Hi All!
Вот возникла у меня следующая задача. Имеются две сети, одна Intranet, подключеная к Internet, состоит из Win2k рабочих станций в группе и нескольких Linux серверов (squid, sendmail и т.п.), вторая Localnet, неподключена ни куда, представляет из себя Win2k домен. Если сейчас нужно что-то перенести из одной сети в другую, то копируется это на дискетку, а потом уже с дискетки копируется на другой компутер, считается, что так безопаснее… :)
Я, раскритиков эту схему в пух и прах, предложил свою… Ставим отдельный компутер с двумя сетевыми картами, каждая из которых смотрит только в одну из сетей. На компутере инсталируем сетевой протокол отличный от tcp/ip, но делаем это таким образом, чтобы обеспечить механизм ограниченного и контролируемого доступа с компутеров из Intranet и Localnet к этому gateway или наоборот, чтобы только gateway имел доступ к компутерам из Intranet и Localnet. На gateway ставим софт (пишем софт), который бы позволял взять файл из одной сети, провести его структурный контроль и если все Ok, то поместить его в другую сеть…
Что думает глубокоуважаемый All, по поводу идеи, а главное реализации?
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
А нафига?
Гораздо проще либо поставить гейт из одной сети в другую+DMZ зону между ними. Либо cisco апаратный файрвол прямо между сетями+по поутеру на каждую сеть и прописать hosts на роутерах….ИМХО так проще…
Ничего не проще! Во-первых нужно исключить (даже теоретически) возможность прямого доступа из одной сети в другую, т.е. ни о каком форварде и речи быть не может. Во-вторых использование стека протоколов отличное от tcp/ip диктуется тем, что никоим образом пакет полученный из Инет не может быть напрямую пропущен через наш gateway. Если только не рассматривать гипотетическую возможность того, что кулхацкер захватит полный контроль над одной из машин Intranet и установит на ней шлюз между tcp/ip и нашим протоколом, но даже тогда он должен еще будет установить контроль над нашим gateway, а вероятность этих двух событий близка к нулю…
Ставим по компьютеру-связисту в каждой из сетей. настраиваем их (можно openwall-патчики воткнуть для бОльшей устойчивости), маршрутизацию на них отключаем напрочь..
Соединяем эти компы между собой. ssh-туннелем, vpn-соединением — там хоть по инетернету пустить можно.
Обмен можно сделать простым_почтовым_механизмом. Лучше SMTP+IMAP(с SSL/TSS), но и связка SMTP+POP3 тоже сойдёт.
С одной сетки кидают на своего «связиста» нужный файл. Тот его отправляет на складирование на второго, где и дожидается своей очереди на обработку. Ну и обратно также.
Только изврат это.. imho…
Что для начала надо грамотно изложить ТЗ.
(идея — хлам)
Мда, ответы у Вас все такие емкие и содержательные, как инструкция по использованию туалетной бумаги… :)
Вообще-то я описал задачу в начале ветки, но если Вам это показалось непонятным, то попробую описать по другому…
Умеются две изолированные (аппаратно) сети. В каждой из них используется, в качестве основного, стек протоколов tcp/ip. Необходимо, не нарушая их изолированность (теперь уже имеется в виду — функциональную), обеспечить возможность передечи из одной сети в другую строго определенных (по внутреннему содержанию) файлов с данными, но только их и ничего другого. Следует учесть возможность компроментации каждой из сторон шлюза и свести к минимуму возможный ущерб безопасности от этого события.
Надеюсь так будет достаточно подробно?