Connessione di rete unidirezionale

11

Ho un client molto paranoico che gestisce due reti separate (una offline, una online) con PC separati ecc.

Ho una sfida in quanto ho scritto un'applicazione per loro che verrà eseguita sulla rete offline, tuttavia la rete deve essere in grado di inviare e-mail ai client. La mia idea è di avere una connessione di rete unidirezionale (come un diodo) dal server offline a un PC online che invierebbe le e-mail.

Qual è il modo più efficace per fare ciò che è semi-conveniente? Posso ottenere una scheda di rete a senso unico?

Rete Windows Server 2008, PC Windows.

windows-server-2008  networking 
bumble_bee_tuna
fonte
1
SMTP è, per definizione, un protocollo bidirezionale, quindi non sarai mai in grado di avere una vera comunicazione unidirezionale. Il server di invio dovrà sempre ricevere una conferma dal destinatario che la posta è stata ricevuta correttamente.
EEAA
3
Che ne dici di UUCP tramite sneakernet?
EEAA
1
Meglio usare IPoAC poiché chi indossa le sneaker può essere corrotto. Vedi: en.wikipedia.org/wiki/IP_over_Avian_Carriers
Mircea Vutcovici
Anche i corrieri aviari possono essere corrotti .... Hai solo bisogno di alcuni semi di uccelli :-)
Tonny,
1
@ErikA è corretto: se si desidera un trasferimento letterale di sola andata, UUCP è il modo testato nel tempo per inviare messaggi a Internet da computer offline. Utilizzare supporti di scrittura singola (ad es. Dischi CD-R) se si desidera essere veramente sicuri che i dati si muovano in una sola direzione.
Skyhawk,

Risposte:

18

Fondamentalmente hai solo bisogno di un firewall tra i due con regole molto rigide, fondamentalmente qualcosa chiamato una regola 'Nega tutto' e quindi consenti solo un punto unidirezionale per puntare la regola in uscita a porta singola per quello che ti serve. Questo è facile per un ragazzo di sicurezza / rete e dovrebbe essere soddisfacente per il tuo cliente.

Chopper3
fonte
10

Non li definirei esattamente paranoici e plaudo al loro atteggiamento nei confronti della sicurezza.

Se sono andati in difficoltà con reti separate, probabilmente hanno anche avuto problemi con l'installazione di un firewall. Un piccolo buco nel firewall che consente solo al traffico sulla porta 25 di passare da un indirizzo IP specifico nella rete offline a un indirizzo IP specifico nella rete online dovrebbe fare perfettamente il trucco.

Ben Pilbrow
fonte
7
O ancora meglio: da un indirizzo mac specifico. O ancora meglio: da un indirizzo mac specifico autenticato da 802.1x
pauska il
7

Vorrei utilizzare un collegamento seriale che ha solo GND e TX sul server sicuro e GNS e RX sulla rete non sicura. Nessun controllo di flusso in quanto può essere utilizzato per trasferire informazioni dalla rete non protetta a quella protetta.

Vorrei creare un piccolo proxy SMTP-UDP-SMTP composto da 2 demoni. SMTP2UDP e UDP2SMTP.

SMTP2UDP sarà un MTA non conforme che verrà eseguito sulla rete protetta e accetterà e-mail che invieranno tramite UDP sul collegamento seriale.

UDP2SMTP verrà eseguito su una rete non sicura e accetterà le e-mail tramite UDP e le invierà a un MTA reale.

Sul collegamento seriale utilizzerei un fotoaccoppiatore per utilizzare il diodo nei requisiti.

Mircea Vutcovici
fonte
4

Se si desidera implementare i requisiti per la lettera, è possibile utilizzare un collegamento IP unidirezionale che ha inviato le proprie e-mail tramite UDP (o un protocollo unidirezionale simile) a un demone personalizzato che ha ascoltato questi pacchetti e li ha inviati tramite SMTP al destinatario voluto.

Naturalmente, il sistema di invio (offline) non avrebbe idea se fossero effettivamente usciti o meno. Perché questo riconoscimento accada, è necessaria una configurazione minima del firewall come hanno risposto Ben e Chopper3.

MikeyB
fonte
1

Il protocollo TCP necessita di comunicazioni a due vie. Questa configurazione sembra simile a un design DMZ , in cui l'app viene eseguita nella rete Intranet attendibile e il server di posta e / o i destinatari esistono nella zona DMZ non attendibile.

Un firewall ben configurato sarà in grado di consentire solo le connessioni da avviare dall'intranet fidata, e non viceversa. Se ciò non bastasse, dubito che qualsiasi connessione fisica tra le due reti soddisferà il tuo cliente, il che significa che non sarai in grado di inviare automaticamente la posta.

Martijn Heemels
fonte
1
L'IP non richiede una comunicazione bidirezionale.
MikeyB,
1
Si riferiva a TCP. SMTP funziona solo tramite TCP. E TCP richiede una comunicazione a 2 vie. Modificherò la sua risposta.
Mircea Vutcovici,
SMTP richiede una comunicazione a due vie. Un modo per i comandi SMTP in uscita e l'altro per le risposte SMTP in entrata. Le risposte dal server / processo SMTP di destinazione devono essere in grado di raggiungere il server / processo SMTP sull'origine. Poiché il server di origine utilizzerà una porta temporanea per le connessioni in uscita, è necessario configurare il server di origine in modo da utilizzare sempre una porta predefinita per avviare la comunicazione SMTP in uscita. In questo modo la regola del firewall è bloccata su una singola porta di origine e una singola porta di destinazione.
joeqwerty,
Niente nella domanda richiede SMTP. C'è più di un modo per inviare posta.
MikeyB,
0

Se sono riusciti a separare le reti in questo modo, dovrebbero essere presenti due firewall con una casella abilitata alla posta nel mezzo. Sul lato offline, consenti solo le connessioni a questa casella per scaricare i messaggi da inviare tramite l'app personalizzata. Sul lato online, consentire solo la connessione smtp al server di posta.

Potresti fare lo stesso in modo molto conveniente con una singola casella dual-homed con firewall software in esecuzione su ciascuna interfaccia ma avere le cose separate creerà diversi livelli di protezione aggiuntivi e sarebbe preferibile.

Paul Ackerman
fonte
0

Avrei solo due server di posta, uno interno e uno esterno. Chiedi ai server di aggiungere continuamente e-mail in uscita a un file e ogni tanto rinominare il file, copiarlo su una chiave USB e rilasciarlo in una cartella in arrivo sull'altro server. Questo è il numero di installazioni che eseguono gap d'aria nei server di rete.

Se è troppo importante ritardare, può essere inviato da uno dei client esterni.

SilverbackNet
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.