Linux

如何檢查 GRE 隧道

  • April 17, 2013

有沒有辦法檢查 GRE 隧道?我聽說垃圾郵件發送者會使用 GRE 隧道從另一台中央機器發送郵件,並希望檢查可能的 GRE 隧道。

首先,讓我指出你似乎在找錯樹。

說“我聽說垃圾郵件發送者將使用 GRE 隧道從另一台中央機器發送郵件”就像在說“我聽說垃圾郵件發送者將使用 TCP 從另一台中央機器發送郵件”:這兩種說法都是100% 正確。除非您打算斷開環境中的所有網路連接,否則這兩種情況也是不可避免的。

換句話說:如果 GRE 隧道確實是一個安全問題,並且您在您的環境中沒有合法使用它們,您應該在防火牆處阻止所有 GRE 流量並完成它。

對於任何其他協議或服務也可以這樣說:如果你不使用它,就不要讓它存在——這只是另一個安全漏洞。


其次,為了建立 GRE 隧道,您需要兩台機器參與其中——客戶端和端點。

  • 如果您的系統是客戶端,則意味著垃圾郵件發送者已經可以訪問您的電腦(因此您已經處於不利位置,因為您正在向垃圾郵件發送者提供帳戶,或者他們已經闖入)。
  • 如果您的系統是端點,這意味著垃圾郵件發送者可以訪問並且能夠將其配置為接受和終止傳入隧道(這可能意味著他們有根,而您肯定處於不利地位)。

如果您仍在閱讀這意味著 (a) 您需要允許 GRE 流量(出於某種原因),並且 (b) 您有理由確定您的系統沒有受到損害,以至於它將成為垃圾郵件發送者流量的來源或目的地

老實說,在這種情況下,我不會再擔心隧道流量了。

如果您仍然擔心,您應該採取三個步驟:

  1. 確保您的防火牆只允許 GRE(或任何其他隧道協議)流量進出特定的授權地址或塊。
  2. 確保必須建立具有良好、強身份驗證的隧道。
  3. 可以選擇通過使用隧道協議(GRE、ESP 等)查找流量來審核您的網路流量,如果您看到意外情況,請發出警報。

引用自:https://serverfault.com/questions/500364