華為內網網路安全分析
Categories:
- 華為內網網路安全分析
華為公司內部有很多不錯的學習資料,自己也總結了很多知識經驗,一直想著如何導入到自己的知識庫。我清楚的明白這些通用化的知識是不涉密不敏感的,但資訊安全警鐘長鳴,讓人心癢又不敢越雷池一步。經過一些測試,我發現公司的網路安全保護比較難突破。本文將對研發區黃區作一點粗略解析。綠區屬於自由區域,默認無重要資訊,一般為外圍工作人員的網路。紅區為超高級別的網路防護,目前尚未有長時間深入接觸,簡單接觸到的紅區位於網路設備實驗室,存放各種大型交換機框架,是公司內網的樞紐,攻破紅區的話就相當於攻破了區域網路,至少一棟樓的網路是可以癱瘓一段時間的。
路由器防火牆方式
加密:加密使用公鑰,什麼是公鑰,簡單理解為鑰匙,這把鑰匙可以人手一把,但只能上鎖,不可以開鎖。以上是極為具現化的表達,下邊會稍微抽象一點,公鑰是一個數字 A,有一條資訊 M,用 A 對 M 進行加密操作$$f(A, M)$$,得到的資訊無法輕易反向解密,類似對數字求平方和求開方的難度區別,合併同類項和因式分解的難度區別。反向解密會非常困難且耗時,使用超級電腦也需要數年乃至數十年。
解密:服務端使用私鑰揭秘,四面八方匯聚來的已加密資訊可以使用同一把私鑰解密。
中間人:中間人角色類似傳話筒,對客戶端它是服務端,在服務端看來它是一個普通用戶。因為傳聲筒的角色,雙方的資訊它都一覽無餘。簡單描述的話,華為自身扮演了一個非常強大的中間人,所有外發的網路流量都會經過其掃描,不使用 80/443 端口的流量會全部攔截。
如何破解:由於黃區只有特定端口可以走代理伺服器進出公網,對其它端口默認全封,那麼嚴格來說網路流量就沒有漏洞。我們可以手動生成密鑰,在內網手動加密,再在外網手動解密,這樣至少中間人看到的資訊無法真正解析。加密器如何發送至內網,郵件/welink/網頁都可以,但都會留下痕跡,其中通過網頁直接秘密發送影響最小,痕跡最不明顯。或者直接把密鑰抄紙上,公司電腦保存起來,完全無法察覺,除了公司內遍佈的攝像頭。github 上的 ssh 貼心的支持 ssh over 443,經過測試發現也行不通,畢竟代理作為防火牆可以輕易識別這樣的高風險網站。根據自身體驗,公司的防火牆是基於白名單,而非黑名單,也就是即便是自建 ssh 伺服器,也會被代理攔住。在瀏覽器中訪問未知網站會有跳轉頁面提示「後果自負」,在終端窗口中直接就顯示連結被關了。
華為畢竟是搞網路起家,搞網路的能人異士眾多,技術上幾乎無法突破,恐怕唯有社會工程能突破了。
本地防火牆方式
Windows 系統會安裝安全應用,用戶無法隨意更改配置,配置由管理員統一下發。應用的網路訪問權限可能是黑白名單方式,部分應用無法訪問網路。vscode 的新版無法走代理通道。