迟到的必然

我们实验室的内部局域网是接在一个网关上的，这个网关是一个有WAN IP的Linux Server (两块网卡，一块连向WAN，一块连向LAN)，所有内部的机器通过网关来上网。对于外界来说，只有网关的22 (ssh)端口是打开的，其他都是关闭的。一直以来，简单得以为只要保持security update的更新，我们就是安全的。 所以，局域网内的机器，用户都自己管理自己的机器，爱干什么干什么。事实上，这套设置已经使用了8年以上了，也从来没有出过什么问题。可惜，没出过问题，并不代表没有问题。终于，上个周末，问题就发生了。

上周末的某个时段，局域网中的某一台机器，向Internet上的1800多个不同的IP发出了ICMP包。学校的border router立马认为这是Excessive ICMP Traffic ，然后马上把我们的这台网关的IP给Block掉了。等星期一，大家到办公室准备开始工作的时候，傻眼了，不能上网了。于是，向系里系统管理员咨询，得知了情况。学校要求我们找出问题所在。但是，我们网关上没有packet level的log（又一个失误），所以不能确定周末到底发生了什么。于是，开始启动log。偏偏从这时起，所有机器都老老实实的，没有任何异常。于是要求大家开始查virus查spyware，最后终于在某台windows server上找到一个spyware具有port scan的功能，但是目前并没有启动， 不知道周末是不是曾启动过。

痛定思痛，还是只有在网关上设置严格的防火墙规则。默认把所有Forward Chain上的TCP, UDP, ICMP包全部扔掉，除了那些通往常用端口（80, 443等有限的几个）的。同时，log所有进出的packet。

所有这些事情干完，学校才最终同意解封。

其实，我们原来的简单设置，能撑了8年，已经是奇迹了。8年以前，局域网内只有寥寥几台机器；那个时候几乎没有任何spyware。8年之后，有几十台机器；spyware泛滥。这次的事情只是迟到的必然，只能亡羊补牢了。

Tags:Firewall Gateway Network Security Spyware