Einweg-Netzwerkverbindung

11

Ich habe einen sehr paranoiden Client, der zwei separate Netzwerke (eines offline, eines online) mit separaten PCs usw. betreibt.

Ich habe eine Herausforderung darin, dass ich eine Anwendung für sie geschrieben habe, die im Offline-Netzwerk ausgeführt wird. Das Netzwerk muss jedoch in der Lage sein, E-Mails an Clients zu senden. Meine Idee ist eine Einweg-Netzwerkverbindung (wie eine Diode) vom Offline-Server zu einem Online-PC, der die E-Mails senden würde.

Was ist der effektivste Weg, um dies zu erreichen, der halb kosteneffektiv ist? Kann ich eine Einweg-Netzwerkkarte bekommen?

Windows Server 2008-Netzwerk, Windows-PC.

windows-server-2008 networking bumble_bee_tuna
quelle
1
SMTP ist per Definition ein Zwei-Wege-Protokoll, sodass Sie niemals eine echte Ein-Wege-Kommunikation haben können. Der sendende Server muss immer eine Bestätigung vom Empfänger erhalten, dass die E-Mail korrekt empfangen wurde.
EEAA
3
Wie wäre es mit UUCP via Sneakernet?
EEAA
1
Besser ist es, IPoAC zu verwenden, da der Sneaker-Träger bestochen werden kann. Siehe: en.wikipedia.org/wiki/IP_over_Avian_Carriers
Mircea Vutcovici
Vogelträger können auch bestochen werden ... Sie brauchen nur etwas Vogelfutter :-)
Tonny
1
@ErikA ist richtig: Wenn Sie eine buchstäbliche Einwegübertragung wünschen, ist UUCP die bewährte Methode, um Nachrichten von Offline-Computern an das Internet zu übermitteln. Verwenden Sie einmal beschreibbare Medien (z. B. CD-R-Discs), wenn Sie wirklich sicher sein möchten , dass sich Daten nur in eine Richtung bewegen.
Skyhawk

Antworten:

18

Grundsätzlich benötigen Sie nur eine Firewall zwischen den beiden mit wirklich strengen Regeln, im Grunde genommen eine sogenannte "Alle verweigern" -Regel, und lassen dann nur eine einzige Einweg-Punkt-zu-Punkt-Ausgangsregel für einen Port für das zu, was Sie benötigen. Dies ist für einen Sicherheits- / Netzwerk-Mitarbeiter einfach und sollte für Ihren Kunden zufriedenstellend sein.

Chopper3
quelle
10

Ich würde sie nicht gerade als paranoid bezeichnen, und ich begrüße ihre Einstellung zur Sicherheit.

Wenn sie sich die Mühe gemacht haben, separate Netzwerke zu installieren, haben sie sich wahrscheinlich auch die Mühe gemacht, eine Firewall zu installieren. Ein kleines Loch in der Firewall, durch das nur der Datenverkehr auf Port 25 von einer bestimmten IP-Adresse in Ihrem Offline-Netzwerk zu einer bestimmten IP-Adresse in Ihrem Online-Netzwerk geleitet werden kann, sollte den Trick perfekt ausführen.

Ben Pilbrow
quelle
7
Oder noch besser: von einer bestimmten Mac-Adresse. Oder noch besser besser: Von einer bestimmten Mac-Adresse, die von 802.1x authentifiziert wurde
Pause
7

Ich würde eine serielle Verbindung verwenden, die nur GND und TX auf dem gesicherten Server und GNS und RX im unsicheren Netzwerk hat. Keine Flusskontrolle, da dies verwendet werden kann, um Informationen vom unsicheren Netzwerk an das gesicherte zu übertragen.

Ich würde einen kleinen SMTP-UDP-SMTP-Proxy erstellen, der aus 2 Daemons besteht. SMTP2UDP und UDP2SMTP.

SMTP2UDP ist ein nicht kompatibler MTA, der im sicheren Netzwerk ausgeführt wird und E-Mails akzeptiert, die über UDP auf der seriellen Verbindung gesendet werden.

UDP2SMTP wird in einem unsicheren Netzwerk ausgeführt und akzeptiert E-Mails über UDP und sendet sie an einen echten MTA.

Auf der seriellen Verbindung würde ich einen Optokoppler verwenden , um die Diode in den Anforderungen zu verwenden.

Mircea Vutcovici
quelle
4

Wenn Sie die Anforderungen für den Brief implementieren möchten, können Sie eine Einweg-IP-Verbindung verwenden, die ihre E-Mails über UDP (oder ein ähnliches unidirektionales Protokoll) an einen benutzerdefinierten Dämon sendet, der diese Pakete abhört und sie über SMTP an den sendet vorgesehener Empfänger.

Natürlich hätte das sendende (Offline-) System keine Ahnung, ob sie tatsächlich ausgegangen sind oder nicht. Damit diese Bestätigung erfolgt, benötigen Sie ein minimales Firewall-Setup, wie Ben und Chopper3 geantwortet haben.

MikeyB
quelle
1

Das TCP-Protokoll benötigt eine bidirektionale Kommunikation. Dieses Setup ähnelt einem DMZ-Design , bei dem Ihre App im vertrauenswürdigen Intranet ausgeführt wird und der Mailserver und / oder die Empfänger in der nicht vertrauenswürdigen DMZ-Zone vorhanden sind.

Eine gut konfigurierte Firewall kann nur zulassen, dass Verbindungen über das vertrauenswürdige Intranet hergestellt werden, und nicht umgekehrt. Wenn dies nicht ausreicht, bezweifle ich, dass eine physische Verbindung zwischen den beiden Netzwerken Ihren Client zufriedenstellt, was bedeutet, dass Sie keine E-Mails automatisch senden können.

Martijn Heemels
quelle
1
IP erfordert keine bidirektionale Kommunikation.
MikeyB
1
Er bezog sich auf TCP. SMTP funktioniert nur über TCP. Und TCP erfordert eine bidirektionale Kommunikation. Ich werde seine Antwort bearbeiten.
Mircea Vutcovici
SMTP benötigt eine bidirektionale Kommunikation. Eine Möglichkeit für die ausgehenden SMTP-Befehle und die andere für die eingehenden SMTP-Antworten. Die Antworten vom Ziel-SMTP-Server / -Prozess müssen in der Lage sein, den SMTP-Server / -Prozess auf der Quelle zu erreichen. Da der Quellserver einen kurzlebigen Port für ausgehende Verbindungen verwendet, müssen Sie den Quellserver so konfigurieren, dass immer ein vordefinierter Port zum Initiieren der ausgehenden SMTP-Kommunikation verwendet wird. Auf diese Weise wird die Firewall-Regel auf einen einzelnen Quellport und einen einzelnen Zielport beschränkt.
Joeqwerty
Nichts in der Frage erfordert SMTP. Es gibt mehrere Möglichkeiten, E-Mails zu senden.
MikeyB
0

Wenn sie so weit gegangen sind, um die Netzwerke zu trennen, sollten hier zwei Firewalls mit einer Mail-fähigen Box in der Mitte vorhanden sein. Erlauben Sie auf der Offline-Seite nur Verbindungen zu diesem Feld, um Nachrichten zu sichern, die über Ihre benutzerdefinierte App gesendet werden. Erlauben Sie auf der Online-Seite nur die SMTP-Verbindung zum Mailserver.

Sie könnten das gleiche sehr kostengünstig mit einer einzigen Dual-Homed-Box mit Software-Firewall tun, die auf jeder Schnittstelle ausgeführt wird. Wenn Sie jedoch die Dinge voneinander trennen, werden mehrere zusätzliche Schutzschichten erstellt, die vorzuziehen sind.

Paul Ackerman
quelle
0

Ich hätte nur zwei Mailserver, einen internen und einen externen. Lassen Sie die Server ausgehende E-Mails kontinuierlich an eine Datei anhängen und die Datei von Zeit zu Zeit umbenennen, auf einen USB-Stick kopieren und in einem eingehenden Ordner auf dem anderen Server ablegen. So viele Installationen führen Luftspalte in Netzwerkservern aus.

Wenn es zu wichtig ist, um zu verzögern, kann es von einem der externen Clients gesendet werden.

SilverbackNet
quelle