Analyse de la sécurité réseau du réseau interne Huawei
Categories:
- Analyse de la sécurité réseau du réseau interne Huawei
Huawei dispose d’excellentes ressources d’apprentissage internes et j’ai moi-même accumulé de nombreuses connaissances et expériences, toujours en réfléchissant à la manière de les importer dans ma propre base de connaissances. Je suis bien conscient que ces connaissances généralisées ne sont ni confidentielles ni sensibles, mais la sécurité de l’information sonne comme une alarme constante, faisant naître à la fois l’envie et la crainte de franchir cette ligne rouge. Après quelques tests, j’ai découvert que la protection de la sécurité réseau de l’entreprise est difficile à percer. Cet article fera une brève analyse du réseau jaune de la zone de R&D. La zone verte est une zone libre, par défaut sans informations importantes, généralement le réseau du personnel périphérique. La zone rouge constitue une protection réseau de très haut niveau ; pour l’instant, je n’ai pas eu de contact prolongé, simplement eu un bref aperçu de la zone rouge située dans le laboratoire d’équipements réseau, abritant divers grands cadres de commutateurs, constituant le nœud du réseau interne de l’entreprise. Percer la zone rouge équivaudrait à percer le réseau de la zone, au moins une partie du réseau d’un bâtiment peut être paralysée pendant un certain temps.
Méthode du routeur pare-feu
Chiffrement : Le chiffrement utilise une clé publique. Qu’est-ce qu’une clé publique ? Pour simplifier, c’est une clé que tout le monde peut avoir, mais qui ne peut que verrouiller, pas déverrouiller. C’est une représentation très concrète ; ci-dessous, ce sera un peu plus abstrait. Une clé publique est un nombre A, avec une information M, en utilisant A pour chiffrer M via l’opération $$f(A, M)$$, l’information obtenue ne peut pas être facilement déchiffrée en sens inverse, similaire à la différence de difficulté entre calculer le carré d’un nombre et en extraire la racine carrée, ou entre combiner des termes similaires et factoriser. Le déchiffrement inverse est extrêmement difficile et chronophage, nécessitant des années, voire des décennies, même avec un superordinateur.
Déchiffrement : Le serveur utilise une clé privée pour déchiffrer. Toutes les informations chiffrées provenant de toutes les directions peuvent être déchiffrées avec la même clé privée.
Homme du milieu : Le rôle de l’homme du milieu est similaire à un relais, il est un serveur pour le client et un utilisateur ordinaire pour le serveur. En raison de ce rôle de relais, les informations des deux parties sont entièrement visibles. Pour le décrire simplement, Huawei joue lui-même un homme du milieu très puissant ; tout le trafic réseau sortant est analysé par lui. Le trafic n’utilisant pas les ports 80/443 est entièrement bloqué.
Comment percer : Étant donné que la zone jaune n’a que des ports spécifiques pour sortir sur le réseau public via un serveur proxy, tous les autres ports sont par défaut complètement bloqués, il n’y a donc strictement aucun trou de sécurité dans le trafic réseau. Nous pouvons générer manuellement des clés, chiffrer manuellement dans le réseau interne, puis déchiffrer manuellement à l’extérieur du réseau. Ainsi, au moins, les informations vues par l’homme du milieu ne peuvent pas être véritablement analysées. Comment envoyer l’encrypteur dans le réseau interne ? Courriel/WeLink/page web, tout peut fonctionner, mais laissera des traces. Parmi ceux-ci, l’envoi secret direct via la page web a le moins d’impact et les traces les moins visibles. Ou simplement copier la clé sur papier, la sauvegarder sur l’ordinateur de l’entreprise, complètement indétectable, sauf pour les caméras omniprésentes dans l’entreprise. Github prend en charge ssh over 443, et après test, cela s’est avéré impossible, car le proxy en tant que pare-feu peut facilement identifier un site web à haut risque. Selon mon expérience personnelle, le pare-feu de l’entreprise est basé sur une liste blanche plutôt que sur une liste noire, donc même un serveur ssh auto-hébergé serait bloqué par le proxy. Accéder à un site inconnu dans le navigateur affiche une page de redirection avec l’avertissement « conséquences à vos risques », tandis que dans une fenêtre de terminal, la connexion est directement affichée comme fermée.
Huawei étant spécialisé dans le réseau depuis ses débuts, de nombreux experts en réseau sont présents, techniquement presque impossible à percer, probablement uniquement par ingénierie sociale.
Méthode du pare-feu local
Le système Windows installe une application de sécurité, l’utilisateur ne peut pas modifier librement la configuration, celle-ci étant distribuée par l’administrateur. Les autorisations d’accès réseau de l’application pourraient être sous forme de listes noires et blanches, certaines applications ne pouvant pas accéder au réseau. La nouvelle version de vscode ne peut pas passer par le canal proxy.