Как проверить туннели GRE

Question

Как проверить туннели GRE

Есть ли способ проверить наличие туннелей GRE? Я слышал, что спамеры будут использовать туннели GRE для отправки почты с центрального компьютера с другого и хотели бы проверить возможные туннели GRE.

0

linux networking iptables port-forwarding gre

Источник

Tiffany Walker 17 апр '13 в 21:22

1 ответ

Решение

Другие вопросы по тегам linux networking iptables port-forwarding gre

voretaq7 17 апр '13 в 22:35 2013-04-17 22:35 · Accepted Answer · 2013-04-17 22:35

Во-первых, позвольте мне указать, что вы, кажется, лаете не на то дерево.

Сказать "Я слышал, что спаммеры будут использовать туннели GRE для отправки почты с центрального компьютера с другого", все равно что сказать "Я слышал, что спамеры будут использовать TCP для отправки почты с центрального компьютера с другого": оба утверждения 100% верно. Оба условия также неизбежны, если вы не собираетесь разорвать все сетевые подключения в среде.

Другими словами: если туннели GRE действительно являются проблемой безопасности, и у вас нет законного использования их в вашей среде, вам следует заблокировать весь трафик GRE на вашем брандмауэре и покончить с этим.
То же самое можно сказать и о любом другом протоколе или услуге: если вы не используете его, не позволяйте ему существовать - это просто еще одна дыра в безопасности.

Во-вторых, чтобы установить туннель GRE, в нем должны участвовать две машины - клиент и конечная точка.

Если ваша система является клиентом, это означает, что спаммеры уже имеют доступ к вашей машине (так что вы, скорее всего, уже в плохом положении, потому что вы предоставляете учетные записи спамерам, или они взломали).
Если ваша система является конечной точкой, это означает, что спаммеры имеют доступ и могут настроить ее для приема и завершения входящих туннелей (что, вероятно, означает, что у них есть root, и вы определенно находитесь в плохом положении).

Если вы все еще читаете, это означает, что (а) вам необходимо разрешить трафик GRE (по какой-то причине), и (б) вы достаточно уверены, что ваша система не скомпрометирована так, что она станет источником или местом назначения для спамерского трафика

Честно говоря, в этом случае я бы больше не беспокоился о туннельном трафике.
Если вы все еще обеспокоены, есть три шага, которые вы должны предпринять:

Убедитесь, что ваш брандмауэр разрешает только трафик GRE (или любого другого протокола туннелирования) на определенные авторизованные адреса или блоки и из них.
Убедитесь, что туннели должны быть установлены с хорошей, строгой аутентификацией.
При желании можно проверять сетевой трафик путем поиска трафика по протоколу туннелирования (GRE, ESP и т. Д.) И, если вы видите что-то неожиданное, поднять тревогу по этому поводу.