تحليل أمان شبكة الإنترانت الداخلية لشركة Huawei
Categories:
- تحليل أمان شبكة الإنترانت الداخلية لشركة Huawei
توجد داخل شركة Huawei العديد من المواد التعليمية الممتازة، ولدي أيضاً الكثير من الخبرات والمعارف التي لخصتها، وكنت دائماً أفكر في كيفية استيرادها إلى قاعدة معرفتي الخاصة. أنا أدرك بوضوح أن هذه المعارف العامة ليست سرية ولا حساسة، ولكن جرس تحذير أمن المعلومات يدق باستمرار، مما يجعل المرء متشوقاً ولا يجرؤ على تجاوز الحدود. بعد بعض الاختبارات، اكتشفت أن حماية أمن الشبكة في الشركة صعبة الاختراق. ستقدم هذه المقالة تحليلاً مختصراً للمنطقة الصفراء في منطقة البحث والتطوير. المنطقة الخضراء هي منطقة حرة، ولا تحتوي افتراضياً على معلومات مهمة، وتكون عادةً شبكة للموظفين الخارجيين. المنطقة الحمراء هي حماية أمنية للشبكة بمستوى فائق العالي، ولم أكن قد تواصلت معها بعمق لفترة طويلة حتى الآن؛ فالمنطقة الحمراء التي تعرضت لها بشكل بسيط تقع في مختبر معدات الشبكة، وتخزن أطر المبدلات الكبيرة المختلفة، وهي عقدة الشبكة الداخلية للشركة، واختراق المنطقة الحمراء يعادل اختراق شبكة المنطقة بالكامل، ويمكن شل شبكة مبنى كامل لفترة من الوقت على الأقل.
طريقة جدار الحماية للموجه
التشفير: يستخدم التشفير المفتاح العام، وما هو المفتاح العام؟ يمكن فهمه ببساطة على أنه مفتاح، يمكن لكل شخص أن يحمل هذا المفتاح، لكنه يمكنه فقط الإغلاق، ولا يمكنه الفتح. ما سبق هو تعبير ملموس جداً، وفيما يلي سيكون قليلاً أكثر تجريداً، المفتاح العام هو رقم A، وهناك رسالة M، باستخدام A لتشفير M$$f(A, M)$$، فإن المعلومات التي تم الحصول عليها لا يمكن فك تشفيرها بسهولة بشكل عكسي، مما يشبه الفرق في الصعوبة بين رقمن المربع وإيجاد الجذر التربيعي، والفرق في الصعوبة بين جمع الحدود المتشابهة وتحليل العوامل. سيكون فك التشفير العكسي صعباً للغاية ومستهلكاً للوقت، وحتى باستخدام أجهزة الكمبيوتر الفائقة سيستغرق سنوات وحتى عقوداً.
فك التشفير: يستخدم الخادم المفتاح الخاص لفك التشفير، ويمكن فك تشفير المعلومات المشفرة القادمة من جميع الاتجاهات باستخدام نفس المفتاح الخاص.
الوسيط (Man-in-the-middle): دور الوسيط يشبه مكبر الصوت أو “الناطق”، فهو يبدو كخادم للعميل، ومن وجهة نظر الخادم يبدو ك مستخدم عادي. بسبب دوره كوسيط، فإنه يرى معلومات الطرفين بوضوح تام. باختصار، تلعب Huawei نفسها دور وسيط قوي جداً، حيث يمر كل حركة مرور الشبكة الصادرة عبر فحصها، ويتم اعتراض جميع حركة المرور التي لا تستخدم المنافذ 80/443.
كيفية الاختراق: نظراً لأن المنطقة الصفراء تسمح فقط بمنافذ معينة بالدخول والخروج إلى الإنترنت العام عبر خادم الوكيل، ويتم حظر جميع المنافذ الأخرى افتراضياً، فمن الناحية الصارمة لا توجد ثغرات في حركة مرور الشبكة. يمكننا توليد المفاتيح يدوياً، والتشفير يدوياً في الشبكة الداخلية، ثم فك التشفير يدوياً في الشبكة الخارجية، بحيث لا يمكن للوسيط على الأقل تحليل المعلومات التي يراها حقاً. كيف يتم إرسال جهاز التشفير إلى الشبكة الداخلية؟ البريد الإلكتروني / WeLink / صفحة الويب كلها ممكنة، لكنها ستترك آثاراً، من بينها الإرسال السري مباشرة عبر صفحة الويب له تأثير أقل والآثار أقل وضوحاً. أو كتابة المفتاح على ورقة وحفظه في كمبيوتر الشركة، مما يجعله غير قابل للكشف تماماً، باستثناء الكاميرات المنتشرة في جميع أنحاء الشركة. يدعم ssh في GitHub بحمد الله ssh عبر المنفذ 443، وبعد الاختبار وجدت أنه لا يعمل أيضاً، فبعد كل شيء يمكن للوكيل كجدار حماية تحديد مواقع الويب عالية المخاطر مثل هذه بسهولة. بناءً على تجربتي الشخصية، جدار حماية الشركة يعتمد على القائمة البيضاء، وليس القائمة السوداء، أي حتى لو قمت ببناء خادم ssh بنفسك، سيتم حظره بواسطة الوكيل. عند زيارة مواقع ويب غير معروفة في المتصفح، ستظهر صفحة انتقال تحذر “أنت مسؤول عن العواقب”، بينما في نافذة الطرفية (Terminal) يظهر أن الرابط مغلق مباشرة.
بعد كل شيء، بدأت Huawei في مجال الشبكات، وهناك العديد من الأشخاص الموهوبين في الشبكات، ومن الناحية التقنية يكاد يكون من المستحيل الاختراق، ولعل هندسة الاجتماع هي الطريقة الوحيدة للاختراق.
طريقة جدار حماية محلي
سيقوم نظام Windows بتثبيت تطبيق أمني، ولا يمكن للمستخدم تغيير التكوين حسب الرغبة، يتم إصدار التكوين من قبل المسؤول بشكل موحد. قد تكون أذونات الوصول إلى الشبكة للتطبيق بطريقة القائمة البيضاء أو السوداء، ولا يمكن لبعض التطبيقات الوصول إلى الشبكة. لا يمكن للإصدار الجديد من VS Code استخدام قناة الوكيل.