Analyse der internen Netzwerksicherheit von Huawei
Categories:
- Analyse der internen Netzwerksicherheit von Huawei
In den internen Netzwerken von Huawei gibt es viele hervorragende Lernmaterialien, und ich habe selbst viel Wissen und Erfahrung zusammengetragen. Ich habe mich immer gefragt, wie ich diese in meine eigene Wissensdatenbank importieren kann. Ich bin mir klar bewusst, dass dieses allgemeine Wissen nicht vertraulich oder sensibel ist, aber die Sicherheit von Informationen erfordert ständige Wachsamkeit, was das Herz kribbeln lässt und doch davor zurückschreckt, die Grenze zu überschreiten. Nach einigen Tests stelle ich fest, dass der Netzwerksicherheitsschutz des Unternehmens schwer zu durchbrechen ist. Dieser Artikel wird eine grobe Analyse des gelben Bereichs des Forschungs- und Entwicklungsbereichs vornehmen. Der grüne Bereich ist ein freier Bereich, in dem standardmäßig keine wichtigen Informationen vorhanden sind und der normalerweise das Netzwerk von externen Mitarbeitern darstellt. Der rote Bereich ist ein Netzwerk mit höchstem Schutzlevel. Bisher hatte ich noch nicht die Gelegenheit, länger in diesen Bereich einzutauchen, und der kurze Kontakt, den ich hatte, befand sich im Netzwerkausrüstungslabor, in dem große Switch-Frames untergebracht sind und das das Herzstück des Unternehmensnetzwerks darstellt. Wenn man den roten Bereich knackt, hat man das interne Netzwerk zumindest für eine Weile lahmgelegt.
Router-Firewall-Methode
Verschlüsselung: Die Verschlüsselung verwendet den öffentlichen Schlüssel. Was ist ein öffentlicher Schlüssel? Vereinfacht ausgedrückt ist es ein Schlüssel, den jeder haben kann, aber nur zum Abschließen, nicht zum Aufschließen verwendet werden kann. Oben ist dies eine sehr konkrete Darstellung. Im Folgenden wird es etwas abstrakter: Der öffentliche Schlüssel ist eine Zahl A, es gibt eine Nachricht M, mit A wird die Nachricht M durch die Verschlüsselungsoperation $$f(A, M)$$ verschlüsselt. Die resultierende Nachricht kann nicht leicht rückwärts entschlüsselt werden, ähnlich wie der Unterschied in der Schwierigkeit zwischen dem Quadrieren und dem Ziehen der Quadratwurzel einer Zahl oder zwischen dem Zusammenfassen von ähnlichen Termen und dem Faktorisieren. Die rückwärts gerichtete Entschlüsselung ist sehr schwierig und zeitaufwendig und erfordert mit einem Supercomputer mehrere Jahre bis Jahrzehnte.
Entschlüsselung: Der Server verwendet den privaten Schlüssel zur Entschlüsselung. Alle aus allen Richtungen kommenden verschlüsselten Informationen können mit demselben privaten Schlüssel entschlüsselt werden.
Man-in-the-Middle: Die Rolle des Man-in-the-Middle ähnelt einem Sprachrohr. Für den Client ist es der Server, und für den Server erscheint es als ein normaler Benutzer. Da es die Rolle des Sprachrohrs spielt, kann es alle Informationen von beiden Seiten einsehen. Einfach ausgedrückt spielt Huawei selbst die Rolle eines sehr starken Man-in-the-Middle. Der gesamte ausgehende Netzwerkverkehr wird von ihm gescannt, und der gesamte Datenverkehr, der nicht die Ports 80/443 verwendet, wird blockiert.
Wie man es knackt: Da im gelben Bereich nur bestimmte Ports über den Proxyserver das öffentliche Netzwerk betreten und verlassen können und alle anderen Ports standardmäßig vollständig blockiert sind, gibt es streng genommen keine Lücken im Netzwerkverkehr. Wir können Schlüssel manuell im internen Netzwerk generieren, manuell verschlüsseln und dann außerhalb des Netzwerks manuell entschlüsseln. Auf diese Weise können die Informationen, die der Man-in-the-Middle sieht, nicht wirklich entschlüsselt werden. Wie man den Verschlüssler ins interne Netzwerk sendet? E-Mail/WeLink/Webseite sind alle Möglichkeiten, hinterlassen jedoch Spuren. Dabei ist das Geheimversenden über die Webseite am wenigsten beeinflussend und hinterlässt die geringsten Spuren. Alternativ kann man den Schlüssel einfach auf Papier schreiben und auf dem Firmencomputer speichern, was völlig unbemerkt bleibt, abgesehen von den überall im Unternehmen verteilten Kameras. GitHub unterstützt freundlicherweise ssh über 443, aber nach Tests stellte sich heraus, dass dies nicht funktioniert, da der Proxy als Firewall solche hochriskanten Websites leicht erkennen kann. Nach eigener Erfahrung basiert die Firewall des Unternehmens auf einer Whitelist und nicht auf einer Blacklist. Selbst wenn man einen eigenen ssh-Server einrichtet, wird er vom Proxy blockiert. Wenn man im Browser unbekannte Websites besucht, erscheint eine Umleitungsseite mit dem Hinweis „Die Folgen trägt der Benutzer selbst“. Im Terminal-Fenster wird sofort angezeigt, dass die Verbindung geschlossen wurde.
Huawei ist schließlich ein Netzwerkunternehmen, und es gibt viele Netzwerkexperten mit großem technischen Können. Technisch gesehen ist kaum ein Durchbruch möglich, und vermutlich kann nur Social Engineering hier helfen.
Lokale Firewall-Methode
Windows-Systeme installieren Sicherheitsanwendungen, deren Konfiguration vom Benutzer nicht beliebig geändert werden kann. Die Konfiguration wird vom Administrator zentral verteilt. Die Netzwerkzugriffsrechte der Anwendungen könnten auf Basis von Whitelist/Blacklist erfolgen, wobei einige Anwendungen keinen Netzwerkzugriff haben. Die neueste Version von vscode kann den Proxykanal nicht nutzen.