网络设备和确定这样的网络设备中的安全问题的方法技术

诸如网关之类的设备(110)包括：通信接口(113)，其被配置为经由网络(140)接收入站HTTP连接，存储器(112)，其被配置为存储与网络搜索引擎相对应的域名列表，以及至少一个硬件处理器(111)，其被配置为从入站HTTP连接获得(S210)设备的IP地址，例如使用反向DNS获得(S220)与IP地址相对应的域名，如果域名在与网络搜索引擎相对应的域名列表上，则确定(S230)该设备对网络(140)开放，以及如果该设备对网络(140)开放，则执行(S240)动作。

Network devices and methods for determining security problems in such network devices

Devices (110) such as gateways include: communication interfaces (113), which are configured to receive inbound HTTP connections via network (140), memory (112), which is configured to store a list of domain names corresponding to network search engines, and at least one hardware processor (111), which is configured to obtain (S210) devices from inbound HTTP connections. For example, using reverse DNS to get the domain name corresponding to the IP address (S220), if the domain name is on the list of domain names corresponding to the network search engine, then determine (S230) that the device is open to the network (140), and if the device is open to the network (140), then perform (S240) action.

【技术实现步骤摘要】
网络设备和确定这样的网络设备中的安全问题的方法
本公开通常涉及网络安全，并且具体涉及网络设备的安全。
技术介绍
本部分旨在向读者介绍可能与下面描述和/或要求保护的本公开的各个方面有关的技术的各个方面。相信该讨论有助于向读者提供背景信息，以便于更好地理解本公开的各个方面。因此，应当理解，这些陈述要在该角度上来阅读，而不是作为对现有技术的承认。网关(GW)连接内部网络和外部网络(通常是互联网)。通常，可以通过管理型超文本标记语言(HTML)页面来管理GW，该管理型超文本标记语言(HTML)页面通过GW使用超文本传输协议(HTTP)服务器(例如Apache或NGINX)在本地运行。经由该HTML页面，用户可以配置GW功能。为了访问管理型HTML页面，用户通常从本地网络连接到GW中的预定端口，通常是80,8080,443和8443。通常也可以远程地、即从外部网络中的远程计算机管理GW。这种可能性的主要用途是通过互联网服务提供商(ISP)的服务台对GW的远程故障排除(troubleshooting)。通常，这需要GW在至少一些端口上开放其防火墙，从而使GW暴露于互联网。一旦故障排除结束，则再次关闭(close)GW防火墙，结束对互联网的暴露。一些最近的网关包括定时器，其超时通常引起远程端口的关闭。然而，可能会发生错误配置GW或者未正确关闭GW防火墙，使这样的GW在故障排除之后仍然暴露于互联网，可能对于网络搜索引擎(例如Bing、Google和Yahoo！)将这些GW编索引来说足够长。可能的对策是在GW存储的robot.txt文件中放置诸如“Disallow:/”之类的指示，这至少在理论上应该阻止网络抓取器(webcrawler)将GW编索引，但情况并非总是如此，因为并非所有网络抓取器都遵守这样的指示。此外，诸如Shodan(www.shodan.io)之类的站点提供先前通过网络抓取收集的、关于连接到互联网的设备(包括GW)的信息。设备所有者和黑客都可以使用站点来检测已编索引的设备中的漏洞。这可能导致对于已编索引的GW的所有者和用户的安全风险。对该问题的一个解决方案只是远程地关闭在这样的站点上发现的GW。然而，这样做并不是非常及时或回应性地，而且它还需要可能的大型基础设施来监视这样的站点或者在搜索对互联网开放的GW中抓取互联网。另一个解决方案可以是阻止来自所有IP地址除了一些合法IP地址的远程管理连接，但这种解决方案几乎不可行，因为远程管理连接可以合法地来自地球上的任何地方(并且因此几乎来自任何IP地址)。此外，如果合法的管理员没有被允许的IP地址，则可能发生不能远程管理的情况。因此将理解，存在对解决传统设备的至少一些缺点的解决方案的期望。本原理提供这样的解决方案。
技术实现思路
在第一方面，本原理涉及一种设备，包括通信接口，其被配置为经由网络接收入站连接，以及至少一个硬件处理器，其被配置为从入站连接获得与始发设备相对应的域名，如果与IP地址相对应的域名在与网络搜索引擎相对应的域名列表上，则确定第一设备对网络开放，以及，如果第一设备对网络开放，则执行旨在导致第一设备对网络关闭的动作。第一方面的各种实施例包括：·设备还包括存储器，其被配置为存储与网络搜索引擎相对应的标识符列表。·动作是以下中的至少一个：拒绝入站连接，发送警报消息，在设备的用户界面上呈现警报消息，以及关闭针对IP地址的设备的防火墙。·设备是网关、缆线调制解调器或网络附属储存器。·至少一个硬件处理器被配置为从入站连接获得始发设备的互联网协议(IP)地址，并且从IP地址获得与IP地址相对应的域名。可以使用反向域名服务器(DNS)获得域名。·入站连接是超文本传输协议(HTTP)连接。·网络是互联网。在第二方面，本原理涉及一种保护第一设备的方法。第一设备从入站连接获得始发设备的域名，如果域名在与网络搜索引擎相对应的域名列表上，则确定第一设备对网络开放，以及，如果第一设备对网络开放，则执行旨在导致第一设备对网络关闭的动作。第二方面的各种实施例包括：·动作是以下中的至少一个：拒绝入站连接，发送警报消息，在设备的用户界面上呈现警报消息，以及关闭针对IP地址的设备的防火墙。·通过从入站连接获得始发设备的互联网协议(IP)地址并且从IP地址获得与IP地址相对应的域名来获得域名。·第一标识符是互联网协议地址并且第二标识符是域名，并且其中该方法还包括由至少一个硬件处理器获得与互联网协议地址相对应的域名。可以使用反向域名服务器(DNS)获得域名。可以使用反向域名服务器(DNS)获得域名。·网络是互联网。在第三方面，本原理涉及一种计算机程序产品，其存储在非临时性计算机可读介质上，并且包括由处理器可执行以实现根据第二方面的任何实施例的方法的程序代码指令。附图说明现在将参照附图通过非限制性示例的方式来描述本原理的特征，附图中：图1图示了实现本原理的示例性系统；以及图2图示了根据本原理的实施例的确定网关是否易受攻击的方法。具体实施方式图1图示了实现本原理的示例性系统100。系统100包括通过网络140(诸如例如因特网)可操作地连接的网关(GW)110和ISP服务器120。图1还图示了被配置为针对诸如GW110之类的设备搜索互联网的传统网络抓取器设备130。GW110包括至少一个硬件处理单元(“处理器”)111，其被配置为运行具有管理页面的本地HTTP服务器并且执行软件程序的指令以确定GW是否对网络140开放，如在此进一步描述的那样。GW110还包括存储器112以及至少一个通信接口(“I/O”)113，存储器112被配置为存储至少一个软件程序和包括例如至少一个主要(例如被认为具有最多资源的那些)网络抓取器的网络抓取器的标识符(诸如域名)列表，通信接口(“I/O”)113被配置为通过网络140与其他设备交互。非临时性存储介质114存储具有在由至少一个硬件处理器执行时执行如在下文中进一步描述的GW110的功能的指令的软件程序，以及可能的网络抓取器的标识符列表。本领域技术人员将理解，为了清楚起见，所图示的GW是非常简化的，并且为了清楚起见，已经省略了诸如内部连接和电源之类的特征。图2图示了根据本原理的实施例的确定网关是否易受攻击的方法。在步骤S210中，处理器111获得到由GW110维护的本地HTTP服务器的入站连接。处理器111可以例如在连接发生时获得入站连接，例如通过使通信接口113拦截连接并将连接的源IP地址发送到处理器111。另一种可能是处理器111检查连接日志。例如，在本地服务器软件为Apache2的情况下，访问管理型登录页面的设备的IP地址被存储在日志文件中，通常为/var/log/apache/access.log。在这种情况下，处理器111可以获得多个IP地址，在该情况下处理器111针对每个获得的IP地址执行以下步骤S220-S230。在变型中，处理器111可以保持跟踪其已经获得的IP地址，以便避免每次执行步骤S210时验证日志中的所有IP地址。在步骤S220中，处理器111执行反向域名服务器(DNS)查找，以便获得与至少一个入站连接的源IP地址相对应的域名。这可以使用Unixhost命令，ping或nslookup来进行。示例是：>host66.2本文档来自技高网...

【技术保护点】
1.一种第一设备(110)，包括：通信接口(113)，其被配置为经由网络(140)接收入站连接；以及至少一个硬件处理器(111)，其被配置为：从入站连接获得与始发设备相对应的域名；如果与IP地址相对应的域名在与网络搜索引擎相对应的域名列表上，则确定第一设备对网络(140)开放；以及如果第一设备对网络(140)开放，则执行旨在导致第一设备对网络(140)关闭的动作。

【技术特征摘要】
2017.04.13 EP 17305441.21.一种第一设备(110)，包括：通信接口(113)，其被配置为经由网络(140)接收入站连接；以及至少一个硬件处理器(111)，其被配置为：从入站连接获得与始发设备相对应的域名；如果与IP地址相对应的域名在与网络搜索引擎相对应的域名列表上，则确定第一设备对网络(140)开放；以及如果第一设备对网络(140)开放，则执行旨在导致第一设备对网络(140)关闭的动作。2.根据权利要求1所述的第一设备，还包括存储器(112)，其被配置为存储与网络搜索引擎相对应的域名列表。3.根据权利要求1所述的第一设备，其中所述动作是以下中的至少一个：拒绝入站连接，发送警报消息，在所述设备的用户界面上呈现警报消息，以及关闭第一设备的防火墙。4.根据权利要求1所述的第一设备，其中所述设备是网关、缆线调制解调器或网络附属储存器。5.根据权利要求1所述的第一设备，其中至少一个硬件处理器(111)被配置为从入站连接获得始发设备的互联网协议(IP)地址，并且从所述IP地址获得与所述IP地址相对应的域名。6.根据权利要求5所述的第一设备，其中使用反向域名服务器(DNS)获得所述域名。7.根据权利要求1所述的第一设备，其中入站连接...

【专利技术属性】
技术研发人员：E勒梅尔，T费洛切，N克赖雷，O赫恩，
申请(专利权)人：汤姆逊许可公司，
类型：发明
国别省市：法国,FR