Анализ сетевой безопасности внутренней сети Huawei
Categories:
- Анализ сетевой безопасности внутренней сети Huawei
Внутри компании Huawei много отличных учебных материалов, я также обобщил много знаний и опыта, и все время думал о том, как импортировать их в свою базу знаний. Я ясно понимаю, что эти обобщенные знания не являются секретными и чувствительными, но колокол информационной безопасности всегда звенит, заставляя чувствовать нетерпение, но не смея переступить черту. После некоторых тестов я обнаружил, что сетевая защита компании довольно сложна для взлома. В этой статье будет дан краткий анализ Желтой зоны в районе исследований и разработок. Зеленая зона относится к свободной зоне, по умолчанию не содержащей важной информации, обычно это сеть периферийного персонала. Красная зона имеет сверхвысокий уровень сетевой защиты; в настоящее время не было длительного глубокого контакта с ней. Краткий контакт с Красной зоной произошел в лаборатории сетевого оборудования, где хранятся различные крупные стойки коммутаторов; это хаб внутренней сети компании. Взлом Красной зоны эквивалентен взлому региональной сети; по меньшей мере сеть одного здания может быть парализована на некоторое время.
Режим брандмауэра маршрутизатора
Шифрование: Шифрование использует открытый ключ. Что такое открытый ключ? Простыми словами, это ключ, который может быть у каждого, но он может только запирать, а не открывать. Выше было очень конкретное выражение, ниже будет немного более абстрактно. Открытый ключ — это число A, есть сообщение M. Используя A для операции шифрования над M $$f(A, M)$$, полученную информацию нелегко расшифровать в обратном порядке. Это похоже на разницу в трудности между возведением числа в квадрат и извлечением квадратного корня, между приведением подобных членов и разложением на множители. Обратное расшифрование будет очень сложным и трудоемким, даже с использованием суперкомпьютеров потребуются годы или даже десятилетия.
Расшифровка: Сервер использует закрытый ключ для дешифрования, зашифрованная информация, поступающая со всех сторон, может быть расшифрована с помощью одного и того же закрытого ключа.
Человек посередине (MITM): Роль человека посередине похожа на рупор: для клиента он — сервер, а для сервера выглядит как обычный пользователь. Из-за роли рупора он имеет полный обзор информации обеих сторон. Проще говоря, сама Huawei выступает в качестве очень мощного посредника, весь исходящий сетевой трафик проходит через её сканирование, а трафик, не использующий порты 80/443, полностью блокируется.
Как взломать: Поскольку в Желтой зоне только определенные порты могут выходить в публичную сеть через прокси-сервер, а другие порты по умолчанию полностью закрыты, то строго говоря, в сетевом трафике нет уязвимостей. Мы можем вручную сгенерировать ключи, вручную зашифровать во внутренней сети, а затем вручную расшифровать во внешней сети, чтобы, по крайней мере, посредник не мог реально проанализировать увиденную информацию. Как отправить шифратор во внутреннюю сеть? Электронная почта / WeLink / веб-страницы — все это возможно, но оставляет следы. Среди них прямая секретная отправка через веб-страницу имеет наименьшее влияние и наименее заметна. Или просто переписать ключ на бумагу и сохранить на корпоративном компьютере — это совершенно невозможно обнаружить, за исключением камер видеонаблюдения, повсюду расположенных внутри компании. SSH на GitHub предусмотрительно поддерживает SSH over 443, но после тестирования оказалось, что это тоже не работает, так как прокси, выступающий в качестве брандмауэра, может легко идентифицировать такие рискованные веб-сайты. Исходя из личного опыта, брандмауэр компании основан на белом списке, а не на черном. То есть даже если вы создадите свой собственный SSH-сервер, он будет заблокирован прокси. При доступе к неизвестным веб-сайтам в браузере происходит перенаправление на страницу с предупреждением «На свой страх и риск», а в окне терминала сразу отображается, что соединение закрыто.
В конце концов, Huawei начинала с сетевых технологий, там много талантливых специалистов, и технически прорваться практически невозможно. Боюсь, взломать можно только с помощью социальной инженерии.
Режим локального брандмауэра
В системе Windows устанавливаются приложения безопасности, пользователи не могут произвольно изменять конфигурацию, конфигурации единообразно рассылаются администраторами. Правила сетевого доступа приложений могут быть основаны на белых или черных списках, некоторые приложения не могут получить доступ к сети. Новая версия VSCode не может использовать прокси-канал.