Análisis de Seguridad de Redes Internas de Huawei
Categories:
- Análisis de Seguridad de Redes Internas de Huawei
Huawei cuenta con abundantes recursos de aprendizaje en su red interna y he acumulado muchos conocimientos y experiencias. Siempre he pensado en cómo importarlos a mi propia base de conocimientos. Entiendo claramente que estos conocimientos generalizados no son confidenciales ni sensibles, pero la seguridad de la información siempre debe mantenerse alerta, lo que genera curiosidad pero también temor a cruzar límites. Tras algunas pruebas, descubrí que la protección de seguridad de red de la empresa es difícil de superar. Este artículo presentará un análisis preliminar de la Zona Amarilla del área de I+D.
Método de Firewall de Router
Encriptación: La encriptación utiliza una clave pública. ¿Qué es una clave pública? En términos simples, es como una llave que cualquiera puede tener, pero solo puede cerrar, no abrir. Esta es una representación extremadamente concreta; a continuación será ligeramente más abstracta. Una clave pública es un número A, con un mensaje M, usando A para encriptar M mediante la operación $$f(A, M)$$, el mensaje resultante no puede ser descifrado fácilmente. Es similar a la diferencia de dificultad entre elevar al cuadrado y calcular la raíz cuadrada, o entre combinar términos semejantes y factorizar. El descifrado inverso es extremadamente difícil y consume mucho tiempo, incluso con supercomputadoras puede tomar años o décadas.
Descifrado: El servidor utiliza una clave privada para descifrar. Todos los mensajes encriptados provenientes de diferentes direcciones pueden ser descifrados usando la misma clave privada.
Hombre en el medio: El papel del hombre en el medio es similar al de un altavoz, actuando como servidor para el cliente y como usuario común para el servidor. Debido a este rol de transmisión, ambos lados pueden ver toda la información. En una descripción simple, Huawei actúa como un intermediario extremadamente poderoso, escaneando todo el tráfico de red externo. Todo el tráfico que no utiliza los puertos 80/443 será completamente interceptado.
Cómo romperlo: Dado que la Zona Amarilla solo permite el tráfico a través de puertos específicos mediante servidores proxy hacia la red pública, y el resto de puertos están completamente bloqueados por defecto, estrictamente hablando, no hay fugas en el tráfico de red. Podemos generar manualmente claves, encriptar manualmente dentro de la red interna y descifrar manualmente fuera de la red externa, de modo que al menos el intermediario no pueda interpretar realmente la información. ¿Cómo enviar el encriptador a la red interna? Correo electrónico/Welink/páginas web pueden funcionar, pero todos dejarán rastros, siendo la página web la que tiene el menor impacto y rastros menos evidentes. O simplemente copiar la clave en papel y guardarla en la computadora de la empresa, completamente indetectable, excepto por las cámaras omnipresentes en la empresa. GitHub amablemente ofrece soporte para SSH sobre 443, pero tras pruebas, tampoco funciona, ya que el proxy como firewall puede fácilmente identificar sitios de alto riesgo como este. Según mi experiencia, el firewall de la empresa se basa en una lista blanca, no en una lista negra, por lo que incluso si se crea un servidor SSH propio, será bloqueado por el proxy. Acceder a sitios web desconocidos en el navegador muestra una página de advertencia “Consecuencias bajo su responsabilidad”, mientras que en la terminal simplemente muestra que la conexión está cerrada.
Huawei se especializa en redes, con muchos expertos en tecnología de redes, es casi imposible romperlo técnicamente, probablemente solo el ingeniería social podría superarlo.
Método de Firewall Local
El sistema Windows instala una aplicación de seguridad, cuya configuración no puede ser modificada libremente por el usuario, siendo distribuida uniformemente por el administrador. Los permisos de acceso a la red de la aplicación pueden ser mediante listas blancas o negras, algunas aplicaciones no pueden acceder a la red. La nueva versión de VSCode no puede usar el canal proxy.