如何检查GRE隧道

Question

有办法检查GRE隧道吗？我听说垃圾邮件发送者将使用GRE隧道从另一个中央机器发送邮件，并希望检查可能的GRE隧道。

Answer 1

首先，让我指出，你似乎是在胡扯错树。

说“我听说垃圾邮件发送者将使用GRE隧道从另一台中央机器发送邮件”就像说“我听说垃圾邮件发送者将使用TCP从另一台中央机器发送邮件”：这两种说法都是100%正确的。这两种情况都是不可避免的，除非您打算删除环境中的所有网络连接。

换句话说:如果GRE隧道确实是一个安全问题，而且您在您的环境中没有合法的使用它们，那么您应该阻止防火墙上的所有GRE通信，并完成它。

对于任何其他协议或服务，也可以这样说:如果您不使用它，就不要允许它存在--这只是另一个安全漏洞。

其次，为了建立一个GRE隧道，您需要两台机器参与其中--客户机和端点。

• 如果您的系统是客户端，这意味着垃圾邮件发送者已经可以访问您的机器(因此，您已经处于一个糟糕的位置，因为您正在给垃圾邮件发送者提供帐户，或者他们已经侵入)。
• 如果您的系统是端点，这意味着垃圾邮件发送者可以访问，并且能够配置它来接受和终止传入的隧道(这很可能意味着它们有根，而且您肯定处于一个糟糕的位置)。

如果您仍在阅读，这意味着(a)您需要允许GRE通信(出于某种原因)，和(b)您可以合理地确定您的系统没有受到破坏，因此它将成为垃圾邮件通信的源或目的地。

老实说，在这种情况下，我不会再担心隧道的交通了。

但是，如果您仍然担心，您应该采取以下三个步骤：

1. 确保防火墙只允许GRE (或任何其他隧道协议)通信往来于特定的授权地址或块。
2. 确保隧道的建立必须有良好的、强有力的认证。
3. 可以通过使用隧道协议(GRE、ESP等)查找流量来审计网络流量。如果你看到了意想不到的事情，那就报警吧。