Tek Yönlü Ağ Bağlantısı

11

Ayrı bilgisayarlar vb.İle iki ayrı ağ (bir çevrimdışı, bir çevrimiçi) çalıştıran çok paranoyak bir istemcim var.

Çevrimdışı ağda çalışacak bir uygulama yazdım ancak ağın istemcilere e-posta gönderebilmesi gerekiyor. Benim fikrim, çevrimdışı sunucudan e-postaları gönderen çevrimiçi bir bilgisayara tek yönlü bir ağ bağlantısına (diyot gibi) sahip olmak.

Yarı maliyet etkin olan bu konuda en etkili yol nedir? Tek yönlü bir ağ kartı alabilir miyim?

Windows Server 2008 Ağı, Windows PC.

windows-server-2008  networking 
bumble_bee_tuna
kaynak
1
SMTP tanım gereği iki yönlü bir protokoldür, bu yüzden asla gerçek bir tek yönlü iletişim kuramazsınız. Gönderen sunucunun her zaman alıcıdan postanın doğru bir şekilde alındığına dair bir bildirim alması gerekir.
EEAA
3
Nasıl hakkında UUCP sneakernet aracılığıyla?
EEAA
1
Spor ayakkabı giyen kişiye rüşvet verilebileceği için IPoAC kullanmak daha iyidir. Bakınız: en.wikipedia.org/wiki/IP_over_Avian_Carriers
Mircea Vutcovici
Kuş taşıyıcıları da rüşvet edilebilir .... Sadece biraz kuş tohum gerekir :-)
Tonny
1
@ErikA doğrudur: Eğer bir değişmez tek yönlü transfer istiyorsanız, UUCP olduğunu çevrimdışı bilgisayarlardan internete mesajlar vermek için zaman içinde test yolu. Kullanım yazma kez medya olmak istiyorsanız (örneğin CD-R diskler) gerçekten emin veriler sadece tek bir yönde hareket olduğunu.
Skyhawk

Yanıtlar:

18

Temelde, ikisi arasında gerçekten sıkı kurallara sahip bir güvenlik duvarına ihtiyacınız vardır, temelde 'Tümünü reddet' kuralı denir ve sonra tek bir noktaya ihtiyacınız olan şey için tek bağlantı noktası giden kuralını işaret etmenize izin verir. Bu bir güvenlik / ağ görevlisi için kolaydır ve müşteriniz için tatmin edici olmalıdır.

Chopper3
kaynak
10

Onlara tam olarak paranoyak demezdim ve güvenlik konusundaki tutumlarını alkışlarım.

Ayrı ağların sorununa gittiler, muhtemelen bir güvenlik duvarı kurma sorununa da gittiler. Güvenlik duvarında yalnızca 25 numaralı bağlantı noktasındaki trafiğin çevrimdışı ağınızdaki belirli bir IP adresinden çevrimiçi ağınızdaki belirli bir IP adresine geçmesine izin veren küçük bir delik, hile işlemini mükemmel bir şekilde yapmalıdır.

Ben Pilbrow
kaynak
7
Ya da daha iyisi: belirli bir mac adresinden. Veya daha da iyisi: 802.1x tarafından doğrulanan belirli bir mac adresinden
pauska
7

Güvenli sunucuda yalnızca GND ve TX ve güvenli olmayan ağda GNS ve RX olan bir seri bağlantı kullanırdım. Güvenli olmayan ağdan güvenli ağa bilgi sızdırmak için bu kullanılabilir hiçbir akış kontrolü.

2 cinsten oluşan küçük bir SMTP-UDP-SMTP proxy'si oluşturacağım. SMTP2UDP ve UDP2SMTP.

SMTP2UDP, güvenli ağda çalışacak ve seri bağlantıda UDP kullanarak gönderilecek e-postaları kabul edecek uyumlu olmayan bir MTA olacaktır.

UDP2SMTP güvenli olmayan ağda çalışacak ve e-postaları UDP üzerinden kabul edecek ve gerçek bir MTA'ya gönderecektir.

Seri bağlantıda , diyotun gereksinimlerde kullanılması için bir optokuplör kullanacağım.

Mircea Vutcovici
kaynak
4

Mektuba gereksinimleri uygulamak istiyorsanız, e-postalarını UDP (veya benzer bir tek yönlü protokol) aracılığıyla bu paketleri dinleyen ve SMTP aracılığıyla SMTP aracılığıyla gönderen tek yönlü bir IP bağlantısı kullanabilirsiniz. amaçlanan alıcı.

Elbette, gönderen (çevrimdışı) sistemin gerçekten dışarı çıkıp çıkmadıkları hakkında hiçbir fikri yoktur. Bu onaylamanın gerçekleşmesi için, Ben ve Chopper3'ün yanıtladığı gibi minimal bir güvenlik duvarı kurulumuna ihtiyacınız vardır.

MikeyB
kaynak
1

TCP protokolü iki yönlü iletişime ihtiyaç duyar. Bu kurulum , uygulamanızın güvenilir intranette çalıştığı ve posta sunucusu ve / veya alıcıların güvenilmeyen DMZ bölgesinde bulunduğu bir DMZ tasarımına benzer .

İyi yapılandırılmış bir güvenlik duvarı, bağlantıların yalnızca güvenilir intranet üzerinden başlatılmasına izin verebilir, bunun tersine değil. Bu yeterli değilse, iki ağ arasındaki herhangi bir fiziksel bağlantınızın istemcinizi tatmin edeceğinden şüpheliyim, bu da otomatik olarak posta gönderemeyeceğiniz anlamına gelir.

Martijn Heemels
kaynak
1
IP yok değil iki yönlü iletişim gerektirir.
MikeyB
1
TCP'den bahsediyordu. SMTP yalnızca TCP üzerinden çalışıyor. Ve TCP iki yönlü iletişim gerektirir. Cevabını düzenleyeceğim.
Mircea Vutcovici
SMTP iki yönlü iletişime ihtiyaç duyar. Giden SMTP komutları için bir yol, gelen SMTP yanıtları için bir yol. Hedef SMTP sunucusundan / işleminden gelen yanıtların kaynaktaki SMTP sunucusuna / işlemine erişebilmesi gerekir. Kaynak sunucu, giden bağlantılar için geçici bir bağlantı noktası kullanacağından, kaynak sunucuyu, giden SMTP iletişimini başlatmak için her zaman önceden tanımlanmış bir bağlantı noktası kullanacak şekilde yapılandırmanız gerekir. Güvenlik duvarı kuralı bu şekilde tek bir kaynak bağlantı noktasına ve tek bir hedef bağlantı noktasına kilitlenir.
joeqwerty
Sorudaki hiçbir şey SMTP gerektirmez. Posta göndermenin birden fazla yolu vardır.
MikeyB
0

Ağları ayırmak için bu kapsamda gitmişlerse, ortada posta etkin bir kutu bulunan iki güvenlik duvarı bulunmalıdır. Çevrimdışı tarafta, bu kutuya yapılan bağlantıların yalnızca özel uygulamanız üzerinden mesaj göndermesine izin vermek için izin verin. Çevrimiçi tarafta, yalnızca posta sunucusuna smtp bağlantısına izin verin.

Her arabirimde çalışan yazılım güvenlik duvarına sahip tek bir çift bağlantılı kutu ile aynı çok etkili bir şekilde yapabilirsiniz, ancak şeylerin ayrılması birkaç ek koruma katmanı oluşturacak ve tercih edilecektir.

Paul Ackerman
kaynak
0

İç ve dış olmak üzere iki posta sunucum olacaktı. Sunucuların sürekli olarak giden e-postaları bir dosyaya eklemesini sağlayın ve çoğu zaman dosyayı yeniden adlandırın, bir USB anahtarına kopyalayın ve diğer sunucudaki bir gelen klasöre bırakın. Ağ sunucularında kaç kurulum hava boşluğu gerçekleştirdiğidir.

Geciktirmek çok önemliyse, dış istemcilerden birinden gönderilebilir.

SilverbackNet
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.