Połączenie sieciowe w jedną stronę

11

Mam bardzo paranoicznego klienta, który prowadzi dwie oddzielne sieci (jedną offline, drugą online) z osobnymi komputerami itp.

Mam wyzwanie, ponieważ napisałem dla nich aplikację, która będzie działać w sieci offline, jednak sieć musi być w stanie wysyłać e-maile do klientów. Moim pomysłem jest stworzenie jednokierunkowego połączenia sieciowego (takiego jak dioda) z serwera offline do komputera online, który wysyłałby e-maile.

Jaki jest najskuteczniejszy sposób na osiągnięcie tego celu, który jest częściowo opłacalny? Czy mogę uzyskać jednokierunkową kartę sieciową?

Windows Server 2008 Network, komputer z systemem Windows.

windows-server-2008 networking bumble_bee_tuna
źródło
1
SMTP jest z definicji protokołem dwukierunkowym, więc nigdy nie będziesz w stanie uzyskać prawdziwej komunikacji jednokierunkowej. Serwer wysyłający zawsze będzie musiał otrzymać od odbiorcy potwierdzenie, że wiadomość została poprawnie odebrana.
EEAA
3
Co powiesz na UUCP przez sneakernet?
EEAA
1
Lepiej jest użyć IPoAC, ponieważ użytkownik sneakera może zostać przekupiony. Zobacz: en.wikipedia.org/wiki/IP_over_Avian_Carriers
Mircea Vutcovici,
Przewoźników ptaków również można przekupić .... Potrzebujesz tylko nasionka :-)
Tonny
1
@ErikA ma rację: jeśli chcesz dosłownego transferu w jedną stronę, UUCP to sprawdzony w czasie sposób dostarczania wiadomości do Internetu z komputerów offline. Użyj nośnika jednokrotnego zapisu (np. Płyt CD-R), jeśli chcesz być naprawdę pewien, że dane są przenoszone tylko w jednym kierunku.
Skyhawk,

Odpowiedzi:

18

Zasadniczo potrzebujesz tylko zapory ogniowej między tymi dwiema naprawdę ścisłymi regułami, w zasadzie czegoś, co nazywa się regułą „Odrzuć wszystko”, a następnie po prostu zezwól jednopunktowemu punktowi na wskazanie reguły wychodzącej z jednego portu na to, czego potrzebujesz. Jest to łatwe dla faceta ds. Bezpieczeństwa / sieci i powinno być satysfakcjonujące dla twojego klienta.

Siekacz 3
źródło
10

Nie nazwałbym ich paranoikami i pochwalam ich stosunek do bezpieczeństwa.

Jeśli mieli problem z oddzielnymi sieciami, prawdopodobnie również z trudem zainstalowali zaporę ogniową. Mała dziura w zaporze ogniowej, która zezwala na ruch na porcie 25 tylko z określonego adresu IP w sieci offline na określony adres IP w sieci online, powinna zrobić to doskonale.

Ben Pilbrow
źródło
7
Lub jeszcze lepiej: z określonego adresu Mac. Lub jeszcze lepiej: z określonego adresu
MAC
7

Użyłbym łącza szeregowego, które ma tylko GND i TX na zabezpieczonym serwerze oraz GNS i RX w niezabezpieczonej sieci. Brak kontroli przepływu, ponieważ można go wykorzystać do wycieku informacji z niezabezpieczonej sieci do zabezpieczonej.

Utworzyłbym małe proxy SMTP-UDP-SMTP, które składa się z 2 demonów. SMTP2UDP i UDP2SMTP.

SMTP2UDP będzie niezgodnym MTA, które będzie działać w bezpiecznej sieci i będzie akceptować wiadomości e-mail wysyłane za pomocą UDP na łączu szeregowym.

UDP2SMTP będzie działać w niezabezpieczonej sieci i będzie akceptować wiadomości e-mail za pośrednictwem UDP i wysyłać je do prawdziwego MTA.

Na łączu szeregowym użyłbym transoptora, aby użyć diody w wymaganiach.

Mircea Vutcovici
źródło
4

Jeśli chcesz zaimplementować wymagania do listu, możesz użyć jednokierunkowego łącza IP, które wysłało swoje wiadomości e-mail za pośrednictwem UDP (lub podobnego protokołu jednokierunkowego) do niestandardowego demona, który nasłuchiwał tych pakietów i wysłał je za pośrednictwem SMTP do zamierzony adresat.

Oczywiście system wysyłający (offline) nie miałby pojęcia, czy faktycznie wyszedł, czy nie. Aby to potwierdzić, potrzebujesz minimalnej konfiguracji zapory ogniowej, ponieważ Ben i Chopper3 odpowiedzieli.

MikeyB
źródło
1

Protokół TCP wymaga dwukierunkowej komunikacji. Ta konfiguracja brzmi podobnie do projektu DMZ , w którym aplikacja działa w zaufanym intranecie, a serwer pocztowy i / lub adresaci znajdują się w niezaufanej strefie DMZ.

Dobrze skonfigurowana zapora ogniowa będzie mogła zezwolić na inicjowanie połączeń tylko z zaufanego intranetu, a nie na odwrót. Jeśli to nie wystarczy, wątpię, aby jakiekolwiek fizyczne połączenie między dwiema sieciami zadowoliło twojego klienta, co oznacza, że ​​nie będziesz mógł automatycznie wysyłać poczty.

Martijn Heemels
źródło
1
IP nie wymaga dwukierunkowej komunikacji.
MikeyB
1
Miał na myśli TCP. SMTP działa tylko poprzez TCP. A TCP wymaga dwukierunkowej komunikacji. Zmienię jego odpowiedź.
Mircea Vutcovici,
SMTP wymaga komunikacji dwukierunkowej. Jeden sposób dla wychodzących poleceń SMTP i drugi sposób dla przychodzących odpowiedzi SMTP. Odpowiedzi z docelowego serwera / procesu SMTP muszą być w stanie dotrzeć do serwera / procesu SMTP w źródle. Ponieważ serwer źródłowy będzie używał efemerycznego portu dla połączeń wychodzących, musisz skonfigurować serwer źródłowy, aby zawsze używał predefiniowanego portu do inicjowania wychodzącej komunikacji SMTP. W ten sposób reguła zapory jest zablokowana do jednego portu źródłowego i jednego portu docelowego.
joeqwerty
Nic w pytaniu nie wymaga SMTP. Jest więcej niż jeden sposób wysyłania poczty.
MikeyB,
0

Jeśli poszli w tym zakresie, aby oddzielić sieci, powinny tu być dwie zapory ogniowe z polem obsługującym pocztę. Po stronie offline zezwalaj tylko na połączenia z tym polem, aby zrzucić wiadomości wysyłane za pośrednictwem niestandardowej aplikacji. Po stronie online zezwalaj tylko na połączenie smtp z serwerem poczty.

Możesz zrobić to samo bardzo opłacalnie za pomocą pojedynczej skrzynki z podwójną ramką z zaporą programową działającą na każdym interfejsie, ale oddzielenie rzeczy stworzy kilka dodatkowych warstw ochrony i byłoby lepiej.

Paul Ackerman
źródło
0

Chciałbym mieć tylko dwa serwery poczty, wewnętrzny i zewnętrzny. Niech serwery stale dołączają wychodzące wiadomości e-mail do pliku i co jakiś czas zmieniają nazwę pliku, kopiują go na klucz USB i upuszczają w folderze przychodzącym na innym serwerze. Tak wiele instalacji wykonuje luki powietrzne na serwerach sieciowych.

Jeśli opóźnienie jest zbyt ważne, można je wysłać od jednego z zewnętrznych klientów.

SilverbackNet
źródło