Analisi della sicurezza della rete interna Huawei
Categories:
- Analisi della sicurezza della rete interna Huawei
All’interno di Huawei ci sono molti materiali di studio di alta qualità e ho anche riassunto molte conoscenze ed esperienze personali, pensando sempre a come importarli nel mio knowledge base. So chiaramente che queste conoscenze generalizzate non sono riservate né sensibili, ma la sicurezza informatica è sempre un campanello d’allarme, rendendo difficile resistere alla tentazione senza osare superare il limite. Dopo alcuni test, ho scoperto che la protezione della sicurezza informatica aziendale è difficile da superare. Questo articolo fornirà una breve analisi della zona gialla dell’area di R&D. La zona verde è un’area libera, considerata priva di informazioni importanti, generalmente utilizzata dal personale periferico. La zona rossa ha un livello di sicurezza superiore, con cui non ho avuto un contatto prolungato; la zona rossa a cui ho avuto un breve accesso si trova nel laboratorio delle apparecchiature di rete, che ospita vari grandi switch frame ed è il fulcro della rete interna aziendale. Se la zona rossa venisse violata, equivarrebbe a violare la rete regionale, almeno per un periodo di tempo si potrebbe paralizzare la rete di un intero edificio.
Metodo del router firewall
Crittografia: la crittografia utilizza una chiave pubblica. Cos’è una chiave pubblica? In parole semplici, è una chiave che può essere distribuita a chiunque, ma può solo chiudere, non aprire. Questa è un’espressione estremamente concreta; di seguito sarà leggermente più astratta. Una chiave pubblica è un numero A, con un’informazione M, crittografando M con A tramite l’operazione $$f(A, M)$$, l’informazione ottenuta non può essere facilmente decrittata in senso inverso, simile alla differenza di difficoltà tra elevare al quadrato e calcolare la radice quadrata, o tra combinare termini simili e scomporre in fattori. La decrittazione inversa sarebbe molto difficile e richiederebbe molto tempo, con supercomputer che impiegherebbero anni o decenni.
Decrittografia: il server utilizza una chiave privata per decrittare, tutte le informazioni crittografate provenienti da ogni direzione possono essere decrittate con la stessa chiave privata.
Uomo nel mezzo: il ruolo dell’uomo nel mezzo è simile a un megafono, per il client è il server, e dal punto di vista del server è un utente normale. A causa del ruolo di megafono, entrambe le parti possono vedere liberamente le informazioni. In breve, Huawei stessa interpreta un uomo nel mezzo molto potente; tutto il traffico di rete in uscita viene analizzato, e il traffico che non utilizza le porte 80/443 viene intercettato.
Come superare: poiché l’area gialla può solo usare porte specifiche per passare attraverso il server proxy per entrare ed uscire dalla rete pubblica, e tutte le altre porte sono bloccate per impostazione predefinita, quindi strettamente parlando non ci sono lacune nel traffico di rete. Possiamo generare manualmente una chiave, crittografare manualmente nella rete interna e decrittare manualmente all’esterno, in modo che almeno le informazioni viste dall’uomo nel mezzo non possano essere effettivamente analizzate. Come inviare un crittografatore nella rete interna? Email/Welink/web possono tutti, ma lasceranno tracce, tra cui l’invio segreto diretto tramite web ha il minore impatto e tracce meno evidenti. Oppure si può semplicemente copiare la chiave su un foglio di carta, salvare sul computer aziendale, completamente impercettibile, tranne per le telecamere ovunque presenti in azienda. Github supporta gentilmente ssh over 443, ma dopo test ho scoperto che non funziona, dato che il proxy come firewall può facilmente identificare siti ad alto rischio. Secondo la mia esperienza personale, il firewall aziendale è basato su whitelist piuttosto che su blacklist, quindi anche se si crea autonomamente un server ssh, verrebbe comunque bloccato dal proxy. Quando si accede a siti web sconosciuti dal browser, appare una pagina di avviso con “Conseguenze a proprio rischio”; quando si accede direttamente dal terminale, viene visualizzato “Collegamento chiuso”.
Huawei è un’azienda che si è fatta strada con la rete, con molti esperti di rete, tecnicamente quasi impossibili da superare, probabilmente solo l’ingegneria sociale potrebbe riuscirci.
Metodo del firewall locale
Il sistema Windows installerà un’applicazione di sicurezza, gli utenti non possono modificare liberamente la configurazione, che viene distribuita dagli amministratori. Le autorizzazioni di accesso alla rete delle applicazioni potrebbero essere basate su liste bianche o nere, alcune applicazioni non possono accedere alla rete. La nuova versione di vscode non può passare attraverso il canale proxy.