德国正在讨论电信提供商是否必须更换华为等中国公司的硬件和软件。
给出的理由是,外国公司可以通过其管理软件记录数据流量或禁用 ISP 的网络元素。但令我惊讶的是:管理软件和用户数据都用于ISP的内部网络。换句话说,在公众无法访问的网络中。(类似于没有人(应该)访问您的家庭网络)
那么,如果您可以准确地控制哪些数据流量路由到哪里,从而仅允许从管理软件到所需服务器的连接并阻止其他所有内容,那么所谓的恶意软件如何能够在这里造成损害呢?
除了技术方面之外,当然还有经济制裁,这是肯定的,但我更感兴趣的是如何在技术上“突破”受控网络。
我可能还没有足够的洞察力。因此,我很想听听专家们对这个话题的看法,以及从技术角度来看政客们的担忧是否属实。
这是100%的猜测。但:
更常见的是,使网络“无法向公众访问”的原因不是路由能力,而是数据包过滤;防火墙在数据包被路由后丢弃来自“外部”的数据包(路由大多是不加区别的)。因此,提供数据包过滤的路由器或防火墙可以很容易地拥有不可见的规则,尽管外部访问看似被阻止,但仍然允许来自某些 IP 地址或符合某些标准的数据包。
(事实上,大多数家庭 WiFi 路由器已经有相当多的这些 - 既用于内部目的,通常也有一些用于 ISP 的管理。当然,这些在过去已被利用,例如某些路由器型号意外地离开了 UPnP IGD“端口转发” “可从 WAN 端访问的控件 – 路由器只有一个复选框“[✔]启用 UPnP”,它不会告诉您它已添加防火墙规则以使其工作,并且您通常无法检查哪种类型它已添加规则。)
在某个时间点,我们曾经有一台 HP ProCurve 交换机,需要有一个公共 IP 地址 - 它位于网络的最边缘,在我们的任何防火墙之外(并且我们的上级组织希望它能够对其进行 ping 操作)监控),但与大多数此类设备一样,它有自己的内置功能,仅限制对某些 IP 地址的访问。我们艰难地发现:1)无论您输入什么网络掩码,它都会“四舍五入”为整个八位字节并允许从整个 /24 进行访问;2) 有时在添加新的 IP 条目后,它会开始完全忽略列表并允许从任何地方进行访问,直到重新启动。
通常,合法管理员用来访问其网络的机制是某种 VPN(软件或设备),并且 VPN 系统中存在许多错误,有时甚至在过去允许不需要的访问的后门 – 例如,最近它是一个错误F5 BIG-IP中的错误,而就在几周前,Ivanti PulseSecure中存在一个错误,该错误仍在发布新闻文章等。
你不能总是判断 bug 是否是偶然的,但有时你会发现明显是故意的后门,比如Juniper 后门,或者Barracuda 后门等等(更不用说 NSA 篡改 Cisco 硬件的所有发现,早在 2015 年)或者...)
因此,从技术角度来看,如果您是网络设备制造商,那么很容易潜入一些东西来绕过您的法规(某人使用您的产品越多,您拥有的机会就越多)——这意味着,取决于哪个你的产品是在哪个国家开发的(不仅是中国,还包括英国的“调查权”法律),也很容易被迫偷偷溜进类似的东西。
与第 1 点相关的附加组件:有时,硬件可能会在某些数据包到达正常数据包过滤之前对其做出反应。我想到了几个实际例子:
许多服务器上都有“基板管理控制器”,例如品牌“iLO”或“iDRAC”。BMC 是一台永远在线、独立的计算机,在服务器内部运行,具有自己的 IP 地址,可以启动服务器、捕获其屏幕等(非常有用,但本质上也存在很大的安全风险,并且再次强调)你无法真正说出它有什么样的后门)。
BMC 几乎总是具有“共享 NIC”模式,在这种模式下,它们使用服务器内置 NIC 中的一项特殊功能,根据 MAC 地址对流量进行 Y 分割,因此您只需要一个以太网端口即可连接两个设备 - 希望使用 VLAN 进行分离,但很多人忘记或什至没有意识到他们的服务器有一个 BMC,只是让它通过 DHCP 获取公共地址。
Intel AMT,某些商用电脑中的远程管理功能。与 BMC 非常相似,它是一个永远在线的组件,可让您远程打开/关闭系统电源,只不过它是CPU 的一部分(并且依赖于内置以太网端口),而且它的网络方式更加邪恶:它会真正监听主机系统的 DHCP 数据包以了解您拥有的 IP 地址,然后它将单个 TCP 端口的数据包转移到自身。
这意味着,例如,如果您获得 IP 地址 192.168.1.7,则与 192.168.1.7 端口 16992 建立的 TCP 连接永远不会到达您的操作系统 – 它会直接进入 CPU 的 AMT;这意味着它无法被操作系统上的 Linux iptables 或 Windows 防火墙过滤。
光纤网络连接使用 SFP 模块来允许光学器件按需更换 - 您可以插入 SMF 模块、MMF 模块、铜 RJ45 模块、DAC 电缆...大多数 SFP 模块都非常基本,只是信号转换,但例如,有一些用于 GPON 或 VDSL 的模块,其中包含相当多的逻辑 - 您几乎可以在其中安装整个 GPON ONT,并具有自己的 IP 地址和配置。
当然,还有像“智能 SFP”这样的产品,它运行 Linux,并具有用于转移某些数据包的内置功能。这个相当大,如果您从“常规 SFP”订单中获得它,它显然有问题,但您大概明白了。