Koneksi Jaringan Satu Arah

11

Saya memiliki klien yang sangat paranoid yang menjalankan dua jaringan terpisah (satu offline, satu online) dengan PC terpisah dll.

Saya memiliki tantangan karena saya telah menulis sebuah aplikasi untuk mereka yang akan berjalan di jaringan offline tetapi jaringan harus dapat mengirim email ke klien. Ide saya adalah memiliki koneksi jaringan satu arah (seperti dioda) dari server offline ke PC online yang akan mengirim email.

Apa cara paling efektif untuk melakukan ini yang semi efektif? Bisakah saya mendapatkan kartu jaringan satu arah?

Windows Server 2008 Network, Windows PC.

windows-server-2008 networking bumble_bee_tuna
sumber
1
SMTP, menurut definisi, adalah protokol dua arah, jadi Anda tidak akan pernah bisa memiliki komunikasi satu arah yang benar. Server pengirim akan selalu perlu menerima pemberitahuan kembali dari penerima bahwa surat diterima dengan benar.
EEAA
3
Bagaimana dengan UUCP via sneakernet?
EEAA
1
Lebih baik menggunakan IPoAC karena pemakai sneaker dapat disuap. Lihat: en.wikipedia.org/wiki/IP_over_Avian_Carriers
Mircea Vutcovici
Pengangkut burung juga bisa disuap .... Anda hanya perlu benih burung :-)
Tonny
1
@ErikA benar: jika Anda ingin transfer satu arah literal, UUCP adalah dengan cara yang telah teruji untuk menyampaikan pesan ke internet dari komputer offline. Gunakan media tulis-sekali (misalnya cakram CD-R) jika Anda ingin benar - benar yakin bahwa Anda memiliki data yang bergerak hanya dalam satu arah.
Skyhawk

Jawaban:

18

Pada dasarnya Anda hanya perlu firewall antara keduanya dengan aturan yang sangat ketat, pada dasarnya sesuatu yang disebut aturan 'Tolak semua' dan kemudian cukup izinkan satu titik jalan tunggal untuk menunjukkan aturan keluar port tunggal untuk apa yang Anda butuhkan. Ini mudah bagi petugas keamanan / jaringan dan harus memuaskan untuk klien Anda.

Chopper3
sumber
10

Saya tidak akan menyebut mereka paranoid, dan saya memuji sikap mereka terhadap keamanan.

Jika mereka pergi ke masalah jaringan yang terpisah, mereka mungkin juga pergi ke masalah menginstal firewall. Sebuah lubang kecil di firewall yang hanya memungkinkan lalu lintas pada port 25 untuk lulus dari alamat IP tertentu di jaringan offline Anda ke alamat IP tertentu di jaringan online Anda harus melakukan trik dengan sempurna.

Ben Pilbrow
sumber
7
Atau bahkan lebih baik: dari alamat mac tertentu. Atau bahkan lebih baik lebih baik: Dari alamat mac tertentu yang diautentikasi oleh 802.1x
pauska
7

Saya akan menggunakan tautan serial yang hanya memiliki GND dan TX di server aman dan GNS dan RX di jaringan tidak aman. Tidak ada kontrol aliran karena ini dapat digunakan untuk membocorkan informasi dari jaringan tidak aman ke jaringan aman.

Saya akan membuat proxy SMTP-UDP-SMTP kecil yang terdiri dalam 2 daemon. SMTP2UDP dan UDP2SMTP.

SMTP2UDP akan menjadi MTA yang tidak patuh yang akan berjalan di jaringan aman dan menerima email yang akan dikirim menggunakan UDP pada tautan serial.

UDP2SMTP akan berjalan di jaringan tidak aman dan menerima email melalui UDP dan mengirimkannya ke MTA nyata.

Pada tautan serial saya akan menggunakan optocoupler untuk memanfaatkan dioda dalam persyaratan.

Mircea Vutcovici
sumber
4

Jika Anda ingin menerapkan persyaratan pada surat tersebut, Anda dapat menggunakan tautan IP satu arah yang mengirim emailnya melalui UDP (atau protokol searah yang serupa) ke daemon khusus yang mendengarkan paket-paket ini dan mengirimkannya melalui SMTP ke penerima yang dituju.

Tentu saja, sistem pengiriman (offline) tidak akan tahu apakah mereka benar-benar keluar atau tidak. Agar pengakuan ini terjadi, Anda memerlukan pengaturan firewall minimal seperti yang dijawab Ben dan Chopper3.

MikeyB
sumber
1

Protokol TCP membutuhkan komunikasi dua arah. Pengaturan ini terdengar mirip dengan desain DMZ , di mana aplikasi Anda berjalan di intranet tepercaya, dan server surat dan / atau penerima ada di zona DMZ yang tidak terpercaya.

Firewall yang terkonfigurasi dengan baik hanya akan memungkinkan koneksi untuk diinisiasi dari intranet tepercaya, dan bukan sebaliknya. Jika itu tidak cukup, saya ragu koneksi fisik antara kedua jaringan akan memuaskan klien Anda, yang berarti Anda tidak akan dapat mengirim email secara otomatis.

Martijn Heemels
sumber
1
IP tidak memerlukan komunikasi dua arah.
MikeyB
1
Dia merujuk ke TCP. SMTP hanya berfungsi melalui TCP. Dan TCP membutuhkan komunikasi 2 arah. Saya akan mengedit jawabannya.
Mircea Vutcovici
SMTP membutuhkan komunikasi dua arah. Satu cara untuk perintah SMTP keluar dan cara lain untuk respons SMTP masuk. Respons dari server / proses SMTP target harus dapat mencapai server / proses SMTP pada sumbernya. Karena server sumber akan menggunakan porta sesaat untuk koneksi keluar Anda harus mengkonfigurasi server sumber untuk selalu menggunakan port yang telah ditentukan untuk memulai komunikasi SMTP keluar. Dengan begitu aturan firewall dikunci ke port sumber tunggal dan port tujuan tunggal.
joeqwerty
Tidak ada dalam pertanyaan yang membutuhkan SMTP. Ada lebih dari satu cara untuk mengirim surat.
MikeyB
0

Jika mereka sudah sejauh ini memisahkan jaringan, harus ada dua firewall di sini dengan kotak berkemampuan email di tengah. Di sisi offline, hanya izinkan koneksi ke kotak ini untuk mengirim pesan melalui aplikasi khusus Anda. Di sisi online, hanya izinkan koneksi smtp ke server email.

Anda dapat melakukan hal yang sama dengan biaya yang sangat efektif dengan satu kotak dual-homed dengan firewall perangkat lunak yang berjalan pada setiap antarmuka tetapi memisahkan hal-hal akan membuat beberapa lapisan perlindungan tambahan dan lebih disukai.

Paul Ackerman
sumber
0

Saya hanya akan memiliki dua server surat, internal dan eksternal. Mintalah server terus-menerus menambahkan email keluar ke file, dan sering kali mengganti nama file, menyalinnya pada kunci USB, dan menjatuhkannya di folder masuk di server lain. Ini adalah berapa banyak instalasi melakukan celah udara di server jaringan.

Jika terlalu penting untuk ditunda, itu dapat dikirim dari salah satu klien luar.

SilverbackNet
sumber