第三方供应商（例如华为）怎么会在无意中接管其产品的控制权？

Question

那么，如果您可以精确控制哪些数据流量被路由到哪里，从而仅允许从管理软件到所需服务器的连接并阻止其他所有连接，那么恶意软件如何能够在这里造成损害呢？

这完全是猜测。但是：

更常见的情况是，网络“无法向公众开放”的原因不是路由能力，而是数据包过滤；防火墙会丢弃来自“外部”的数据包后它们被路由（路由大多不加区分）。因此，提供数据包过滤的路由器或防火墙很容易拥有隐形规则，仍然允许来自某些 IP 地址的数据包 - 或者某些标准– 尽管外部访问似乎被阻止了。

（实际上，大多数家用 wifi 路由器已经配备了相当多的这些功能 - 既用于内部用途，也通常用于 ISP 管理。当然，这些功能在过去已经被利用，例如某些路由器型号意外地让 UPnP IGD“端口转发”控件可从 WAN 端访问 - 路由器只有一个复选框“[✔] 启用 UPnP”，它不会告诉您它已添加防火墙规则以使其工作，并且您通常无法检查它添加了什么样的规则。）

有一次，我们曾经有一台 HP ProCurve 交换机，它需要一个公共 IP 地址——它位于网络的最边缘，在我们的任何防火墙之外（我们的上级组织希望它能够被 ping 通，以便进行监控），但与大多数此类设备一样，它有自己的内置功能，可以限制仅对某些 IP 地址的访问。我们通过艰难的方式发现：1) 无论您输入什么网络掩码，它都会“四舍五入”为一个八位字节，并允许从整个 /24 进行访问；2) 有时在添加新的 IP 条目后，它会开始完全忽略列表，并允许从任何地方进行访问，直到重新启动。
通常，合法管理员用来访问其网络的机制是某种 VPN（软件或设备），并且已经许多VPN 系统中存在漏洞，有时甚至存在后门，允许过去未经授权的访问 - 例如最近F5 大 IP而就在几周前，它还是Ivanti PulseSecure这仍然是新闻文章，等等。

你无法总是判断漏洞是否是意外产生的，但有时你会发现明显是故意设置的后门，比如杜松子酒，或者梭鱼一号等等（更不用说 2015 年左右发现 NSA 篡改思科硬件了……）

因此从技术角度来看，如果你是一家网络设备制造商，那么很容易就能偷偷地绕过监管规定（你的产品使用得越多，你的机会就越多）——这意味着，根据你的产品是在哪个国家开发的（不仅是中国，还有英国的“调查权力”法律），也很容易被迫偷偷地做这样的事。

与第 1 点相关的补充：有时，硬件可以对某些数据包做出反应，甚至在它们到达正常数据包过滤之前。我想到了一些实际的例子：

许多服务器上都有“基板管理控制器”，例如品牌为“iLO”或“iDRAC”。BMC 是一台始终在线的独立计算机，运行在服务器内部，具有自己的 IP 地址，可以启动服务器、捕获服务器屏幕等（非常有用，但本质上也存在很大的安全风险，而且您无法真正分辨它有什么样的后门）。

BMC 几乎总是具有“共享 NIC”模式，其中它们使用服务器内置 NIC 中的特殊功能根据 MAC 地址对流量进行 Y 型拆分，因此您只需要一个以太网端口即可连接两个设备 - 希望使用 VLAN 进行分离，但许多人忘记了甚至没有意识到他们的服务器有一个 BMC，只是让它通过 DHCP 获取公共地址。
Intel AMT 是一些商用电脑中的一项远程管理功能。与 BMC 非常相似，它是一个始终开启的组件，可让您远程打开/关闭系统，但CPU 的一部分（并依赖于内置以太网端口），而且它的联网方式更加邪恶：它会窥探主机系统的 DHCP 数据包，以了解你的 IP 地址，然后它会转移数据包对于单个 TCP 端口对其本身而言。

这意味着，如果您获得的 IP 地址为 192.168.1.7，那么与 192.168.1.7 端口 16992 建立的 TCP 连接永远不会到达您的操作系统 - 它直接进入 CPU 的 AMT；这意味着它无法被操作系统上的 Linux iptables 或 Windows 防火墙过滤。
光纤网络连接使用 SFP 模块，允许光学器件按需更换 - 您可以插入用于 SMF 的模块、用于 MMF 的模块、用于铜 RJ45 的模块、DAC 电缆......大多数 SFP 模块都非常基础，仅进行信号转换，但是例如，用于 GPON 或 VDSL 的模块包含相当多的逻辑 - 您实际上可以将整个 GPON ONT 及其自己的 IP 地址和配置装入其中。

当然有类似产品“智能 SFP” 运行 Linux，具有用于转移某些数据包的内置功能。这个相当大，如果您从“常规 SFP”订单中获得它，它显然会发挥作用，但您大概明白了。

Answer 1

那么，如果您可以精确控制哪些数据流量被路由到哪里，从而仅允许从管理软件到所需服务器的连接并阻止其他所有连接，那么恶意软件如何能够在这里造成损害呢？

这完全是猜测。但是：

更常见的情况是，网络“无法向公众开放”的原因不是路由能力，而是数据包过滤；防火墙会丢弃来自“外部”的数据包后它们被路由（路由大多不加区分）。因此，提供数据包过滤的路由器或防火墙很容易拥有隐形规则，仍然允许来自某些 IP 地址的数据包 - 或者某些标准– 尽管外部访问似乎被阻止了。

（实际上，大多数家用 wifi 路由器已经配备了相当多的这些功能 - 既用于内部用途，也通常用于 ISP 管理。当然，这些功能在过去已经被利用，例如某些路由器型号意外地让 UPnP IGD“端口转发”控件可从 WAN 端访问 - 路由器只有一个复选框“[✔] 启用 UPnP”，它不会告诉您它已添加防火墙规则以使其工作，并且您通常无法检查它添加了什么样的规则。）

有一次，我们曾经有一台 HP ProCurve 交换机，它需要一个公共 IP 地址——它位于网络的最边缘，在我们的任何防火墙之外（我们的上级组织希望它能够被 ping 通，以便进行监控），但与大多数此类设备一样，它有自己的内置功能，可以限制仅对某些 IP 地址的访问。我们通过艰难的方式发现：1) 无论您输入什么网络掩码，它都会“四舍五入”为一个八位字节，并允许从整个 /24 进行访问；2) 有时在添加新的 IP 条目后，它会开始完全忽略列表，并允许从任何地方进行访问，直到重新启动。
通常，合法管理员用来访问其网络的机制是某种 VPN（软件或设备），并且已经许多VPN 系统中存在漏洞，有时甚至存在后门，允许过去未经授权的访问 - 例如最近F5 大 IP而就在几周前，它还是Ivanti PulseSecure这仍然是新闻文章，等等。

你无法总是判断漏洞是否是意外产生的，但有时你会发现明显是故意设置的后门，比如杜松子酒，或者梭鱼一号等等（更不用说 2015 年左右发现 NSA 篡改思科硬件了……）

因此从技术角度来看，如果你是一家网络设备制造商，那么很容易就能偷偷地绕过监管规定（你的产品使用得越多，你的机会就越多）——这意味着，根据你的产品是在哪个国家开发的（不仅是中国，还有英国的“调查权力”法律），也很容易被迫偷偷地做这样的事。

与第 1 点相关的补充：有时，硬件可以对某些数据包做出反应，甚至在它们到达正常数据包过滤之前。我想到了一些实际的例子：

许多服务器上都有“基板管理控制器”，例如品牌为“iLO”或“iDRAC”。BMC 是一台始终在线的独立计算机，运行在服务器内部，具有自己的 IP 地址，可以启动服务器、捕获服务器屏幕等（非常有用，但本质上也存在很大的安全风险，而且您无法真正分辨它有什么样的后门）。

BMC 几乎总是具有“共享 NIC”模式，其中它们使用服务器内置 NIC 中的特殊功能根据 MAC 地址对流量进行 Y 型拆分，因此您只需要一个以太网端口即可连接两个设备 - 希望使用 VLAN 进行分离，但许多人忘记了甚至没有意识到他们的服务器有一个 BMC，只是让它通过 DHCP 获取公共地址。
Intel AMT 是一些商用电脑中的一项远程管理功能。与 BMC 非常相似，它是一个始终开启的组件，可让您远程打开/关闭系统，但CPU 的一部分（并依赖于内置以太网端口），而且它的联网方式更加邪恶：它会窥探主机系统的 DHCP 数据包，以了解你的 IP 地址，然后它会转移数据包对于单个 TCP 端口对其本身而言。

这意味着，如果您获得的 IP 地址为 192.168.1.7，那么与 192.168.1.7 端口 16992 建立的 TCP 连接永远不会到达您的操作系统 - 它直接进入 CPU 的 AMT；这意味着它无法被操作系统上的 Linux iptables 或 Windows 防火墙过滤。
光纤网络连接使用 SFP 模块，允许光学器件按需更换 - 您可以插入用于 SMF 的模块、用于 MMF 的模块、用于铜 RJ45 的模块、DAC 电缆......大多数 SFP 模块都非常基础，仅进行信号转换，但是例如，用于 GPON 或 VDSL 的模块包含相当多的逻辑 - 您实际上可以将整个 GPON ONT 及其自己的 IP 地址和配置装入其中。

当然有类似产品“智能 SFP” 运行 Linux，具有用于转移某些数据包的内置功能。这个相当大，如果您从“常规 SFP”订单中获得它，它显然会发挥作用，但您大概明白了。

第三方供应商（例如华为）怎么会在无意中接管其产品的控制权？

答案1

相关内容