Huawei intern analyseren van netwerkbeveiliging

Friday, June 28, 2024

Categories:

Netwerk

Huawei intern analyseren van netwerkbeveiliging

Er zijn veel goede leerbronnen binnen Huawei en ik heb zelf veel kennis en ervaringen samengevat. Ik heb altijd nagedacht over hoe ik deze kan importeren in mijn eigen kennisbank. Ik begrijp dat deze gegeneraliseerde kennis niet vertrouwelijk of gevoelig is, maar de waarschuwing over informatiebeveiliging klinkt altijd door. Het maakt me nieuwsgierig, maar ik durf niet over de grens te gaan. Na enkele tests ontdekte ik dat de netwerkbeveiliging van het bedrijf vrij moeilijk te doorbreken is. In dit artikel geef ik een ruwe analyse van de gele zone in het ontwikkelingsgebied. De groene zone is een vrij gebied zonder belangrijke informatie, meestal het netwerk van personeel aan de rand. De rode zone is een uiterst hoog niveau van netwerkbeveiliging. Tot nu toe heb ik nog geen langdurige diepgaande ervaring mee gehad. De rode zone die ik kort heb ervaren bevindt zich in het netwerklaboratorium en bevat diverse grote switches, een knooppunt van het interne bedrijfsnetwerk. Als je de rode zone doorbreekt, heb je effectief het regio-netwerk doorbroken, en op zijn minst het netwerk van een gebouw kan tijdelijk plat liggen.

Router firewall methode

Encryptie: encryptie gebruikt een publieke sleutel, wat is een publieke sleutel? Eenvoudig gezegd, het is een sleutel die iedereen kan hebben, maar alleen kan worden gebruikt om te vergrendelen, niet om te ontgrendelen. Dit is een zeer concrete uitdrukking. Hieronder zal ik iets abstracter worden. Een publieke sleutel is een nummer A, met een bericht M. Gebruik A om het bericht M te versleutelen via een encryptieoperatie $$f(A, M)$$, en het verkregen bericht kan niet gemakkelijk worden ontsleuteld. Dit is vergelijkbaar met het verschil in moeilijkheid tussen het kwadrateren en worteltrekken van getallen, of het combineren van gelijksoortige termen en het ontbinden in factoren. Het omgekeerd ontsleutelen is zeer moeilijk en tijdrovend, en vereist zelfs met supercomputers jaren tot decennia.

Decryptie: de server gebruikt een privésleutel om te ontsleutelen. Alle verzamelde geëncrypteerde gegevens van alle kanten kunnen met dezelfde privésleutel worden ontsleuteld.

Man-in-the-middle: de rol van een man-in-the-middle is vergelijkbaar met een luidspreker, die ten opzichte van de client een server is, en ten opzichte van de server een gewone gebruiker. Vanwege de rol van de luidspreker zijn alle gegevens van beide partijen volledig zichtbaar. Eenvoudig gezegd, Huawei speelt zelf de rol van een zeer sterke man-in-the-middle. Al het uitgaande netwerkverkeer wordt gescand, en verkeer dat niet gebruikmaakt van poort 80/443 wordt volledig geblokkeerd.

Hoe te kraken: omdat de gele zone alleen specifieke poorten heeft die via een proxyserver het publieke netwerk kunnen gebruiken, en standaard alles blokkeert voor andere poorten, zijn er eigenlijk geen lekken in het netwerkverkeer. We kunnen handmatig sleutels genereren, binnen het bedrijfsnetwerk handmatig versleutelen en buiten het bedrijfsnetwerk handmatig ontsleutelen. Op deze manier kan de informatie die de man-in-the-middle ziet niet echt worden gedecodeerd. Hoe kan de encryptor naar het interne netwerk worden verzonden? E-mail/welink/webpagina’s zijn allemaal mogelijk, maar zullen sporen achterlaten. De webpagina is het minst invloedrijk en laat de minst zichtbare sporen achter. Of je kunt de sleutel gewoon op papier schrijven en opslaan op een bedrijfscomputer, wat volledig onopgemerkt blijft, behalve de camera’s die overal in het bedrijf zijn geplaatst. Github ondersteunt handig ssh over 443, maar na tests blijkt dit ook niet te werken, aangezien de proxy als firewall gemakkelijk dergelijke risicowebsites kan herkennen. Volgens mijn eigen ervaring is de firewall van het bedrijf gebaseerd op een whitelist, niet op een blacklist. Dit betekent dat zelfs een zelfgehoste ssh-server door de proxy wordt geblokkeerd. Bij het bezoeken van onbekende websites in de browser verschijnt er een doorverwijspagina met de melding “gevolgen op jezelf”, terwijl in een terminalvenster direct wordt weergegeven dat de verbinding is afgesloten.

Huawei is immers begonnen met netwerken. Er zijn veel netwerkspecialisten binnen het bedrijf, en technisch gezien is het bijna onmogelijk om door te breken. Waarschijnlijk is enkel sociale engineering in staat om door te breken.

Lokale firewall methode

Het Windows-systeem installeert beveiligingsapplicaties, waarvan gebruikers de configuratie niet naar wens kunnen wijzigen. De configuratie wordt centraal door beheerders uitgegeven. De netwerktoegangsrechten van applicaties kunnen werken op basis van witte en zwarte lijsten, waarbij sommige applicaties geen netwerkaansluiting kunnen maken. De nieuwe versie van vscode kan geen proxykanaal gebruiken.