Connexion réseau à sens unique

11

J'ai un client très paranoïaque qui gère deux réseaux distincts (un hors ligne, un en ligne) avec des PC séparés, etc.

J'ai un défi en ce sens que j'ai écrit une application pour eux qui s'exécutera sur le réseau hors ligne, mais le réseau doit pouvoir envoyer des e-mails aux clients. Mon idée est d'avoir une connexion réseau à sens unique (comme une diode) du serveur hors ligne à un PC en ligne qui enverrait les e-mails.

Quelle est la façon la plus efficace de procéder à ce sujet qui est semi-rentable? Puis-je obtenir une carte réseau unidirectionnelle?

Réseau Windows Server 2008, PC Windows.

windows-server-2008 networking bumble_bee_tuna
la source
1
SMTP est, par définition, un protocole bidirectionnel, vous ne pourrez donc jamais avoir une véritable communication unidirectionnelle. Le serveur d'envoi devra toujours recevoir un accusé de réception du destinataire que le courrier a été reçu correctement.
EEAA
3
Que diriez - vous UUCP via sneakernet?
EEAA
1
Il vaut mieux utiliser IPoAC car le porteur de baskets peut être soudoyé. Voir: en.wikipedia.org/wiki/IP_over_Avian_Carriers
Mircea Vutcovici
Les transporteurs aviaires peuvent également être corrompus .... Vous avez juste besoin de graines pour oiseaux :-)
Tonny
1
@ErikA est correct: si vous voulez un transfert unidirectionnel littéral, UUCP est le moyen éprouvé pour transmettre des messages à Internet à partir d'ordinateurs hors ligne. Utilisez des supports inscriptibles une seule fois (par exemple des disques CD-R) si vous voulez vraiment être sûr que vos données ne se déplacent que dans une seule direction.
Skyhawk

Réponses:

18

Fondamentalement, vous avez juste besoin d'un pare-feu entre les deux avec des règles très strictes, essentiellement quelque chose appelé une règle `` Refuser tout '', puis autorisez un seul point unidirectionnel à pointer une règle sortante à un seul port pour ce dont vous avez besoin. C'est facile pour un gars de sécurité / réseau et devrait être satisfaisant pour votre client.

Chopper3
la source
10

Je ne les appellerais pas exactement paranoïaques et j'applaudis leur attitude envers la sécurité.

S'ils se sont donné la peine de créer des réseaux distincts, ils se sont probablement aussi donné la peine d'installer un pare-feu. Un petit trou dans le pare-feu qui permet uniquement au trafic sur le port 25 de passer d'une adresse IP spécifique de votre réseau hors ligne à une adresse IP spécifique de votre réseau en ligne devrait parfaitement faire l'affaire.

Ben Pilbrow
la source
7
Ou encore mieux: à partir d'une adresse mac spécifique. Ou encore mieux: à partir d'une adresse mac spécifique authentifiée par 802.1x
pauska
7

J'utiliserais une liaison série qui n'a que GND et TX sur le serveur sécurisé et GNS et RX sur le réseau non sécurisé. Aucun contrôle de flux car cela peut être utilisé pour divulguer des informations d'un réseau non sécurisé vers un réseau sécurisé.

Je créerais un petit proxy SMTP-UDP-SMTP composé de 2 démons. SMTP2UDP et UDP2SMTP.

SMTP2UDP sera un MTA non conforme qui s'exécutera sur le réseau sécurisé et acceptera les e-mails qui seront envoyés en utilisant UDP sur la liaison série.

UDP2SMTP s'exécutera sur un réseau non sécurisé et acceptera les e-mails via UDP et les enverra à un véritable MTA.

Sur la liaison série, j'utiliserais un optocoupleur pour utiliser la diode dans les exigences.

Mircea Vutcovici
la source
4

Si vous souhaitez mettre en œuvre les exigences à la lettre, vous pouvez utiliser une liaison IP unidirectionnelle qui envoie ses e-mails via UDP (ou un protocole unidirectionnel similaire) à un démon personnalisé qui a écouté ces paquets et les a envoyés via SMTP au destinataire.

Bien sûr, le système d'envoi (hors ligne) n'aurait aucune idée s'il s'est effectivement éteint ou non. Pour que cette reconnaissance se produise, vous avez besoin d'une configuration de pare-feu minimale comme Ben et Chopper3 ont répondu.

MikeyB
la source
1

Le protocole TCP nécessite des communications bidirectionnelles. Cette configuration ressemble à une conception DMZ , où votre application s'exécute dans l'intranet approuvé et où le serveur de messagerie et / ou les destinataires existent dans la zone DMZ non approuvée.

Un pare-feu bien configuré ne pourra autoriser que les connexions à être lancées à partir de l'intranet approuvé, et non l'inverse. Si cela ne suffit pas, je doute que toute connexion physique entre les deux réseaux satisfasse votre client, ce qui signifie que vous ne pourrez pas envoyer de courrier automatiquement.

Martijn Heemels
la source
1
IP ne nécessite pas de communication bidirectionnelle.
MikeyB
1
Il faisait référence à TCP. SMTP fonctionne uniquement via TCP. Et TCP nécessite une communication bidirectionnelle. Je vais modifier sa réponse.
Mircea Vutcovici
SMTP a besoin d'une communication bidirectionnelle. Une façon pour les commandes SMTP sortantes et l'autre manière pour les réponses SMTP entrantes. Les réponses du serveur / processus SMTP cible doivent pouvoir atteindre le serveur / processus SMTP sur la source. Étant donné que le serveur source utilisera un port éphémère pour les connexions sortantes, vous devrez configurer le serveur source pour toujours utiliser un port prédéfini pour initier la communication SMTP sortante. De cette façon, la règle de pare-feu est verrouillée sur un seul port source et un seul port de destination.
joeqwerty
Rien dans la question ne nécessite SMTP. Il existe plusieurs façons d'envoyer du courrier.
MikeyB
0

S'ils sont allés dans cette mesure pour séparer les réseaux, il devrait y avoir deux pare-feu en place ici avec une boîte à extension messagerie au milieu. Du côté hors ligne, autorisez uniquement les connexions à cette boîte pour vider les messages à envoyer via votre application personnalisée. Du côté en ligne, autorisez uniquement la connexion smtp au serveur de messagerie.

Vous pouvez faire la même chose de manière très rentable avec une seule boîte à double hébergement avec un pare-feu logiciel exécuté sur chaque interface, mais le fait de séparer les éléments créera plusieurs couches de protection supplémentaires et serait préférable.

Paul Ackerman
la source
0

Je voudrais juste avoir deux serveurs de messagerie, un interne et un externe. Demandez aux serveurs d'ajouter en permanence des e-mails sortants à un fichier et, de temps en temps, renommez le fichier, copiez-le sur une clé USB et déposez-le dans un dossier entrant sur l'autre serveur. C'est le nombre d'installations qui exécutent des intervalles d'air dans les serveurs réseau.

S'il est trop important de retarder, il peut être envoyé par l'un des clients externes.

SilverbackNet
la source