Conexión de red unidireccional

11

Tengo un cliente muy paranoico que ejecuta dos redes separadas (una fuera de línea, una en línea) con PC separadas, etc.

Tengo el desafío de haber escrito una aplicación para ellos que se ejecutará en la red fuera de línea, sin embargo, la red debe poder enviar correos electrónicos a los clientes. Mi idea es tener una conexión de red unidireccional (como un diodo) desde el servidor fuera de línea a una PC en línea que envíe los correos electrónicos.

¿Cuál es la forma más efectiva de hacer esto que es semi-rentable? ¿Puedo obtener una tarjeta de red unidireccional?

Windows Server 2008 Network, PC con Windows.

windows-server-2008 networking bumble_bee_tuna
fuente
1
SMTP es, por definición, un protocolo bidireccional, por lo que nunca podrá tener una verdadera comunicación unidireccional. El servidor emisor siempre deberá recibir un acuse de recibo del destinatario de que el correo se recibió correctamente.
EEAA
3
¿Qué tal UUCP a través de sneakernet?
EEAA
1
Mejor es usar IPoAC ya que el usuario de la zapatilla puede ser sobornado. Ver: en.wikipedia.org/wiki/IP_over_Avian_Carriers
Mircea Vutcovici
También se puede sobornar a los transportistas de aves ... Solo necesitas un poco de semilla de ave :-)
Tonny
1
@ErikA es correcto: si desea una transferencia unidireccional literal, UUCP es la forma comprobada de enviar mensajes a Internet desde computadoras fuera de línea. Use medios de escritura única (por ejemplo, discos CD-R) si desea estar realmente seguro de que los datos se mueven en una sola dirección.
Skyhawk

Respuestas:

18

Básicamente, solo necesita un firewall entre los dos con reglas realmente estrictas, básicamente algo llamado una regla de 'Denegar todo' y luego solo permite una sola regla de salida de un solo punto de un solo puerto para lo que necesita. Esto es fácil para un chico de seguridad / red y debería ser satisfactorio para su cliente.

Chopper3
fuente
10

No los llamaría exactamente paranoicos, y aplaudo su actitud hacia la seguridad.

Si se han tomado la molestia de redes separadas, probablemente también se hayan tomado la molestia de instalar un firewall. Un pequeño agujero en el firewall que solo permite que el tráfico en el puerto 25 pase de una dirección IP específica en su red fuera de línea a una dirección IP específica en su red en línea debería hacer el truco perfectamente.

Ben Pilbrow
fuente
77
O incluso mejor: desde una dirección mac específica. O incluso mejor: desde una dirección MAC específica autenticada por 802.1x
pauska
7

Usaría un enlace en serie que solo tenga GND y TX en el servidor seguro y GNS y RX en la red no segura. No hay control de flujo, ya que se puede utilizar para filtrar información de una red no segura a la segura.

Crearía un pequeño proxy SMTP-UDP-SMTP que se compone de 2 demonios. SMTP2UDP y UDP2SMTP.

SMTP2UDP será un MTA no compatible que se ejecutará en la red segura y aceptará correos electrónicos que se enviarán utilizando UDP en el enlace serie.

UDP2SMTP se ejecutará en una red no segura y aceptará correos electrónicos a través de UDP y los enviará a un MTA real.

En el enlace en serie, usaría un optoacoplador para utilizar el diodo en los requisitos.

Mircea Vutcovici
fuente
4

Si desea implementar los requisitos al pie de la letra, puede usar un enlace IP unidireccional que envíe sus correos electrónicos a través de UDP (o un protocolo unidireccional similar) a un demonio personalizado que escuchó estos paquetes y los envió por SMTP al destinatario.

Por supuesto, el sistema de envío (fuera de línea) no tendría idea de si realmente se apagaron o no. Para que este reconocimiento suceda, necesita una configuración mínima de firewall, ya que Ben y Chopper3 han respondido.

MikeyB
fuente
1

El protocolo TCP necesita comunicaciones bidireccionales. Esta configuración suena similar a un diseño DMZ , donde su aplicación se ejecuta en la intranet de confianza, y el servidor de correo y / o los destinatarios existen en la zona DMZ no confiable.

Un cortafuegos bien configurado solo permitirá que se inicien conexiones desde la intranet de confianza, y no al revés. Si eso no es suficiente, dudo que cualquier conexión física entre las dos redes satisfaga a su cliente, lo que significa que no podrá enviar correo automáticamente.

Martijn Heemels
fuente
1
IP no requiere comunicación bidireccional.
MikeyB
1
Se refería a TCP. SMTP funciona solo a través de TCP. Y TCP requiere comunicación de 2 vías. Editaré su respuesta.
Mircea Vutcovici
SMTP necesita comunicación bidireccional. Una forma para los comandos SMTP salientes y la otra para las respuestas SMTP entrantes. Las respuestas del servidor / proceso SMTP de destino deben poder llegar al servidor / proceso SMTP en la fuente. Dado que el servidor de origen usará un puerto efímero para las conexiones salientes, deberá configurar el servidor de origen para que siempre use un puerto predefinido para iniciar la comunicación SMTP saliente. De esa manera, la regla de firewall se bloquea en un solo puerto de origen y un solo puerto de destino.
joeqwerty
Nada en la pregunta requiere SMTP. Hay más de una forma de enviar correo.
MikeyB
0

Si han llegado a este punto para separar las redes, debería haber dos firewalls en su lugar aquí con un cuadro habilitado para correo en el medio. En el lado fuera de línea, solo permita conexiones a este cuadro para volcar mensajes para enviar a través de su aplicación personalizada. En el lado en línea, solo permita la conexión smtp al servidor de correo.

Podría hacer lo mismo de manera muy rentable con una sola caja de doble puerto con firewall de software ejecutándose en cada interfaz, pero separar las cosas creará varias capas adicionales de protección y sería preferible.

Paul Ackerman
fuente
0

Solo tendría dos servidores de correo, uno interno y otro externo. Haga que los servidores agreguen continuamente correos electrónicos salientes a un archivo, y de vez en cuando cambie el nombre del archivo, cópielo en una llave USB y colóquelo en una carpeta entrante en el otro servidor. Así es como muchas instalaciones realizan espacios de aire en los servidores de red.

Si es demasiado importante retrasarlo, puede ser enviado desde uno de los clientes externos.

SilverbackNet
fuente