Análise de Segurança de Rede Interna da Huawei
Categories:
- Análise de Segurança de Rede Interna da Huawei
A empresa Huawei possui excelentes materiais de estudo internos e eu mesmo já compilei muito conhecimento e experiência ao longo do tempo. Sempre pensei em como importar esses conhecimentos para minha própria base de conhecimentos. Eu entendo claramente que esses conhecimentos generalizados são não confidenciais e não sensíveis, mas os alertas de segurança da informação sempre soam, deixando-me ansioso, mas sem ousar ultrapassar os limites. Após alguns testes, descobri que a proteção de segurança de rede da empresa é difícil de ser superada. Este artigo fará uma breve análise da zona amarela da área de P&D. A zona verde é uma área livre, sem informações importantes por padrão, geralmente é a rede de funcionários externos. A zona vermelha possui níveis extremamente altos de proteção de rede, ainda não tive contato prolongado, apenas um contato breve com a zona vermelha localizada no laboratório de equipamentos de rede, onde estão armazenados vários grandes switches, sendo o núcleo da rede interna da empresa. Se a zona vermelha for violada, seria equivalente a violar a rede regional, pelo menos por um período de tempo a rede de um prédio inteiro pode ser paralisada.
Método de Firewall de Roteador
Criptografia: A criptografia usa chave pública, o que é uma chave pública? Simplesmente entendida como uma chave, esta chave pode ser distribuída para todos, mas só pode ser trancada, não pode ser destrancada. Esta é uma expressão extremamente concreta, abaixo será um pouco mais abstrata. A chave pública é um número A, há uma informação M, usando A para criptografar M com a operação $$f(A, M)$$, a informação obtida não pode ser facilmente descriptografada reversamente, semelhante à diferença de dificuldade entre calcular o quadrado de um número e calcular sua raiz quadrada, ou a diferença de dificuldade entre combinar termos semelhantes e fatorar. A descriptografia reversa será muito difícil e demorada, usando supercomputadores levaria anos ou décadas.
Descriptografia: O servidor usa a chave privada para descriptografar, todas as informações criptografadas vindas de todas as direções podem ser descriptografadas usando a mesma chave privada.
Homem do Meio: O papel do homem do meio é semelhante a um megafone, para o cliente ele é o servidor, e para o servidor ele é um usuário comum. Por causa do papel de megafone, todas as informações de ambos os lados são totalmente visíveis. Descrito de forma simples, a Huawei atua como um homem do meio muito poderoso, todo o tráfego de rede externo passa por sua varredura, o tráfego que não usa as portas 80/443 é totalmente bloqueado.
Como quebrar: Como a zona amarela só tem portas específicas que podem usar servidores proxy para entrar e sair da rede pública, todas as outras portas são bloqueadas por padrão, então, estritamente falando, não há vazamento no tráfego de rede. Podemos gerar manualmente chaves, criptografar manualmente na rede interna e descriptografar manualmente na rede externa, assim, pelo menos, as informações vistas pelo homem do meio não podem ser realmente analisadas. Como enviar o criptografador para a rede interna? Email/welink/página web tudo serve, mas deixará rastros, entre eles, enviar secretamente através da página web tem o menor impacto e os rastros são menos perceptíveis. Ou simplesmente copiar a chave para o papel, salvar no computador da empresa, completamente imperceptível, exceto pelas câmeras espalhadas pela empresa. O ssh do github gentilmente suporta ssh over 443, após testes descobri que também não funciona, afinal, o proxy como firewall pode facilmente identificar sites de alto risco assim. De acordo com minha experiência pessoal, o firewall da empresa é baseado em lista branca, não em lista negra, ou seja, mesmo criando um servidor ssh próprio, também será bloqueado pelo proxy. Ao acessar sites desconhecidos no navegador, há uma página de redirecionamento que avisa “consequências por sua conta”, já na janela do terminal simplesmente mostra que a conexão foi fechada.
A Huawei é uma empresa que começou com redes, há muitos especialistas em redes, tecnicamente quase impossível de superar, provavelmente só a engenharia social pode superar isso.
Método de Firewall Local
O sistema Windows instala aplicativos de segurança, os usuários não podem alterar livremente as configurações, as configurações são distribuídas uniformemente pelos administradores. As permissões de acesso à rede do aplicativo podem ser baseadas em listas negras e brancas, alguns aplicativos não podem acessar a rede. A nova versão do vscode não pode usar o canal proxy.