华为内网网络安全分析
Categories:
- 华为内网网络安全分析
华为公司内部有很多不错的学习资料,自己也总结了很多知识经验,一直想着如何导入到自己的知识库。我清楚的明白这些通用化的知识是不涉密不敏感的,但信息安全警钟长鸣,让人心痒又不敢越雷池一步。经过一些测试,我发现公司的网络安全保护比较难突破。本文将对研发区黄区作一点粗略解析。绿区属于自由区域,默认无重要信息,一般为外围工作人员的网络。红区为超高级别的网络防护,目前尚未有长时间深入接触,简单接触到的红区位于网络设备实验室,存放各种大型交换机框架,是公司内网的枢纽,攻破红区的话就相当于攻破了区域网络,至少一栋楼的网络是可以瘫痪一段时间的。
路由器防火墙方式
加密:加密使用公钥,什么是公钥,简单理解为钥匙,这把钥匙可以人手一把,但只能上锁,不可以开锁。以上是极为具现化的表达,下边会稍微抽象一点,公钥是一个数字 A,有一条信息 M,用 A 对 M 进行加密操作$$f(A, M)$$,得到的信息无法轻易反向解密,类似对数字求平方和求开方的难度区别,合并同类项和因式分解的难度区别。反向解密会非常困难且耗时,使用超级计算机也需要数年乃至数十年。
解密:服务端使用私钥揭秘,四面八方汇聚来的已加密信息可以使用同一把私钥解密。
中间人:中间人角色类似传话筒,对客户端它是服务端,在服务端看来它是一个普通用户。因为传声筒的角色,双方的信息它都一览无余。简单描述的话,华为自身扮演了一个非常强大的中间人,所有外发的网络流量都会经过其扫描,不使用 80/443 端口的流量会全部拦截。
如何破解:由于黄区只有特定端口可以走代理服务器进出公网,对其它端口默认全封,那么严格来说网络流量就没有漏洞。我们可以手动生成密钥,在内网手动加密,再在外网手动解密,这样至少中间人看到的信息无法真正解析。加密器如何发送至内网,邮件/welink/网页都可以,但都会留下痕迹,其中通过网页直接秘密发送影响最小,痕迹最不明显。或者直接把密钥抄纸上,公司电脑保存起来,完全无法察觉,除了公司内遍布的摄像头。github 上的 ssh 贴心的支持 ssh over 443,经过测试发现也行不通,毕竟代理作为防火墙可以轻易识别这样的高风险网站。根据自身体验,公司的防火墙是基于白名单,而非黑名单,也就是即便是自建 ssh 服务器,也会被代理拦住。在浏览器中访问未知网站会有跳转页面提示“后果自负”,在终端窗口中直接就显示链接被关了。
华为毕竟是搞网络起家,搞网络的能人异士众多,技术上几乎无法突破,恐怕唯有社会工程能突破了。
本地防火墙方式
Windows 系统会安装安全应用,用户无法随意更改配置,配置由管理员统一下发。应用的网络访问权限可能是黑白名单方式,部分应用无法访问网络。vscode 的新版无法走代理通道。