の実施例と同様に、第4のドメイン名のDNSエントリは、公開暗号鍵を含み得る。ユーザは、ブラウザウィンドウに第4のドメイン名をURI(例えば、https://cakbacon.cn/)の一部として入力し得る。ブラウザは、第4のIPアドレス(例えば、14.99.65.22)および第4の公開暗号鍵(例えば、SITE-3-KEY)についてDNS160に照会し得る。DNS照会は、DNS-QUERY-TRACKER125インスタンス(図示せず)によって捕捉され得る。ブラウザは、14.99.65.22のポート443(HTTPS)とのTCPコネクションを確立し得る。TLSによってセキュリティ保護されたセッションを確立するために、ブラウザは、ClientHelloメッセージを生成し、第4のドメイン名(例えば、cakbacon.cn)、および/または第4の公開暗号鍵(例えば、SITE-3-KEY)を使用してメッセージの1またはそれ以上の部分を暗号化し、メッセージをTCPパケットと(L3/IP)宛先IPアドレスフィールドが14.99.65.22に設定されたIPパケットPKT-3とにカプセル化し、パケットPKT-3をSRVR-3 133に向けて転送し得る。
ステップ850において、ESNI-G/W120は、パケットPKT-3を傍受し、ClientHelloメッセージを調査し得る。ESNI-G/W120は、メッセージが暗号化されたホスト名(例えば、eSNI暗号文)を含むと判定し得る。ESNI-G/W120は、(L3/IP)宛先IPアドレス14.99.65.22を抽出し、EDCL-SVC123に照会することによって、14.99.65.22によってインデックス付けされたエントリについてEDCLを探索し得る。探索は、図3で上述したEDCL300内の行312などのエントリを返し得る。行312の内容を調査した後、ESNI-G/W120は、暗号化されたホスト名(例えば、eSNI暗号文)に対応する平文ドメイン名をEDCLから判定することができないと判定し得る。ESNI-G/W120は、CTI内にない14.99.65.22上でホストされる1またはそれ以上のドメインがあると判定し得る。追加的もしくは代替的に、ESNI-G/W120は、暗号化されたホスト名(例えば、eSNI暗号文)に対応する平文ドメイン名を解読して、通信に関連付けられたポリシーを適正に施行するべきであると判定してもよい。ESNI-G/W120は、SRVR-3 133を偽装し得るか、または透過プロキシとなり得る。ESNI-G/W120は、TLSメッセージをHOST-1 110に送信し得る。TLSメッセージは、HOST-1 110に、SNIを暗号化しないClientHelloを発行させ得る。TLSメッセージは、(致命的な)アラートコード(例えば、コード70「プロトコルバージョン」)を有するTLSアラートプロトコルメッセージを含み得る。TLSアラートプロトコルメッセージはまた、HOST-1 110に、暗号化されたSNIをサポートしないTLS1.2などのTLSバージョンを使用させてもよい。追加的もしくは代替的に、ESNI-G/W120は、HOST-1 110に暗号化されたSNIオプションを使用させないTLSメッセージを送信してもよい。
ステップ860において、HOST-1 110上のブラウザは、SNI拡張フィールドが(平文)cakbacon.cnに設定されたClientHelloメッセージを生成し、メッセージをTCPパケットと(L3/IP)宛先IPアドレスフィールドが14.99.65.22に設定されたIPパケットPKT-3.1とにカプセル化し、パケットPKT-3.1をSRVR-3 133に向けて転送し得る。ステップ865において、ESNI-G/W120は、パケットPKT-3.1を傍受し、ClientHelloメッセージを調査し得る。ESNI-G/W120は、メッセージがクリアテキストSNI値cakbacon.cnを含むと判定し得る。ESNI-G/W120は、ステップ805においてCTI-POLICYを用いて構成されたPKT-FILTER122システムを呼び出して、マッチング基準「cakbacon.cn」を用いてCTI-POLICY内のパケットフィルタリングルールを探索し得る。この実施例によれば、マッチパケット(PKT-3.1)を処理するための(ネットワーク保護)「ブロック」アクションと、パケット変換機能(PTF)「tcp-rst」と、を有するマッチルールを見つけ得る。ESNI-G/W120は、SRVR-3 133を偽装するか、または透過プロキシとなることができ、(致命的な)アラートコード(例えば、コード40「ハンドシェイク失敗」)を有するTLSアラートプロトコルメッセージをHOST-1 110に送信し得る。TLSアラートプロトコルメッセージは、HOST-1 110にTLSセッションを閉じさせ得る。追加的もしくは代替的に、ESNI-G/W120は、HOST-1 110にTCPコネクションをテアダウンさせるTCP RSTをHOST-1 110に送信してもよい。
ステップ870において、HOST-1 110上で実行されているウェブブラウザのユーザは、サイトSRVR-4 134にアクセスすることを試行し得る。SRVR-4 134は、eSNIをサポートする第5のドメイン名(例えば、not-a-CTI-threat-site.net)をホストし得る。先の考察と同様に、DNSエントリは、第5の公開暗号鍵を含み得る。第5のドメイン名は、CTIデータベースおよび/または関連付けられたCTI-POLICYにリストされなくてもよい。ユーザは、ブラウザウィンドウに第5のドメイン名をURI(例えば、https://not-a-CTI-threat-site.net/)の一部として入力し得る。HOST-1 110上のブラウザは、第5のドメイン名(例えば、not-a-CTI-threat-site.net)のIPアドレス(例えば、14.99.65.22)および第5の公開暗号鍵(例えば、SITE-4-KEY)についてDNS160に照会し得る。DNS160は、図3に示されるEDCL300から行312などのエントリを返し得る。DNS照会は、DNS-QUERY-TRACKER125インスタンス(図示せず)によって捕捉され得る。DNS照会に対する応答を受信した後、HOST-1 110上のブラウザは、14.99.65.22のポート443(HTTPS)とのTCPコネクションを確立し得る。TLSによってセキュリティ保護されたセッションを確立するために、ブラウザは、ClientHelloメッセージを生成し、ドメイン名(例えば、not-a-CTI-threat-site.net)、および/または第5の公開暗号鍵(例えば、SITE-4-KEY)を使用してメッセージの1またはそれ以上の追加の部分を暗号化し、メッセージをTCPパケットおよび(L3/IP)宛先IPアドレスフィールドが14.99.65.22に設定されたIPパケットPKT-4にカプセル化し、パケットPKT-4をSRVR-4 134に向けて転送し得る。
ステップ875において、ESNI-G/W120は、パケットPKT-4を傍受し得る。ESNI-G/W120は、ClientHelloメッセージを調査し、メッセージが暗号化されたホスト名(例えば、eSNI暗号文)を含むと判定し得る。ESNI-G/W120は、(L3/IP)宛先IPアドレス14.99.65.22を抽出し、14.99.65.22によってインデックス付けされたエントリについてEDCLを探索し得る。EDCLを探索することは、IPアドレス14.99.65.22を使用してEDCL-SVC123に照会することを含み得る。探索は、EDCLからエントリを返し得る。エントリは、図3に関して上記で考察したEDCL300の行312であり得る。行312の内容を調査した後、ESNI-G/W120は、eSNI暗号文に対応する平文ドメイン名をEDCLから判定することができないと判定し得る。追加的もしくは代替的に、ESNI-G/W120は、CTI内にない14.99.65.22上でホストされる複数のドメインがあると判定してもよい。ESNI-G/W120は、暗号化されたホスト名(例えば、eSNI暗号文)に対応する平文ドメイン名を解読して、通信に関連付けられた1またはそれ以上のポリシーを適正に施行するべきであると判定してもよい。ESNI-G/W120は、SRVR-4 134を偽装するか、または透過プロキシとなり、SNIを暗号化しないClientHelloをHOST-1 110に発行させ得るTLSメッセージをHOST-1 110に送信し得る。例えば、ESNI-G/W120は、(致命的な)アラートコード(例えば、コード70「ハンドシェイク失敗」)を有するTLSアラートプロトコルメッセージをHOST-1 110に送信し得る。TLSアラートメッセージは、HOST-1 110に、暗号化されたSNIをサポートしないTLSバージョン(例えば、TLS1.2)を使用させ得る。追加的もしくは代替的に、ESNI-G/W120は、HOST-1 110に暗号化されたSNIオプションを使用させないTLSメッセージをHOST-1 110に送信してもよい。
ステップ880において、HOST-1 110上のブラウザは、SNI拡張フィールドが(平文)not-a-CTI-threat-site.netに設定されたClientHelloメッセージを生成し、メッセージをTCPパケットおよび(L3/IP)宛先IPアドレスフィールドが14.99.65.22に設定されたIPパケットPKT-4.1にカプセル化し、パケットPKT-4.1をSRVR-4 134に向けて転送し得る。ステップ885において、ESNI-G/W120は、パケットPKT-4.1を傍受し、ClientHelloメッセージを調査し得る。ClientHelloメッセージを調査することに基づいて、ESNI-G/W120は、メッセージがクリアテキストSNI値not-a-CTI-threat-site.netを含むと判定し得る。ESNI-G/W120は、ステップ805においてCTI-POLICYを用いて構成されたPKT-FILTER122システムを呼び出して、マッチング基準「not-a-CTI-threat-site.net」を用いてCTI-POLICY内のパケットフィルタリングルールを探索し得る。探索は、結果を返さない場合がある。ESNI-G/W120は、PKT-4.1がPKT-4.1の宛先14.99.65.22(SRVR-4 134)に向かって進むことを許可し得る。ステップ890において、HOST-1 110とSRVR-4 134との間のTLSトンネルを確立することができ、(TLSによってセキュリティ保護された)HTTPセッションが行われ得る。HTTPセッションが完了すると、TLSトンネルおよびTCPコネクションがテアダウンされ得る。
いくつかの実施例では、組織は、組織の内部ユーザがアクセスし、かつ/またはアクセスすることを試行する外部サイトを追跡および規制したいため、eSNI技術の使用を許可しないポリシーを有し得る。この実施例では、ポリシーは、ステップ870~890において上述したプロセスと同様のプロセスを実行するESNI-G/Wアプリケーションによって施行され得るが、EDCLを使用せず、かつ/またはCTI-POLICYとは異なるポリシーを用いる。例えば、ステップ875において、ESNI-G/Wアプリケーションが、ClientHelloメッセージがeSNI暗号文を含むと判定すると、アプリケーションは、ステップ875において、EDCLを通した探索をスキップし、ESNI-G/W120にSRVR-4 134を偽装させ得る。上記に記載したように、ESNI-G/Wは、暗号化されたSNIを含まないClientHelloをHOST-1 110に発行させ得るTLSメッセージをHOST-1 110に送信し得る。ステップ880は、修正なしで実行され得るが、ステップ885は、CTI-POLICYとは異なるポリシーを適用し得る。ステップ885で適用されたポリシーが通信セッションが進行することを許可する場合には、ステップ890は、修正なしで実行され得る。
図9は、1またはそれ以上のアプリケーションをサポートするパケットフィルタリング動作を有してESNI-G/W120を構成するためのプロセスの一実施例を示す。1またはそれ以上のアプリケーションは、例えば、合法的傍受などの法執行(LE)アプリケーション、または(2)プライバシー保護および保存(P3)アプリケーションを含み得る。LEアプリケーションの場合、パケットフィルタリングポリシーおよび/またはEDCLは、LEIインジケータから導出され得る。同様に、パケットフィルタリングポリシーおよび/またはEDCLは、P3アプリケーションのP3インジケータ(P3I)から導出され得る。そのようなLEおよびP3アプリケーションは、通信に関連付けられたドメイン名を観測することに依存するロジックを含み得る。通信が、何らかのLEIデータベースおよび/またはP3Iデータベースに含まれるドメイン名に関連付けられている場合には、アプリケーションは、通信に対して作用し得る。
図9のこの説明は、図8Aおよび図8Bで説明したCTIアプリケーションと形態および機能性が類似している。例えば、図8Aおよび図8BのCTIおよび/または関連付けられたCTI-POLICY並びにEDCLは、図9のLEIおよび/または関連付けられたLEI-POLICY並びにLEI-EDCLに類似し得る。TLS-MITM-PROXY126は、図9において、上記で考察した実施例とは異なって使用されてもよい。CTIおよびP3並びに他のアプリケーションは、例えば、(1)アプリケーションが通信をさらに調査してeSNI暗号文に対応するドメイン名を判定し、次いで相応に処理し(例えば、関連付けられたクリアテキストパケットに対してPKT-FILTER122を呼び出し)得るように、通信暗号文をクリアテキストに復号化することと、(2)通信を復号化し、通信処理意思決定(例えば、クリアテキスト通信を捕捉/記憶するかどうか)を行うために、ユーザIDなどの、ドメイン名以外の他の情報についてクリアテキストをさらに調査することと、を含む、LEIアプリケーションと同様の理由でTLS-MITM-PROXY126コンポーネントを使用し得る。
ステップ910において、SPMS150は、LEIによって導出されたパケットフィルタリングポリシー(例えば、LEI-POLICY)と、関連付けられた、LEIによって導出されたLEI-EDCLと、をESNI-G/W120に配信し得る。追加的もしくは代替的に、SPMS150は、DNS-ESNIを配信し得る。ESNI-G/W120は、例えば、LEIによって導出されたパケットフィルタリングポリシー(例えば、LEI-POLICY)、関連付けられた、LEIによって導出されたLEI-EDCL、および/またはDNS-ESNIに基づいて、ESNI-G/W120のPKT-FILTER122、EDCL-SVC123、および/またはDNS-ESNI-SVC124を構成し得る。いくつかの実施例では、SPMS150は、例えば、ユーザIDの1またはそれ以上のリストを含む、追加のLEIデータを配信し得る。
ステップ920において、HOST-2 112上で実行されているウェブブラウザのユーザは、サイトSRVR-6 136にアクセスすることを試行し得る。SRVR-6 136は、eSNIをサポートする第7のドメイン名(例えば、LEI-watchlist-site.net)をホストし得る。すなわち、第7のドメインのDNSエントリは、第7の公開暗号鍵を含み得る。ユーザは、ブラウザウィンドウに第7のドメイン名をURI(例えばhttps://LEI-watchlist-site.net/)の一部として入力し得る。ブラウザは、LEI-watchlist-site.netの第7のIPアドレス(例えば、21.43.65.87)および第7の公開暗号鍵(例えば、SITE-6-KEY)についてDNS160に照会し得る。DNS照会は、DNS-QUERY-TRACKER125インスタンス(図示せず)によって捕捉され得る。DNS160からの応答を受信した後、HOST-2 112上のブラウザは、21.43.65.87のポート443(HTTPS)とのTCPコネクションを確立し得る。TLSによってセキュリティ保護されたセッションを確立するために、ブラウザは、ClientHelloメッセージを生成し、ドメイン名、および/または第7の公開暗号鍵(例えば、SITE-6-KEY)を使用してメッセージの1またはそれ以上の部分を暗号化し、メッセージをTCPパケットおよび(L3/IP)宛先IPアドレスフィールドが21.43.65.87に設定されたIPパケットPKT-6にカプセル化し、パケットPKT-6をSRVR-6 136に向けて転送し得る。
ステップ930において、ESNI-G/W120は、パケットPKT-6を傍受し、パケットPKT-6に含まれるClientHelloメッセージを調査し得る。ESNI-G/W120は、メッセージが暗号化されたホスト名(例えば、eSNI暗号文)を含むと判定し得る。ESNI-G/W120は、(L3/IP)宛先IPアドレス21.43.65.87を抽出し、LEI-EDCL-SVC123に照会することによって、21.43.65.87によってインデックス付けされたエントリについてLEI-EDCLを探索し得る。探索は、LEI-EDCLのエントリ(21.43.65.87によってインデックス付けされる)を返し得る。探索結果に基づいて、ESNI-G/W120は、(平文)ドメイン名を「LEI-watchlist-site.net」として判定(解読)し得る。ESNI-G/W120は、ステップ910においてLEI-POLICYを用いて構成されたPKT-FILTER122システムを呼び出して、マッチング基準「LEI-watchlist-site.net」を用いてLEI-POLICY内のパケットフィルタリングルールを探索し得る。マッチパケット(PKT-6)およびパケット変換機能(PTF)「tls-mitmプロキシ」を処理するための「許可する」アクションを示すマッチルールを見つけ得る。PTF「tls-mitm-proxy」は、PKT-6およびPKT-6と同じフロー/通信に関連付けられた後続のパケットをTLS-MITM-PROXY126に転送するようにESNI-G/W120にシグナリングし得る。TLS-MITM-PROXY126を通過した後、PKT-6は、ESNI-G/W120によってSRVR-6 136に向けて転送され得る。いくつかの実施例では、PKT-6のプロキシバージョンをSRVR-6 136に転送し得る。
ステップ940において、HOST-2 112とSRVR-6 136との間のTLSトンネルを確立することができ、(TLSによってセキュリティ保護された)HTTPセッションが行われ得る。セッションを含むパケットは、TLS-MITM-PROXY126を通過し、アプリケーションは、復号化されたクリアテキストメッセージ/パケットを捕捉および記憶し得る。アプリケーションはまた、クリアテキストを捕捉および記憶することが許容可能であるかどうかを判定するために、追加の情報、例えばユーザID、のクリアテキストを検査してもよい。許容されない場合には、捕捉機能および記憶機能を終了し、記憶されたデータを消去し、かつ/または別様にアクセス不能にし得る。HTTPセッションが完了すると、TLSトンネルおよびTCPコネクションがテアダウンされ得る。
図10は、盗取を最小限に抑えるESNI-G/W120によるパケットフィルタリングの一実施例を例示している。第1のアプリケーションは、eSNIが利用可能であるときはいつでもeSNIの使用を施行し得る。第2のアプリケーションは、全ての、TLSによってセキュリティ保護された通信に対してeSNIの使用を施行し得る。すなわち、第2のアプリケーションは、eSNIをサポートするTLSによってセキュリティ保護された通信のみを許可することができ、eSNIを使用して、それらのサイトにアクセスし得る。
ステップ1005において、SPMS150は、DNS-ESNIをESNI-G/W120に配信し得る。DNS-ESNIは、DNS-ESNIの更新バージョンであり得る。ESNI-G/W120は、DNS-ESNIを用いてDNS-ESNI-SVC124を構成し得る。ESNI-G/W120は、(例えば、eSNIが利用可能であるときはいつでもeSNIの使用を施行する)第1のアプリケーションを実行し得る。
ステップ1010において、HOST-4 114上で実行されているウェブブラウザのユーザは、サイトSRVR-7 137にアクセスすることを試行し得る。SRVR-7 137は、eSNIをサポートしない第8のドメイン名(例えば、non-eSNI-site.net)をホストし得る。ユーザは、ブラウザウィンドウに第8のドメイン名をURI(例えば、https://non-eSNI-site.net/)の一部として入力し得る。第8のドメイン名を受信したことに応答して、ブラウザは、第8のドメイン名(例えば、non-eSNI-site.net)のIPアドレス(例えば、78.56.34.12)についてDNS160に照会し得る。IPアドレスを受信すると、ブラウザは、78.56.34.12のポート443(HTTPS)とのTCPコネクションを確立し得る。TLSによってセキュリティ保護されたセッションを確立するために、ブラウザは、SNIフィールドが平文「non-eSNI-site.net」に設定されたClientHelloメッセージを生成し、メッセージをTCPパケットおよび(L3/IP)宛先IPアドレスフィールドが78.56.34.12に設定されたIPパケットPKT-7にカプセル化し、パケットPKT-7をSRVR-7 137に向けて転送し得る。
ステップ1015において、ESNI-G/W120は、パケットPKT-7を傍受し、パケットPKT-7に含まれるClientHelloメッセージを調査し得る。ESNI-G/W120は、メッセージがクリアテキストSNI値「non-eSNI-site.net」を含むと判定し得る。ESNI-G/W120は、DNS-ESNI-SVC124に照会して、ドメイン「non-eSNI-site.net」がeSNIをサポートしないと判定し得る。ESNI-G/W120は、PKT-7がPKT-7の宛先78.56.34.12(SRVR-7 137)に向かって進むことを許可し得る。ステップ1020において、HOST-4 114とSRVR-7 137との間のTLSトンネルを確立することができ、(TLSによってセキュリティ保護された)HTTPセッションが行われ得る。HTTPセッションが完了すると、TLSトンネルおよびTCPコネクションがテアダウンされ得る。
ステップ1025において、HOST-4 114上で実行されているウェブブラウザのユーザは、サイトSRVR-8 138にアクセスすることを試行し得る。SRVR-8 138は、eSNIをサポートする第9のドメイン名(例えば、supports-eSNI-site.net)をホストし得る。ユーザは、ブラウザウィンドウに第9のドメイン名をURI(例えば、https://supports-eSNI-site.net/)の一部として入力し得る。次に、ブラウザは、第9のドメイン(例えば、supports-eSNI-site.net)のIPアドレス(例えば、12.34.43.21)についてDNS160に照会し得る。IPアドレスを受信すると、ブラウザは、12.34.43.21のポート443(HTTPS)とのTCPコネクションを確立し得る。TLSによってセキュリティ保護されたセッションを確立するために、ブラウザは、SNIフィールドが平文「supports-eSNI-site.net」に設定されたClientHelloメッセージを生成し、メッセージをTCPパケットおよび(L3/IP)宛先IPアドレスフィールドが12.34.43.21に設定されたIPパケットPKT-8にカプセル化し、パケットPKT-8をSRVR-8 138に向けて転送し得る。
ステップ1030において、ESNI-G/W120は、パケットPKT-8を傍受し、パケットPKT-8に含まれるClientHelloメッセージを調査し得る。ESNI-G/W120は、メッセージがクリアテキストSNI値「supports-eSNI-site.net」を含むと判定し得る。ESNI-G/W120は、DNS-ESNI-SVC124に照会して、ドメイン「supports-eSNI-site.net」がeSNIをサポートすると判定し得る。第1のアプリケーションは、eSNIが利用可能であるときにeSNIを使用することを必要とするため、ESNI-G/W120は、SRVR-8 138を偽装し得るか、または透過プロキシとなり得る。ESNI-G/W120は、HOST-4 114にeSNIを使用するClientHelloを発行させ得るTLSメッセージをHOST-4 114に送信し得る。TLSメッセージは、eSNIが必要とされることをHOST-4 114にシグナリングするTLSアラートプロトコルメッセージを含み得る。
ステップ1035において、HOST-4 114上で実行されているブラウザは、ドメイン「supports-eSNI-site.net」の公開暗号鍵(例えば、SITE-8-KEY)についてDNS160に照会し得る。ブラウザは、ClientHelloメッセージを生成し、公開暗号鍵(例えば、SITE-8-KEY)を使用して、ドメイン名「supports-eSNI-site.net」および/またはメッセージの1またはそれ以上の他の部分を暗号化し、メッセージをTCPパケットおよび(L3/IP)宛先IPアドレスフィールドが12.34.43.21に設定されたIPパケットPKT-8.1にカプセル化し、パケットPKT-8.1をSRVR-8 138に向けて転送し得る。
ステップ1040において、ESNI-G/W120は、パケットPKT-8.1を傍受し、パケットPKT-8.1に含まれるClientHelloメッセージを調査し得る。ESNI-G/W120は、メッセージがeSNI暗号文を含むと判定し得る。ESNI-G/W120は、PKT-8.1をPKT-8.1の宛先12.34.43.21(SRVR-8 138)に向けて転送することによって、PKT-8.1が進むことを許可し得る。
ステップ1045において、HOST-4 114とSRVR-8 138との間のTLSトンネルを確立することができ、(TLSによってセキュリティ保護された)HTTPセッションが行われ得る。HTTPSセッションが完了すると、TLSトンネルおよびTCPコネクションがテアダウンされ得る。
ステップ1050および1055の間、ESNI-G/W120は、eSNIをサポートするサイトにアクセスすることのみを許可し、かつeSNI使用を必要とする第2のアプリケーションを動作させている場合がある。
ステップ1050において、HOST-4 114上で実行されているウェブブラウザのユーザは、サイトSRVR-7 137にアクセスすることを試行し得る。SRVR-7 137は、eSNIをサポートしない第10のドメイン名(例えば、non-eSNI-site.net)をホストし得る。ユーザは、ブラウザウィンドウにドメイン名をURI(例えば、https://non-eSNI-site.net/)の一部として入力し得る。ブラウザは、non-eSNI-site.netのIPアドレス(例えば、78.56.34.12)についてDNS160に照会し得る。IPアドレスを受信すると、ブラウザは、78.56.34.12のポート443(HTTPS)とのTCPコネクションを確立し得る。TLSによってセキュリティ保護されたセッションを確立するために、ブラウザは、SNIフィールドが平文「non-eSNI-site.net」に設定されたClientHelloメッセージを作成し、メッセージをTCPパケットおよび(L3/IP)宛先IPアドレスフィールドが78.56.34.12に設定されたIPパケットPKT-9にカプセル化し、パケットPKT-9をSRVR-7 137に向けて転送し得る。
ステップ1055において、ESNI-G/W120は、パケットPKT-9を傍受し、パケットPKT-9に含まれるClientHelloメッセージを調査し得る。ESNI-G/W120は、メッセージがクリアテキストSNI値「non-eSNI-site.net」を含むと判定し得る。ESNI-G/W120は、DNS-ESNI-SVC124に照会して、ドメイン「non-eSNI-site.net」がeSNIをサポートしないと判定し得る。第2のアプリケーションは、eSNIをサポートするサイトにアクセスすることのみを許可し得るため、ESNI-G/W120は、SRVR-7 137を偽装し得るか、または透過プロキシとなり得る。第2のアプリケーションは、eSNIをサポートするサイトにアクセスするときに、上述した第1のアプリケーションと同様に実行され得る。ESNI-G/W120は、(致命的な)アラートコード(例えば、コード40「ハンドシェイク失敗」)を有するTLSアラートプロトコルメッセージをHOST-4 114に送信し得る。TLSアラートプロトコルメッセージは、HOST-4 114にTLSセッションを閉じさせ得る。追加的もしくは代替的に、ESNI-G/W120は、TCP RSTをHOST-4 114に送信してもよい。TCP RSTは、HOST-4 114にTCPコネクションをテアダウンさせ得る。
上述したように、パケットフィルタリングシステムは、暗号化されたサーバ名指示(SNI)値を含む暗号文を含むパケットを受信し得る。パケットフィルタリングシステムは、暗号化されたホスト名に関連付けられた平文ホスト名を判定して、平文ホスト名が1またはそれ以上の脅威に関連付けられているかどうかを判定し得る。図11は、暗号化されたネットワークトラフィックが1またはそれ以上の脅威に関連付けられているかどうかを判定するためのプロセス1100の一実施例を示す。プロセス1100のステップのいくつかまたは全ては、パケットセキュリティゲートウェイ120などの1またはそれ以上のコンピューティングデバイスを使用して実行され得る。
ステップ1110において、パケットフィルタリングデバイスは、1またはそれ以上の脅威インジケータを受信し得る。例えば、パケットフィルタリングデバイスは、1またはそれ以上のサイバー脅威インテリジェンスプロバイダ(CTIP)から脅威インジケータ(例えば、生の脅威インジケータ)を直接受信し、1またはそれ以上のパケットフィルタリングルールを作成し得る。パケットフィルタリングルールは、セキュリティポリシー管理サーバ(SPMS)から受信され得る。追加的もしくは代替的に、1またはそれ以上の脅威インジケータは、パケットフィルタリングルールにおけるマッチング基準として間接的に受信されてもよい。更なる実施例では、パケットフィルタリングデバイスは、脅威インジケータから導出されたパケットフィルタリングルールから構成される1またはそれ以上のポリシーを受信し得る。1またはそれ以上のポリシーは、エンタープライズ通信ポリシー、プライバシー、保護、および保存ポリシー、法執行ポリシー、またはその均等物を含み得る。パケットフィルタリングデバイスは、第1のネットワークと第2のネットワークとの間をインターフェースするバウンダリに存在し得る。この点に関して、パケットフィルタリングデバイスは、ゲートウェイ、ファイアウォール、ルータ、または任意の他のタイプのエッジデバイスであり得る。追加的もしくは代替的に、パケットフィルタリングデバイスは、1またはそれ以上のネットワークセグメント上に位置するパススルーデバイスであり得る。上記で考察したように、1またはそれ以上の脅威インジケータは、1またはそれ以上の脅威に関連付けられた複数のドメイン名(例えば、ホスト名)を含み得る。追加的もしくは代替的に、1またはそれ以上の脅威インジケータは、1またはそれ以上の脅威に関連付けられた複数のネットワークアドレス(例えば、IPアドレス)を含んでもよい。
ステップ1120において、パケットフィルタリングデバイスは、暗号化されたサーバ名指示(SNI)値を含む暗号文を含む複数のパケットを受信し得る。複数のパケットは、ClientHelloメッセージなどの単一の通信および/またはメッセージに関連付けられ得る。上記に記載したように、複数のパケットは、暗号化されたサーバ名指示(SNI)値を含む暗号文を含み得る。
ステップ1130において、パケットフィルタリングデバイスは、平文ホスト名が暗号化されたホスト名(例えば、暗号化されたSNI(eSNI))から解読され得るかどうかを判定し得る。パケットフィルタリングデバイスは、図8Aおよび図8Bに関して上述した技法のうちの1つ以上を使用し得る。例えば、パケットフィルタリングデバイスは、複数のパケットに関連付けられた宛先ネットワークアドレス(例えば、IPアドレス)を判定し得る。パケットフィルタリングデバイスは、宛先ネットワークアドレスによってインデックス付けされたデータ構造に照会して、暗号化されたホスト名に関連付けられたまたは対応する平文ホスト名を判定し得る。照会に基づいて、パケットフィルタリングデバイスは、暗号化されたホスト名に関連付けられた平文ホスト名を含む応答を受信し得る。照会されたデータ構造は、上記で考察したように、eSNIドメイン名対応リスト(EDCL)であり得る。いくつかの実施例では、応答は、暗号化されたホスト名に対応し得る複数の平文ホスト名を含み得る。すなわち、宛先ネットワークアドレスに複数のホスト名が関連付けられ得る。パケットフィルタリングデバイスは、暗号化されたホスト名が、宛先ネットワークアドレスに関連付けられた複数のホスト名のうちの1つに対応することを示し得る。追加的に、暗号文に対応し得るドメイン名を有する宛先ネットワークアドレスにおいてホストされる他のドメイン名があり得る。ただし、これらのドメイン名は、これらのドメイン名がCTIデータベース内にないか、またはこれらのドメイン名がeSNIをサポートしないかのいずれかであるため、EDCL内にリストされない場合がある。
別の実施例では、パケットフィルタリングデバイスは、第1のデバイスからDNS照会要求を受信することができ、DNSから対応するDNS照会応答を受信することができる。DNS照会要求および/または応答は、複数のパケットを受信する前に受信され得る。DNS照会要求および/または応答は、データ構造に記憶され得る。複数のパケットを受信することに応答して、パケットフィルタリングデバイスは、データ構造に照会して、第1のデバイスから暗号化されたホスト名を有する複数のパケットを受信することに基づいて、平文ホスト名を判定し得る。この点に関して、パケットフィルタリングデバイスは、暗号化されたホスト名が、DNS照会の対象であった平文ホスト名に対応すると判定し得る。
いくつかの実施例では、パケットフィルタリングデバイスは、複数のパケットに関連付けられた宛先ネットワークアドレスを判定し得る。上記の実施例では、パケットフィルタリングデバイスは、データ構造に照会して、宛先ネットワークアドレスを使用して、暗号化されたホスト名に関連付けられた平文ホスト名を判定し得る。照会に応答して、パケットフィルタリングデバイスは、宛先ネットワークアドレスをデータ構造内に見つけることができなかったという応答を受信し得る。パケットフィルタリングデバイスは、第1のデバイスに応答を伝送し得る。応答は、平文ホスト名(例えば、暗号化されていないサーバ名指示(SNI))を有する複数のパケットの再伝送を要求し得る。パケットフィルタリングデバイスは、平文ホスト名(例えば、SNI)を有する複数のパケットの再伝送を受信し得る。
ステップ1140において、パケットフィルタリングデバイスは、平文ホスト名が1またはそれ以上の脅威インジケータとマッチするかどうかを判定し得る。判定は、以下のうちの少なくとも1つに基づき得る:暗号化されたサーバ名指示(eSNI)値から解読された平文ホスト名、宛先ネットワークアドレスに関連付けられた平文ホスト名、DNS照会など。上記で考察したように、1またはそれ以上の脅威インジケータに複数の平文ホスト名を関連付け得る。上記で考察したように、例えば、複数のドメインがネットワーク宛先アドレス上でホストされる場合、暗号化されたサーバ名指示(eSNI)値を含む暗号文から複数の平文ホスト名を判定し得る。この点に関して、パケットフィルタリングデバイスは、複数のホスト名の各々を1またはそれ以上の脅威インジケータと比較し得る。複数の平文ホスト名のうちの1つが1またはそれ以上の脅威インジケータに関連付けられている場合、パケットフィルタリングデバイスは、複数のパケットが1またはそれ以上の脅威インジケータに関連付けられていると判定し得る。平文ホスト名が1またはそれ以上の脅威インジケータのうちの少なくとも1つとマッチしない場合、パケットフィルタリングデバイスは、ステップ1150において、複数のパケットをこれらのパケットの宛先に向けて転送し得る。いくつかの実施例では、通信がこれらの通信の宛先に向かって進むことを許可することは、セキュアな通信チャネル(例えば、TLS)が第1のデバイスとホスト名との間に確立されることを可能にし得る。平文ホスト名が1またはそれ以上の脅威インジケータとマッチすると、パケットフィルタリングデバイスは、パケットフィルタリング動作を複数のパケットに適用し得る。パケットフィルタリング動作は、複数のパケットがその意図される宛先に向かって進み続けることを阻止することを含み得る。追加的もしくは代替的に、パケットフィルタリングデバイスは、複数のパケットのコピーを監視のために第1のプロキシシステムに転送しながら、複数のパケットがその意図される宛先に進み続けることを許可してもよい。追加的もしくは代替的に、パケットフィルタリングデバイスは、複数のパケットを更なる処理および/または分析のために第2のプロキシに転送してもよい。
いくつかの事例では、エンタープライズホストは、暗号化されたサーバ名指示(SNI)値を含む暗号文をサポートする宛先と通信するときに、暗号化されたホスト名を使用することを要求され得る。図12は、本明細書で説明される1またはそれ以上の実施例による、暗号化されたホスト名を使用するポリシーを施行するためのプロセス1200の一実施例を示す。プロセス1200のステップのいくつかまたは全ては、パケットセキュリティゲートウェイ120などの1またはそれ以上のコンピューティングデバイスを使用して実行され得る。
ステップ1210において、パケットフィルタリングデバイスは、図9に関して上述したように、1またはそれ以上のポリシーを受信し得る。パケットフィルタリングデバイスは、複数のパケットフィルタリングルールを用いて構成され得る。
ステップ1220において、パケットフィルタリングデバイスは、宛先に意図される第1の複数のパケットを第1のデバイスから受信し得る。第1の複数のパケットは、ClientHelloメッセージなどの通信またはメッセージに関連付けられ得る。第1の複数のパケットは、平文ホスト名を含み得る。
ステップ1230において、パケットフィルタリングデバイスは、宛先がeSNIをサポートするかどうかを判定し得る。例えば、パケットフィルタリングデバイスは、ドメイン名サービスに照会して、宛先のエントリが公開鍵を含むかどうかを判定し得る。エントリが公開鍵を含む場合、パケットフィルタリングデバイスは、宛先がeSNIをサポートすると判定し得る。追加的もしくは代替的に、パケットフィルタリングデバイスは、データ構造(例えば、テーブル、データベースなど)に照会して、宛先がeSNIをサポートするかどうかを判定してもよい。パケットフィルタリングデバイスは、宛先のエントリがデータ構造内に存在する場合、宛先がeSNIをサポートすると判定し得る。宛先がeSNIをサポートしない場合、パケットフィルタリングデバイスは、ステップ1235において、複数のパケットを宛先に転送し得る。複数のパケットは、第1のデバイスと宛先との間にセキュアな通信チャネル(例えば、TLS)を作成することに関連付けられた1またはそれ以上の通信文を含み得る。宛先がeSNIをサポートする場合、パケットフィルタリングデバイスは、ステップ1240において、第1のデバイスがeSNIを使用するという指示を含むメッセージを伝送し得る。
ステップ1250において、パケットフィルタリングデバイスは、宛先に意図される第2の複数のパケットを第1のデバイスから受信し得る。第2の複数のパケットは、暗号化されたサーバ名指示(SNI)値を含む暗号文(例えば、eSNI暗号文)を含み得る。いくつかの実施例では、パケットフィルタリングデバイスは、図11に関して上記で考察した分析を実行して、平文ホスト名と、平文ホスト名が1またはそれ以上の脅威インジケータに関連付けられているかどうかと、を判定し得る。ポリシー施行態様およびフィルタリング態様は、同時にまたは連続して実行され得る。いくつかの実施例では、パケットフィルタリングデバイスは、第1の複数のパケットからの平文ホスト名を記憶し、平文ホスト名を第2の複数のパケット内のeSNI暗号文と相関させ得る。上記に記載したように、宛先が1またはそれ以上の脅威インジケータに関連付けられていない場合、パケットフィルタリングデバイスは、ステップ1260において、第2の複数のパケットを宛先に向けて転送し得る。追加的もしくは代替的に、第2の複数のパケットは、第2の複数のパケットが暗号化されたSNI(例えば、eSNI暗号文)を含むという判定に応答して転送されてもよい。第2の複数のパケットは、第1のデバイスと宛先との間にセキュアな通信チャネル(例えば、TLS)を作成することに関連付けられた1またはそれ以上の通信文を含み得る。
パケットフィルタリングデバイスは、エンタープライズポリシー(例えば、データ保持ポリシー、規制準拠ポリシーなど)、法執行ポリシー、またはプライバシー、保護、および保存(P3)ポリシーなどのポリシーに従って、1またはそれ以上のパケットを記憶し得る。図13は、パケットを記憶するためのプロセス1300の一実施例を示す。プロセス1300のステップのいくつかまたは全ては、パケットセキュリティゲートウェイ120などの1またはそれ以上のコンピューティングデバイスを使用して実行され得る。
ステップ1310において、パケットフィルタリングデバイスは、1またはそれ以上のポリシーを受信し得る。パケットフィルタリングデバイスは、複数のパケットフィルタリングルールを用いて構成され得る。1またはそれ以上のポリシーは、エンタープライズ通信ポリシー、プライバシー、保護、および保存ポリシー、法執行ポリシー、またはその均等物を含み得る。ステップ1320において、パケットフィルタリングデバイスは、複数の暗号化されたパケットを受信し得る。複数の暗号化されたパケットは、暗号化されたホスト名(例えば、eSNI暗号文)を含み得る。上記に記載したように、パケットフィルタリングデバイスは、図11に関して上記で考察した分析を実行して、平文ホスト名と、平文ホスト名が1またはそれ以上の脅威インジケータに関連付けられているかどうかと、を判定し得る。
ステップ1330において、パケットフィルタリングデバイスは、複数の暗号化されたパケットを復号化して、複数のクリアテキストパケットを取得し得る。パケットフィルタリングデバイスは、複数の暗号化されたパケットを、(透過的な)介在TLS中間者(MITM)プロキシ機能に転送し得る。MITMプロキシ機能は、TLSによってセキュリティ保護されたアプリケーションセッションを復号化し、セッションを平文で検査し、セッションを再暗号化し、TLSによってセキュリティ保護されたセッションをこのセッションの宛先に転送し得る。ステップ1340において、パケットフィルタリングデバイス(例えば、MITMプロキシ機能)は、クリアテキストパケットを検査(例えば、調査)し得る。いくつかの実施例では、パケットフィルタリングデバイスは、セッションの内容におけるeSNI暗号文に対応する平文ドメイン名を抽出し得る。いくつかの事例では、パケットフィルタリングデバイスは、抽出された平文ドメイン名を使用して、図11に関して上記で考察した分析を実行し得る。
ステップ1350において、パケットフィルタリングデバイスは、複数のパケットが捕捉および記憶されることを許可するかどうかを判定し得る。判定は、エンタープライズ通信ポリシー、プライバシー、保護、および保存ポリシー、法執行ポリシー、またはその均等物などのポリシーに基づき得る。この点に関して、エンタープライズ通信ポリシーは、規制方式(すなわち、HIPAA、Sarbanes-Oxleyなど)に準拠するために通信のロギングおよび/またはアーカイブを必要とし得る。別の実施例では、法執行ポリシーは、法執行が通信を記憶する権限を有しているかどうかに基づき得る。複数のパケットを記憶する根拠が存在する場合、パケットフィルタリングデバイスは、ステップ1360において、複数の復号化されたパケットのコピーを記憶し得る。復号化されたパケットが記憶された後、プロセス1300は、ステップ1370に進み得る。複数の復号化されたパケットが記憶されることを許可されない場合、または復号化されたパケットを記憶した後、パケットフィルタリングデバイスは、複数の暗号化されたパケットをその宛先に転送し得る。上記に記載したように、複数の暗号化されたパケットは、第1のデバイスと宛先との間のセキュアな通信チャネル(例えば、TLS)を可能にし得る。
本明細書で説明される技法は、パケットフィルタリングデバイスが、暗号化されたホスト名から平文のホスト名を解読することを可能にする。平文ホスト名を使用して、ネットワークトラフィックが本質的に悪意のあるものであるかどうかを判定し得る。これにより、パケットフィルタリングデバイスは、マルウェアが、悪意のあるホストと通信しようとするときに、セキュアな通信チャネルを使用してパケットフィルタリングデバイスをバイパスすることを防止することが可能になる。さらに、本明細書で説明される技法は、パケットフィルタリングデバイスが、既知の脅威について暗号化されたネットワークトラフィックを監視することを可能にする。これにより、改善されたネットワーク監視が提供され、マルウェアの拡散が低減される。追加的に、宛先によってサポートされるときにeSNIを施行することは、悪意のある盗取などによるプライバシー侵害の脅威を低減する。さらに、本明細書で説明される技法は、通信をプライバシー法および/または規制に準拠させ得る。最後に、本明細書で説明される技法は、法執行を、暗号化されたネットワークトラフィックの法執行の監視において支援し得る。
本明細書で考察される1またはそれ以上の特徴は、本明細書で説明される1またはそれ以上のコンピュータまたは他のデバイスによって実行される、1またはそれ以上のプログラムモジュールなどの、コンピュータ使用可能若しくは読み取り可能データおよび/またはコンピュータ実行可能命令において具現化され得る。プログラムモジュールは、コンピュータまたは他のデバイス内のプロセッサにより実行されたときに、特定のタスクを実行するかまたは特定の抽象データ型を実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含み得る。モジュールは、実行するために後でコンパイルされるソースコードプログラミング言語で記述され得るか、またはHTMLまたはXMLなどの(これらには限定されない)スクリプト言語で記述され得る。コンピュータ実行可能命令は、ハードディスク、光ディスク、リムーバブル記憶媒体、ソリッドステートメモリ、RAMなどのような、コンピュータ可読媒体に記憶され得る。プログラムモジュールの機能性は、必要に応じて組み合わされてもよく、または分散されてもよい。加えて、機能性は、全体的または部分的に、ファームウェア、または集積回路、フィールドプログラマブルゲートアレイ(field programmable gate array、FPGA)などのようなハードウェア均等物において具現化されてもよい。特定のデータ構造を使用して、本明細書で考察される1またはそれ以上の特徴をより効果的に実装することができ、そのようなデータ構造は、本明細書で説明されるコンピュータ実行可能命令およびコンピュータ使用可能データの範囲に収まると企図される。本明細書で説明される様々な特徴は、方法、コンピューティングデバイス、システム、および/またはコンピュータプログラム製品として具現化され得る。
本開示は様々な実施例に関して説明されてきたが、多くの追加の修正および変形が当業者には明らかであろう。特に、上述した様々なプロセスのいずれかが、特定のアプリケーションの要件に対してより適切である方法で同様の結果を達成するために、代替的な順序で、および/または並行して(異なるコンピューティングデバイス上で)実行されてもよい。したがって、本開示は、本開示の範囲および趣旨から逸脱することなく、具体的に説明されたものとは別様に実施されてもよいことを理解されたい。いくつかの例が上述されているが、それらの例の特徴および/またはステップは、任意の所望の様態で結合、分割、省略、再配置、改変、および/または増強され得る。したがって、本開示は、あらゆる点で例示的なものであり、限定的なものではないとみなされるべきである。したがって、本開示の範囲は、実施例によってではなく、添付の特許請求の範囲およびそれらの均等物によって決定されるべきである。

Claims (68)

  1. 方法であって、
    パケットフィルタリングデバイスによって、インテリジェンスプロバイダから、1またはそれ以上の脅威インジケータを受信することであって、前記1またはそれ以上の脅威インジケータが、1またはそれ以上の脅威に関連付けられた複数のドメイン名を含む、受信することと、
    前記1またはそれ以上の脅威インジケータの各々に関連付けられた複数のパケットフィルタリングルールを判定することであって、前記1またはそれ以上の脅威インジケータが、前記複数のパケットフィルタリングルールのマッチング基準を含む、判定することと、
    第1のデバイスから、複数のパケットを受信することであって、前記複数のパケットが、暗号化されたサーバ名指示(eSNIという)値を含む暗号文を含む、受信することと、
    前記暗号文から平文ホスト名が解読可能であるかどうかを判定することと、
    前記暗号文から前記平文ホスト名が解読可能であるという判定に基づいて、前記平文ホスト名が前記1またはそれ以上の脅威インジケータのうちの少なくとも1つにマッチするかどうかを判定することと、
    前記平文ホスト名が前記1またはそれ以上の脅威インジケータのうちの少なくとも1つにマッチするという判定に基づいて、前記複数のパケットフィルタリングルールのうちの1つ以上に関連付けられたパケットフィルタリング動作を前記複数のパケットに適用することとを含む方法であって、
    前記パケットフィルタリング動作が、前記パケットフィルタリング動作が、 前記複数のパケットがその意図される宛先に向かって進み続けることを阻止すること、前記複数のパケットがその意図される宛先まで進み続けることを許可しかつ前記複数のパケットのコピーを監視のために第1のプロキシに転送すること、または前記複数のパケットを第2のプロキシに転送すること、のうちの少なくとも1つを含む、方法。
  2. 前記パケットフィルタリング動作が、前記複数のパケットがその意図される宛先に向かって進み続けることを阻止することを含み、前記方法が、
    前記第1のデバイスに、前記複数のパケットに対する応答を送信することであって、前記応答が、TCP RSTメッセージ、またはTLSハンドシェイクプロキシメッセージ、のうちの少なくとも1つを含む、送信することをさらに含む、請求項1に記載の方法。
  3. 前記パケットフィルタリングデバイスが、保護されたネットワークと保護されていないネットワークとの間をインターフェースするバウンダリに存在する、請求項1または請求項2に記載の方法。
  4. 前記暗号文から前記平文ホスト名が解読可能であるかどうかを判定することが、
    前記複数のパケットに関連付けられた宛先ネットワークアドレスを判定することと、
    前記宛先ネットワークアドレスを使用して、前記暗号文に関連付けられた前記平文ホスト名を判定するためにデータ構造に照会することと、
    前記データ構造に前記照会することに基づいて、前記暗号文に関連付けられた前記平文ホスト名を含む応答を受信することと、をさらに含む、請求項1~請求項3のいずれか1項に記載の方法。
  5. 前記データ構造が、eSNIドメイン名対応リスト(EDCLという)を含む、請求項4に記載の方法。
  6. 前記暗号文から前記平文ホスト名が解読可能であるかどうかを判定することが、
    前記複数のパケットに関連付けられた宛先ネットワークアドレスを判定することと、
    前記宛先ネットワークアドレスを使用して、前記暗号文に関連付けられた前記平文ホスト名を判定するためにデータ構造に照会することと、
    前記データ構造に前記照会することに基づいて、前記宛先ネットワークアドレスに関連付けられた複数のホスト名を含む応答を受信することであって、前記複数のホスト名が、前記平文ホスト名を含む、受信することと、をさらに含む、請求項1~請求項5のいずれか1項に記載の方法。
  7. 前記暗号文から前記平文ホスト名が解読可能であるかどうかを判定することが、
    前記パケットフィルタリングデバイスによって、かつ前記複数のパケットを受信する前に、DNS照会要求および関連付けられたDNS照会応答を受信することと、
    DNS照会をデータ構造に記憶することと、
    前記第1のデバイスから前記暗号文を有する前記複数のパケットを受信することに基づいて、前記平文ホスト名を判定するために前記データ構造に照会することと、をさらに含む、請求項1~請求項6のいずれか1項に記載の方法。
  8. 前記暗号文から前記平文ホスト名が解読可能であるかどうかを判定することが、
    前記複数のパケットに関連付けられた宛先ネットワークアドレスを判定することと、
    前記宛先ネットワークアドレスを使用して、前記暗号文に関連付けられた前記平文ホスト名を判定するためにデータ構造に照会することと、
    前記データ構造に前記照会することに基づいて、前記宛先ネットワークアドレスを前記データ構造内に見つけることができなかったという応答を受信することと、
    前記複数のパケットを送信した第1のデバイスに、平文サーバ名指示(平文SNIという)を有する前記複数のパケットの再伝送を示す応答を伝送することと、
    前記パケットフィルタリングデバイスによって、前記平文SNIを有する前記複数のパケットの前記再伝送を受信することと、をさらに含む、請求項1~請求項7のいずれか1項に記載の方法。
  9. 前記パケットフィルタリングデバイスによって、第2の複数のパケットを受信することであって、前記第2の複数のパケットが、第2のeSNI値を含む第2の暗号文を含む、受信することと、
    前記暗号文から平文ホスト名が解読可能であるかどうかを判定することと、
    前記暗号文から前記平文ホスト名が解読可能であるという判定に基づいて、前記平文ホスト名が前記1またはそれ以上の脅威インジケータのうちの少なくとも1つにマッチするかどうかを判定することと、
    前記平文ホスト名が前記1またはそれ以上の脅威インジケータのうちの少なくとも1つにマッチしないという判定に基づいて、前記第2の複数のパケットがその意図される宛先に向かって進み続けることを許可することと、を含む、請求項1~請求項8のいずれか1項に記載の方法。
  10. 前記第2の複数のパケットが、前記意図される宛先と第1のデバイスとの間にセキュアな通信チャネルを作成することに関連付けられた1またはそれ以上の通信文を含む、請求項9に記載の方法。
  11. パケットフィルタリングデバイスであって、
    1またはそれ以上のプロセッサと、
    前記1またはそれ以上のプロセッサによって実行されると、請求項1~請求項10のいずれか1項に記載の方法を前記パケットフィルタリングデバイスに実施させる命令を記憶するメモリと、を備える、パケットフィルタリングデバイス。
  12. 実行されると、請求項1~請求項10のいずれか1項に記載の方法をパケットフィルタリングデバイスに実施させる命令を含む、非一時的コンピュータ可読媒体。
  13. 方法であって、
    パケットフィルタリングデバイスによって、第1のデバイスから、宛先に意図される第1の複数のパケットを受信することであって、前記第1の複数のパケットが、平文ホスト名を含む、受信することと、
    前記宛先が、暗号化されたサーバ名指示(eSNIという)値を含む暗号文をサポートするかどうかを判定することと、
    前記第1のデバイスに、前記宛先がeSNI値を使用する暗号文をサポートするという判定に基づいて、前記第1のデバイスが前記第1の複数のパケットを暗号化するという指示を含むメッセージを伝送することと、
    前記パケットフィルタリングデバイスによって、前記第1のデバイスから、前記宛先に意図される第2の複数のパケットを受信することであって、前記第2の複数のパケットが、前記eSNI値を含む暗号文を含む、受信することと、
    前記パケットフィルタリングデバイスによって、前記第2の複数のパケットが前記eSNI値を含む暗号文を含むという判定に基づいて、前記第2の複数のパケットを前記宛先に向けて転送することと、を含む、方法。
  14. 前記第2の複数のパケットが、前記第1のデバイスと前記宛先との間にセキュアな通信チャネルを作成することに関連付けられた1またはそれ以上の通信文を含む、請求項13に記載の方法。
  15. 前記宛先がeSNI値を含む暗号文をサポートするかどうかを判定することが、
    前記パケットフィルタリングデバイスによって、ドメイン名サービスに照会して、前記宛先のエントリが公開鍵を含むかどうかを判定することと、
    前記宛先の前記エントリが公開鍵を含む場合に、前記宛先が前記eSNI値を含む暗号文をサポートすると判定することと、をさらに含む、請求項13または請求項14に記載の方法。
  16. 前記宛先が前記eSNI値を含む暗号文をサポートするかどうかを判定することが、
    前記パケットフィルタリングデバイスによって、前記宛先が前記eSNI値を含む暗号文をサポートするかどうかを判定するためにデータ構造に照会することと、
    前記宛先のエントリが前記データ構造内に存在する場合に、前記宛先が前記eSNI値を含む暗号文をサポートすると判定することと、をさらに含む、請求項13~請求項15のいずれか1項に記載の方法。
  17. 前記第1のデバイスが暗号文を使用するという指示を含む前記メッセージを伝送することが、
    宛先が前記eSNI値を含む暗号文をサポートするときはいつでも暗号文が使用されることとなることをポリシーが示すと判定することをさらに含む、請求項13~請求項16のいずれか1項に記載の方法。
  18. 前記パケットフィルタリングデバイスによって、前記第1のデバイスから、第2の宛先に意図される第3の複数のパケットを受信することであって、前記第3の複数のパケットが、第2の平文ホスト名を含む、受信することと、
    前記第2の宛先がeSNI値を含む暗号文をサポートするかどうかを判定することと、
    前記第2の宛先が前記eSNI値を含む暗号文をサポートしないという判定に基づいて、前記第3の複数のパケットを前記第2の宛先に向けて転送することと、を含む、請求項13~請求項17のいずれか1項に記載の方法。
  19. 前記第3の複数のパケットが、前記第1のデバイスと前記第2の宛先との間にセキュアな通信チャネルを作成することに関連付けられた1またはそれ以上の通信文を含む、請求項18に記載の方法。
  20. パケットフィルタリングデバイスであって、
    1またはそれ以上のプロセッサと、
    前記1またはそれ以上のプロセッサによって実行されると、請求項11~請求項19のいずれか1項に記載の方法を前記パケットフィルタリングデバイスに実施させる命令を記憶するメモリと、を備える、パケットフィルタリングデバイス。
  21. 実行されると、請求項11~請求項19のいずれか1項に記載の方法をパケットフィルタリングデバイスに実施させる命令を含む、非一時的コンピュータ可読媒体。
  22. 方法であって、
    複数のパケットフィルタリングルールを用いて構成されたパケットフィルタリングデバイスによって、1またはそれ以上のポリシーを受信することと、
    前記パケットフィルタリングデバイスによって、複数の暗号化されたパケットを受信することであって、前記複数の暗号化されたパケットが、暗号化されたサーバ名指示(eSNIという)値を含む暗号文を含む、受信することと、
    前記複数の暗号化されたパケットを復号化して、複数のクリアテキストパケットを取得することと、
    前記複数のクリアテキストパケットを検査することと、
    前記パケットフィルタリングデバイスが前記複数のクリアテキストパケットを捕捉および記憶することを許可されているかどうかを判定することと、
    前記パケットフィルタリングデバイスが前記複数のクリアテキストパケットを捕捉および記憶することを許可されているという判定に基づいて、前記複数のクリアテキストパケットのコピーを記憶することと、
    前記複数のクリアテキストパケットの検査に基づいて、前記複数のパケットフィルタリングルールのうちの1つ以上に関連付けられたパケットフィルタリング動作を前記複数の暗号化されたパケットに適用することと、を含む、方法。
  23. 前記パケットフィルタリング動作が、
    前記複数の暗号化されたパケットがその意図される宛先に向かって進み続けることを阻止すること、
    前記複数の暗号化されたパケットがその意図される宛先まで進み続けることを許可し、かつ前記複数のクリアテキストパケットのコピーを記憶すること、または、
    前記複数のクリアテキストパケットのコピーを記憶することなく、前記複数の暗号化されたパケットがその意図される宛先まで進み続けることを許可すること、のうちの少なくとも1つを含む、請求項22に記載の方法。
  24. 前記1またはそれ以上のポリシーが、
    エンタープライズ通信ポリシー、
    プライバシー、保護、および保存ポリシー、または、
    法執行ポリシー、のうちの少なくとも1つを含む、請求項22または請求項23に記載の方法。
  25. パケットフィルタリングデバイスであって、
    1またはそれ以上のプロセッサと、
    前記1またはそれ以上のプロセッサによって実行されると、請求項22~請求項24のいずれか1項に記載の方法を前記パケットフィルタリングデバイスに実施させる命令を記憶するメモリと、を備える、パケットフィルタリングデバイス。
  26. 実行されると、請求項22~請求項24のいずれか1項に記載の方法をパケットフィルタリングデバイスに実施させる命令を含む、非一時的コンピュータ可読媒体。
  27. 方法であって、
    パケットフィルタリングデバイスによって、前記パケットフィルタリングデバイスによって保護されるネットワークの外部のサーバから、セキュリティポリシーを受信することであって、前記セキュリティポリシーが、1またはそれ以上のインテリジェンスプロバイダから受信された1またはそれ以上のインジケータに基づいて作成または改変される複数のパケットフィルタリングルールを含む、受信することと、
    第1のデバイスから、複数のパケットを受信することであって、前記複数のパケットが、暗号化されたサーバ名指示(eSNIという)値を含む暗号文を含む、受信することと、
    前記複数のパケットが前記eSNI値を含むという判定に基づいて、前記複数のパケットに関連付けられた宛先ネットワークアドレスを判定することと、
    前記eSNI値に対応する平文ホスト名を判定するために、前記宛先ネットワークアドレスを使用して、データ構造に照会することであって、前記データ構造が、1またはそれ以上のホスト名および対応するネットワークアドレスを含む、照会することと、
    前記データ構造に前記照会することに基づいて、前記eSNI値に対応する前記平文ホスト名を示す応答を受信することであって、前記平文ホスト名が前記宛先ネットワークアドレスに関連付けられていることに基づいて、前記平文ホスト名が、前記eSNI値に対応すると判定される、受信することと、
    前記平文ホスト名が前記1またはそれ以上のインジケータのうちの少なくとも1つに対応するかどうかを判定することと、
    前記複数のパケットに、前記平文ホスト名が前記1またはそれ以上のインジケータのうちの少なくとも1つに対応するという判定に基づいて、前記1またはそれ以上のインジケータのうちの前記少なくとも1つに対応する前記複数のパケットフィルタリングルールのうちの1つ以上によって指定されたパケットフィルタリング動作を適用することと、を含む、方法。
  28. 前記1またはそれ以上のインテリジェンスプロバイダのうちの少なくとも2つが、異なる組織によって管理される、請求項27に記載の方法。
  29. 前記パケットフィルタリングデバイスによって保護される前記ネットワークの外部の前記サーバが、セキュリティポリシー管理サーバを含む、請求項27または請求項28に記載の方法。
  30. 前記パケットフィルタリング動作が、
    前記複数のパケットがその意図される宛先に向かって進み続けることを阻止すること、
    前記複数のパケットがその意図される宛先に進み続けることを許可し、かつ前記複数のパケットのコピーを監視のために第1のプロキシに転送すること、または、
    前記複数のパケットを第2のプロキシに転送すること、のうちの少なくとも1つを含む、請求項27~請求項29のいずれか1項に記載の方法。
  31. 前記暗号文が、ClientHelloメッセージを含む、請求項27~請求項30のいずれか1項に記載の方法。
  32. 前記1またはそれ以上のインテリジェンスプロバイダが、
    サイバー脅威インテリジェンスプロバイダであって、前記サイバー脅威インテリジェンスプロバイダによって提供される前記1またはそれ以上のインジケータが1またはそれ以上の脅威インジケータを含む、サイバー脅威インテリジェンスプロバイダ、
    法執行インテリジェンスプロバイダであって、前記法執行インテリジェンスプロバイダによって提供される前記1またはそれ以上のインジケータが1またはそれ以上のネットワークインジケータを含む、法執行インテリジェンスプロバイダ、または、
    プライバシー、保護、および保存インテリジェンスプロバイダであって、前記プライバシー、保護、および保存インテリジェンスプロバイダによって提供される前記1またはそれ以上のインジケータが、1またはそれ以上のネットワークインジケータを含む、プライバシー、保護、および保存インテリジェンスプロバイダ、のうちの少なくとも1つを含む、請求項27~請求項31のいずれか1項に記載の方法。
  33. 前記パケットフィルタリングデバイスによって保護されるネットワークの外部のサーバから、前記データ構造を受信することをさらに含む、請求項27~請求項32のいずれか1項に記載の方法。
  34. 前記データ構造が、eSNIドメイン名対応リスト(EDCLという)を含む、請求項27~請求項33のいずれか1項に記載の方法。
  35. 前記パケットフィルタリング動作が、前記複数のパケットがその意図される宛先に向かって進み続けることを阻止することを含み、前記方法が、
    前記第1のデバイスに、前記複数のパケットに対する1またはそれ以上の応答を送信することであって、前記1またはそれ以上の応答が、TCP RSTメッセージ、またはTLSハンドシェイクメッセージ、のうちの少なくとも1つを含む、送信することをさらに含む、請求項27~請求項34のいずれか1項に記載の方法。
  36. 前記パケットフィルタリングデバイスが、保護されたネットワークと保護されていないネットワークとの間のバウンダリに存在し、
    前記パケットフィルタリングデバイスが、前記保護されたネットワークと前記保護されていないネットワークとの間をインターフェースする、請求項27~請求項35のいずれか1項に記載の方法。
  37. パケットフィルタリングデバイスであって、
    1またはそれ以上のプロセッサと、
    前記1またはそれ以上のプロセッサによって実行されると、請求項27~請求項36のいずれか1項に記載の方法を前記パケットフィルタリングデバイスに実施させる命令を記憶するメモリと、を備える、パケットフィルタリングデバイス。
  38. 実行されると、請求項27~請求項36のいずれか1項に記載の方法をパケットフィルタリングデバイスに実施させる命令を含む、非一時的コンピュータ可読媒体。
  39. 方法であって、
    パケットフィルタリングデバイスによって、前記パケットフィルタリングデバイスによって保護されるネットワークの外部のサーバから、セキュリティポリシーを受信することであって、前記セキュリティポリシーが、1またはそれ以上のインテリジェンスプロバイダから受信された1またはそれ以上のインジケータに基づく複数のパケットフィルタリングルールを含む、受信することと、
    第1のデバイスから、複数のパケットを受信することであって、前記複数のパケットが、セキュアな通信チャネルを確立するための第1のメッセージおよび暗号化されたサーバ名指示(eSNIという)値を含む、受信することと、
    前記複数のパケットが前記eSNI値を含むという判定に基づいて、前記複数のパケットに関連付けられた宛先ネットワークアドレスを判定することと、
    前記eSNI値に対応する平文ホスト名を判定するために、前記宛先ネットワークアドレスを使用して、データ構造に照会することであって、前記データ構造が、1またはそれ以上のホスト名および対応するネットワークアドレスを含む、照会することと、
    前記データ構造に前記照会することに基づいて、前記宛先ネットワークアドレスに関連付けられた複数の平文ホスト名を示す応答を受信することと、
    前記第1のデバイスに関連付けられた1またはそれ以上の以前のドメイン名サービス(DNS)照会を示すレコードに基づいて、前記複数の平文ホスト名のうちの第1の平文ホスト名を判定することと、
    前記第1の平文ホスト名が前記1またはそれ以上のインジケータのうちの少なくとも1つに対応するかどうかを判定することと、
    前記複数のパケットに、前記平文ホスト名が前記1またはそれ以上のインジケータのうちの少なくとも1つに対応するという判定に基づいて、前記1またはそれ以上のインジケータのうちの前記少なくとも1つに対応する前記複数のパケットフィルタリングルールのうちの1つ以上によって指定されたパケットフィルタリング動作を適用することと、を含む、方法。
  40. 前記第1の平文ホスト名を解読するために、前記1またはそれ以上のDNS照会を受信することと、
    前記1またはそれ以上のDNS照会に関連付けられたレコードを第2のデータ構造内に作成することであって、前記レコードが、前記第1の平文ホスト名と、前記第1の平文ホスト名によって解読されたインターネットプロトコルアドレス(IPアドレスという)と、を含む、作成することと、をさらに含む、請求項39に記載の方法。
  41. 前記第1の平文ホスト名を前記判定することが、
    前記第1のデバイスからの1またはそれ以上の以前のDNS照会を示す前記レコードを判定するために、前記第2のデータ構造に照会することと、
    前記第2のデータ構造に前記照会することに基づいて、前記第1の平文ホスト名と、前記第1の平文ホスト名によって解読された前記IPアドレスと、を含む前記レコードを受信することであって、前記第1の平文ホスト名が、前記第1の平文ホスト名が解読した前記IPアドレスに対応する宛ネットワークアドレスに基づいて、前記eSNI値に対応すると判定される、受信することと、をさらに含む、請求項40に記載の方法。
  42. 前記第1の平文ホスト名が前記eSNI値に対応すると判定することが、前記1またはそれ以上のDNS照会の記録と、前記複数のパケットの受信との間の時間相関にさらに基づく、請求項41に記載の方法。
  43. 前記第1のメッセージが、暗号化されたClientHelloメッセージを含む、請求項39~請求項42のいずれか1項に記載の方法。
  44. 前記1またはそれ以上のインテリジェンスプロバイダのうちの少なくとも2つが、異なる組織によって管理される、請求項39~請求項43のいずれか1項に記載の方法。
  45. 前記1またはそれ以上のインテリジェンスプロバイダが、
    サイバー脅威インテリジェンスプロバイダであって、前記サイバー脅威インテリジェンスプロバイダによって提供される前記1またはそれ以上のインジケータが1またはそれ以上の脅威インジケータを含む、サイバー脅威インテリジェンスプロバイダ、
    法執行インテリジェンスプロバイダであって、前記法執行インテリジェンスプロバイダによって提供される前記1またはそれ以上のインジケータが1またはそれ以上のネットワークインジケータを含む、法執行インテリジェンスプロバイダ、または、
    プライバシー、保護、および保存インテリジェンスプロバイダであって、前記プライバシー、保護、および保存インテリジェンスプロバイダによって提供される前記1またはそれ以上のインジケータが、1またはそれ以上のネットワークインジケータを含む、プライバシー、保護、および保存インテリジェンスプロバイダ、のうちの少なくとも1つを含む、請求項39~請求項44のいずれか1項に記載の方法。
  46. 前記パケットフィルタリングデバイスによって保護されるネットワークの外部のサーバから、前記データ構造を受信することをさらに含む、請求項39~請求項45のいずれか1項に記載の方法。
  47. 前記パケットフィルタリングデバイスが、保護されたネットワークと保護されていないネットワークとの間のバウンダリに存在し、
    前記パケットフィルタリングデバイスが、前記保護されたネットワークと前記保護されていないネットワークとの間をインターフェースする、請求項39~請求項46のいずれか1項に記載の方法。
  48. パケットフィルタリングデバイスであって、
    1またはそれ以上のプロセッサと、
    前記1またはそれ以上のプロセッサによって実行されると、請求項39~請求項47のいずれか1項に記載の方法を前記パケットフィルタリングデバイスに実施させる命令を記憶するメモリと、を備える、パケットフィルタリングデバイス。
  49. 実行されると、請求項39~請求項47のいずれか1項に記載の方法をパケットフィルタリングデバイスに実施させる命令を含む、非一時的コンピュータ可読媒体。
  50. 方法であって、
    パケットフィルタリングデバイスによって、第1の宛先とのセキュアな通信チャネルを確立することに関連付けられた第1の複数のパケットを受信することであって、前記第1の複数のパケットが、平文サーバ名指示(平文SNIという)値を含む、受信することと、
    前記パケットフィルタリングデバイスによって、前記平文SNI値を含む前記第1の複数のパケットについて、前記第1の宛先が暗号化されたサーバ名指示(eSNIという)をサポートしているという判定に基づいて、前記第1の複数のパケットを阻止することと、
    前記パケットフィルタリングデバイスによって、第2の宛先とのセキュアな通信チャネルを確立することに関連付けられた第2の複数のパケットを受信することであって、前記第2の複数のパケットが、eSNI値を含む、受信することと、
    前記パケットフィルタリングデバイスによって、前記第2の複数のパケットがeSNI値を含み、かつ前記第2の宛先がeSNIをサポートしているという判定に基づいて、前記第2の複数のパケットを前記第2の宛先に転送することと、を含む、方法。
  51. 前記第1の宛先との前記セキュアな通信チャネルを確立することに関連付けられた前記第1の複数のパケットが、ClientHelloメッセージ、または1またはそれ以上のハンドシェイクメッセージのうちの少なくとも1つを含む、請求項50に記載の方法。
  52. 前記第2の宛先との前記セキュアな通信チャネルを確立することに関連付けられた前記第2の複数のパケットが、ClientHelloメッセージ、または1またはそれ以上のハンドシェイクメッセージのうちの少なくとも1つを含む、請求項50または請求項51に記載の方法。
  53. 前記第2の複数のパケットを前記第2の宛先に転送することが、前記eSNI値が脅威インジケータに対応しないという判定にさらに基づく、請求項50~請求項52のいずれか1項に記載の方法。
  54. 前記パケットフィルタリングデバイスによって、前記eSNI値が平文ホスト名に解読されることが可能であるかどうかを判定することと、
    前記パケットフィルタリングデバイスによって、かつ前記eSNI値が前記平文ホスト名に解読されることが可能であるという判定に基づいて、前記平文ホスト名を1またはそれ以上の脅威インジケータと比較することであって、前記第2の複数のパケットを前記第2の宛先に転送することが、前記eSNI値が1またはそれ以上の脅威インジケータに対応しないという判定にさらに基づく、比較することと、をさらに含む、請求項50~請求項53のいずれか1項に記載の方法。
  55. 前記パケットフィルタリングデバイスによって、かつ前記第1の宛先がeSNI値を含む暗号文をサポートするかどうかを判定することと、
    前記パケットフィルタリングデバイスによって、第1のデバイスに、前記第1の宛先がeSNI値を含む暗号文をサポートするという判定に基づいて、前記第1の宛先とのセキュアな通信チャネルを確立するための1またはそれ以上の通信文を暗号化するための指示を送信することと、
    前記パケットフィルタリングデバイスによって、前記第1のデバイスから、前記第1の宛先に意図される第3の複数のパケットを受信することであって、前記第3の複数のパケットが、第2のeSNI値を含む暗号文を含む、受信することと、
    前記パケットフィルタリングデバイスによって、前記第3の複数のパケットを前記第1の宛先に向けて転送することと、をさらに含む、請求項50~請求項54のいずれか1項に記載の方法。
  56. 前記第1の宛先がeSNI値を含む暗号文をサポートするかどうかを判定することが、
    前記パケットフィルタリングデバイスによって、ドメイン名サービスに照会して、前記第1の宛先のエントリが公開鍵を含むかどうかを判定することと、
    前記第1の宛先の前記エントリが公開鍵を含む場合に、前記第1の宛先がeSNI値を含む暗号文をサポートすると判定することと、をさらに含む、請求項55に記載の方法。
  57. 前記第1の宛先がeSNI値を含む暗号文をサポートするかどうかを判定することが、
    前記パケットフィルタリングデバイスによって、前記第1の宛先がeSNI値を含む暗号文をサポートするかどうかを判定するためにデータ構造に照会することと、
    前記第1の宛先のエントリが前記データ構造内に存在する場合に、前記第1の宛先がeSNI値を含む暗号文をサポートすると判定することと、をさらに含む、請求項55に記載の方法。
  58. パケットフィルタリングデバイスであって、
    1またはそれ以上のプロセッサと、
    前記1またはそれ以上のプロセッサによって実行されると、請求項50~請求項57のいずれか1項に記載の方法を前記パケットフィルタリングデバイスに実施させる命令を記憶するメモリと、を備える、パケットフィルタリングデバイス。
  59. 実行されると、請求項50~請求項57のいずれか1項に記載の方法をパケットフィルタリングデバイスに実施させる命令を含む、非一時的コンピュータ可読媒体。
  60. 方法であって、
    パケットフィルタリングデバイスによって、第1のデバイスから、第1の宛先との第1のセキュアな通信チャネルを確立することに関連付けられた第1の複数のパケットを受信することであって、前記第1の複数のパケットが、平文サーバ名指示(平文SNIという)値を含む、受信することと、
    前記パケットフィルタリングデバイスによって、前記第1の宛先が、暗号化されたサーバ名指示(eSNIという)値を含む暗号文をサポートするかどうかを判定することと、
    前記パケットフィルタリングデバイスによって、前記第1の宛先がeSNIをサポートするという判定に基づいて前記第1の複数のパケットを阻止することと、
    前記パケットフィルタリングデバイスによって、前記第1の複数のパケットが平文SNI値を含むことに基づいて、かつ前記第1の宛先がeSNIをサポートするという判定に基づいて、前記第1の宛先とのセキュアな通信チャネルを確立するための1またはそれ以上の通信文を暗号化するための指示を送信することと、
    前記パケットフィルタリングデバイスによって、前記第1のデバイスから、前記第1の宛先との第2のセキュアな通信チャネルを確立することに関連付けられた第2の複数のパケットを受信することであって、前記第2の複数のパケットが、第1のeSNI値を含む暗号文を含む、受信することと、
    前記パケットフィルタリングデバイスによって、前記第2の複数のパケットが前記第1のeSNI値を含むことに基づいて、かつ前記第1の宛先がeSNIをサポートするという判定に基づいて、前記第2の複数のパケットを前記第1の宛先に向けて転送することと、を含む、方法。
  61. 前記第1の宛先との前記第1のセキュアな通信チャネルを確立することに関連付けられた前記第1の複数のパケットが、ClientHelloメッセージ、または1またはそれ以上のハンドシェイクメッセージのうちの少なくとも1つを含む、請求項60に記載の方法。
  62. 前記第1の宛先との前記第2のセキュアな通信チャネルを確立することに関連付けられた前記第2の複数のパケットが、ClientHelloメッセージ、または1またはそれ以上のハンドシェイクメッセージのうちの少なくとも1つを含む、請求項60または請求項61に記載の方法。
  63. 前記第2の複数のパケットを第2の宛先に転送することが、前記第1のeSNI値が脅威インジケータに対応しないという判定にさらに基づく、請求項60~請求項62のいずれか1項に記載の方法。
  64. 前記パケットフィルタリングデバイスによって、前記第1のeSNI値が平文ホスト名に解読されることが可能であるかどうかを判定することと、
    前記パケットフィルタリングデバイスによって、かつ前記第1のeSNI値が前記平文ホスト名に解読されることが可能であるという判定に基づいて、前記平文ホスト名を1またはそれ以上の脅威インジケータと比較することであって、前記第2の複数のパケットを前記第1の宛先に転送することが、前記第1のeSNI値が1またはそれ以上の脅威インジケータに対応しないという判定にさらに基づく、比較することと、をさらに含む、請求項60~請求項63のいずれか1項に記載の方法。
  65. 前記第1の宛先が前記eSNI値を含む暗号文をサポートするかどうかを判定することが、
    前記パケットフィルタリングデバイスによって、ドメイン名サービスに照会して、前記第1の宛先のエントリが公開鍵を含むかどうかを判定することと、
    前記第1の宛先の前記エントリが公開鍵を含む場合に、前記第1の宛先がeSNI値を含む暗号文をサポートすると判定することと、をさらに含む、請求項60~請求項64のいずれか1項に記載の方法。
  66. 前記第1の宛先が前記eSNI値を含む暗号文をサポートするかどうかを判定することが、
    前記パケットフィルタリングデバイスによって、前記第1の宛先がeSNI値を含む暗号文をサポートするかどうかを判定するためにデータ構造に照会することと、
    前記第1の宛先のエントリが前記データ構造内に存在する場合に、前記第1の宛先がeSNI値を含む暗号文をサポートすると判定することと、をさらに含む、請求項60~請求項65のいずれか1項に記載の方法。
  67. パケットフィルタリングデバイスであって、
    1またはそれ以上のプロセッサと、
    前記1またはそれ以上のプロセッサによって実行されると、請求項60~請求項66のいずれか1項に記載の方法を前記パケットフィルタリングデバイスに実施させる命令を記憶するメモリと、を備える、パケットフィルタリングデバイス。
  68. 実行されると、請求項60~請求項66のいずれか1項に記載の方法をパケットフィルタリングデバイスに実施させる命令を含む、非一時的コンピュータ可読媒体。
JP2023501496A 2020-07-14 2021-07-14 サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム Active JP7561265B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2024163896A JP2024178324A (ja) 2020-07-14 2024-09-20 サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/928,083 US10924456B1 (en) 2020-07-14 2020-07-14 Methods and systems for efficient encrypted SNI filtering for cybersecurity applications
US16/928,083 2020-07-14
PCT/US2021/041635 WO2022072035A2 (en) 2020-07-14 2021-07-14 Methods and systems for efficient encrypted sni filtering for cybersecurity applications

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2024163896A Division JP2024178324A (ja) 2020-07-14 2024-09-20 サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム

Publications (2)

Publication Number Publication Date
JP2023535304A JP2023535304A (ja) 2023-08-17
JP7561265B2 true JP7561265B2 (ja) 2024-10-03

Family

ID=74570199

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2023501496A Active JP7561265B2 (ja) 2020-07-14 2021-07-14 サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム
JP2024163896A Pending JP2024178324A (ja) 2020-07-14 2024-09-20 サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2024163896A Pending JP2024178324A (ja) 2020-07-14 2024-09-20 サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム

Country Status (8)

Country Link
US (7) US10924456B1 (ja)
EP (1) EP3941019A1 (ja)
JP (2) JP7561265B2 (ja)
KR (1) KR20230048334A (ja)
CN (2) CN114095198B (ja)
AU (1) AU2021353410B2 (ja)
CA (1) CA3186011A1 (ja)
WO (1) WO2022072035A2 (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3550771A4 (en) * 2016-11-30 2019-12-18 Nec Corporation COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
US10841280B2 (en) * 2018-03-16 2020-11-17 Lightspeed Systems, Inc. User device-based enterprise web filtering
US10924456B1 (en) 2020-07-14 2021-02-16 Centripetal Networks, Inc. Methods and systems for efficient encrypted SNI filtering for cybersecurity applications
CN116530054B (zh) * 2020-09-01 2025-09-12 瑞典爱立信有限公司 用于去激活电信网络中的服务器名称指示sni加密的方法和节点
CN116076097B (zh) * 2020-09-15 2025-09-09 瑞典爱立信有限公司 加密业务情况下用于业务检测的机制
US11729154B2 (en) * 2021-02-25 2023-08-15 Comcast Cable Communications, Llc Systems and methods for network privacy
US11570149B2 (en) * 2021-03-30 2023-01-31 Palo Alto Networks, Inc. Feedback mechanism to enforce a security policy
IL282353B2 (en) 2021-04-14 2025-02-01 Cognyte Tech Israel Ltd System and method for identifying services with encrypted traffic
US12200136B2 (en) * 2021-05-28 2025-01-14 Comcast Cable Communications, Llc Systems and methods for secure communication
US11743301B2 (en) * 2021-11-17 2023-08-29 Arbor Networks, Inc. System and method for DNS misuse detection
US20230179985A1 (en) * 2021-12-08 2023-06-08 Palo Alto Networks, Inc. Targeted pdu capture by a network device for roaming detection in wireless networks
US11552925B1 (en) * 2021-12-14 2023-01-10 Bitdefender IPR Management Ltd. Systems and methods of controlling internet access using encrypted DNS
US12052216B2 (en) 2021-12-18 2024-07-30 Microsoft Technology Licensing, Llc Using entity name mapping for routing network traffic having encrypted server name identification (SNI) headers
CN114374622B (zh) * 2021-12-31 2023-12-19 恒安嘉新(北京)科技股份公司 一种基于融合分流设备的分流方法及融合分流设备
US12095665B2 (en) 2022-01-10 2024-09-17 Cisco Technology, Inc. Network address translation (NAT)-based traffic steering
US20230247064A1 (en) * 2022-02-01 2023-08-03 Charter Communications Operating, Llc Methods and apparatus for automatically securing communications between a mediation device and point of intercept
US12107890B2 (en) * 2022-04-12 2024-10-01 Cujo LLC Network security with server name indication
EP4270871A1 (en) * 2022-04-25 2023-11-01 Sandvine Corporation System and method for classifying obfuscated traffic flows
US12250296B2 (en) 2022-05-24 2025-03-11 Bitdefender IPR Management Ltd. Privacy-preserving filtering of encrypted traffic via handshake decryption and re-encryption
CA3257989A1 (en) * 2022-06-07 2023-12-14 Centurylink Intellectual Property Llc SMART FIREWALL USING VALID TRAFFIC IDENTIFICATION
US20240129322A1 (en) * 2022-10-18 2024-04-18 Michael Kotlarz System and method for detecting digital intrusion and redirecting to safe zone in real-time
EP4380101A1 (en) * 2022-11-30 2024-06-05 Cujo LLC Discovery of fqdn for target website
US11838262B1 (en) 2022-11-30 2023-12-05 Cujo LLC Discovery of FQDN for target website
US20250125956A1 (en) * 2023-10-13 2025-04-17 Microsoft Technology Licensing, Llc Communication policy enforcement using a secure plaintext label
WO2025113818A1 (en) * 2023-11-27 2025-06-05 Telefonaktiebolaget Lm Ericsson (Publ) First node, second node, third node, communications system and methods performed thereby for handling information
CN119854182B (zh) * 2025-01-10 2025-09-30 中国科学技术大学 基于tls流量的nat局域网主机探测方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120227109A1 (en) 2011-03-03 2012-09-06 Jpmorgan Chase Bank, N.A. System And Method For Packet Profiling
CN107135190A (zh) 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 基于传输层安全连接的数据流量归属识别方法及装置
US20200053145A1 (en) 2018-08-13 2020-02-13 Wickr Inc. System and Method for Providing a Configuration File to Client Devices
WO2020127148A1 (en) 2018-12-21 2020-06-25 Telefonaktiebolaget Lm Ericsson (Publ) User data traffic handling

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7730187B2 (en) * 2006-10-05 2010-06-01 Limelight Networks, Inc. Remote domain name service
JP2011097468A (ja) * 2009-10-30 2011-05-12 Kumamoto Univ 監視装置、監視システム、監視方法及び監視プログラム
JP4879347B2 (ja) * 2009-12-25 2012-02-22 キヤノンItソリューションズ株式会社 中継処理装置、中継処理方法及びプログラム
IL209960A0 (en) * 2010-12-13 2011-02-28 Comitari Technologies Ltd Web element spoofing prevention system and method
US9237168B2 (en) * 2012-05-17 2016-01-12 Cisco Technology, Inc. Transport layer security traffic control using service name identification
US9565213B2 (en) * 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9419942B1 (en) * 2013-06-05 2016-08-16 Palo Alto Networks, Inc. Destination domain extraction for secure protocols
US10223530B2 (en) * 2013-11-13 2019-03-05 Proofpoint, Inc. System and method of protecting client computers
CN103825887B (zh) * 2014-02-14 2017-06-16 深信服网络科技(深圳)有限公司 基于https加密的网站过滤方法和系统
US9137217B1 (en) * 2014-05-16 2015-09-15 Iboss, Inc. Manage encrypted network traffic using DNS responses
US9571452B2 (en) 2014-07-01 2017-02-14 Sophos Limited Deploying a security policy based on domain names
WO2017039591A1 (en) 2015-08-28 2017-03-09 Hewlett Packard Enterprise Development Lp Extracted data classification to determine if a dns packet is malicious
US9917856B2 (en) * 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) * 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10547638B1 (en) * 2017-03-22 2020-01-28 Ca, Inc. Detecting name resolution spoofing
US10284526B2 (en) * 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10693893B2 (en) 2018-01-16 2020-06-23 International Business Machines Corporation Detection of man-in-the-middle in HTTPS transactions independent of certificate trust chain
US11463364B2 (en) * 2018-07-24 2022-10-04 Telefonaktiebolaget Lm Ericsson (Publ) Methods, nodes and operator network for enabling filtering of traffic from an application
US11106807B2 (en) * 2018-09-05 2021-08-31 Comcast Cable Communications, Llc Domain name obfuscation and metadata storage via encryption
CN109450945A (zh) * 2018-12-26 2019-03-08 成都西维数码科技有限公司 一种基于sni的网页访问安全监控方法
US11310162B2 (en) 2019-02-22 2022-04-19 Sandvine Corporation System and method for classifying network traffic
US10594658B1 (en) * 2019-08-27 2020-03-17 Farsight Security, Inc. Preventing a network protocol over an encrypted channel, and applications thereof
US11070533B2 (en) 2019-10-10 2021-07-20 Forcepoint Llc Encrypted server name indication inspection
US11356423B2 (en) * 2020-01-14 2022-06-07 Cisco Technology, Inc. Managing encrypted server-name-indication (ESNI) at proxy devices
US10924456B1 (en) 2020-07-14 2021-02-16 Centripetal Networks, Inc. Methods and systems for efficient encrypted SNI filtering for cybersecurity applications
US11689642B2 (en) * 2021-07-15 2023-06-27 Cisco Technology, Inc. Routing application control and data-plane traffic in support of cloud-native applications

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120227109A1 (en) 2011-03-03 2012-09-06 Jpmorgan Chase Bank, N.A. System And Method For Packet Profiling
CN107135190A (zh) 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 基于传输层安全连接的数据流量归属识别方法及装置
US20200053145A1 (en) 2018-08-13 2020-02-13 Wickr Inc. System and Method for Providing a Configuration File to Client Devices
WO2020127148A1 (en) 2018-12-21 2020-06-25 Telefonaktiebolaget Lm Ericsson (Publ) User data traffic handling

Also Published As

Publication number Publication date
AU2021353410A1 (en) 2023-02-16
US20220191171A1 (en) 2022-06-16
CN114095198B (zh) 2023-01-13
US20220021651A1 (en) 2022-01-20
CN116015865B (zh) 2025-11-21
CN116015865A (zh) 2023-04-25
US12255871B2 (en) 2025-03-18
CA3186011A1 (en) 2022-04-07
US20220021650A1 (en) 2022-01-20
EP3941019A1 (en) 2022-01-19
WO2022072035A2 (en) 2022-04-07
US20240171542A1 (en) 2024-05-23
US11271902B2 (en) 2022-03-08
US20230103468A1 (en) 2023-04-06
JP2023535304A (ja) 2023-08-17
US20230412561A1 (en) 2023-12-21
CN114095198A (zh) 2022-02-25
US11646996B2 (en) 2023-05-09
AU2021353410B2 (en) 2024-08-29
US11855966B2 (en) 2023-12-26
WO2022072035A3 (en) 2022-06-16
KR20230048334A (ko) 2023-04-11
US10924456B1 (en) 2021-02-16
US12166744B2 (en) 2024-12-10
US11463405B2 (en) 2022-10-04
JP2024178324A (ja) 2024-12-24

Similar Documents

Publication Publication Date Title
JP7561265B2 (ja) サイバーセキュリティアプリケーションのための暗号化されたsniフィルタリング方法およびシステム
CN111034150B (zh) 选择性地解密ssl/tls通信的方法和装置
US12034710B2 (en) Efficient SSL/TLS proxy
US20230370492A1 (en) Identify and block domains used for nxns-based ddos attack

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230307

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230307

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20230815

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240520

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240725

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20240823

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240920

R150 Certificate of patent or registration of utility model

Ref document number: 7561265

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150