nixp.ru v3.0

9 октября 2024,
среда,
16:47:16 MSK

Div написал 30 января 2004 года в 14:52 (993 просмотра) Ведет себя как мужчина; открыл 2 темы в форуме, оставил 11 комментариев на сайте.

Hi All!

Вот возникла у меня следующая задача. Имеются две сети, одна Intranet, подключеная к Internet, состоит из Win2k рабочих станций в группе и нескольких Linux серверов (squid, sendmail и т.п.), вторая Localnet, неподключена ни куда, представляет из себя Win2k домен. Если сейчас нужно что-то перенести из одной сети в другую, то копируется это на дискетку, а потом уже с дискетки копируется на другой компутер, считается, что так безопаснее… :)

Я, раскритиков эту схему в пух и прах, предложил свою… Ставим отдельный компутер с двумя сетевыми картами, каждая из которых смотрит только в одну из сетей. На компутере инсталируем сетевой протокол отличный от tcp/ip, но делаем это таким образом, чтобы обеспечить механизм ограниченного и контролируемого доступа с компутеров из Intranet и Localnet к этому gateway или наоборот, чтобы только gateway имел доступ к компутерам из Intranet и Localnet. На gateway ставим софт (пишем софт), который бы позволял взять файл из одной сети, провести его структурный контроль и если все Ok, то поместить его в другую сеть…

Что думает глубокоуважаемый All, по поводу идеи, а главное реализации?

decvar
протокол отличный от tcp/ip

А нафига?

Гораздо проще либо поставить гейт из одной сети в другую+DMZ зону между ними. Либо cisco апаратный файрвол прямо между сетями+по поутеру на каждую сеть и прописать hosts на роутерах….ИМХО так проще…

Div
decvar
А нафига?

Гораздо проще либо поставить гейт из одной сети в другую+DMZ зону между ними. Либо cisco апаратный файрвол прямо между сетями+по поутеру на каждую сеть и прописать hosts на роутерах….ИМХО так проще…

Ничего не проще! Во-первых нужно исключить (даже теоретически) возможность прямого доступа из одной сети в другую, т.е. ни о каком форварде и речи быть не может. Во-вторых использование стека протоколов отличное от tcp/ip диктуется тем, что никоим образом пакет полученный из Инет не может быть напрямую пропущен через наш gateway. Если только не рассматривать гипотетическую возможность того, что кулхацкер захватит полный контроль над одной из машин Intranet и установит на ней шлюз между tcp/ip и нашим протоколом, но даже тогда он должен еще будет установить контроль над нашим gateway, а вероятность этих двух событий близка к нулю…

Genie

Ставим по компьютеру-связисту в каждой из сетей. настраиваем их (можно openwall-патчики воткнуть для бОльшей устойчивости), маршрутизацию на них отключаем напрочь..

Соединяем эти компы между собой. ssh-туннелем, vpn-соединением — там хоть по инетернету пустить можно.

Обмен можно сделать простым_почтовым_механизмом. Лучше SMTP+IMAP(с SSL/TSS), но и связка SMTP+POP3 тоже сойдёт.

С одной сетки кидают на своего «связиста» нужный файл. Тот его отправляет на складирование на второго, где и дожидается своей очереди на обработку. Ну и обратно также.

Только изврат это.. imho…

Dmitry Ivanov
Div
Hi All!

Что думает глубокоуважаемый All, по поводу идеи, а главное реализации?

Что для начала надо грамотно изложить ТЗ.

(идея — хлам)

Div
Dmitry Ivanov
Что для начала надо грамотно изложить ТЗ.

(идея — хлам)

Мда, ответы у Вас все такие емкие и содержательные, как инструкция по использованию туалетной бумаги… :)

Вообще-то я описал задачу в начале ветки, но если Вам это показалось непонятным, то попробую описать по другому…

Умеются две изолированные (аппаратно) сети. В каждой из них используется, в качестве основного, стек протоколов tcp/ip. Необходимо, не нарушая их изолированность (теперь уже имеется в виду — функциональную), обеспечить возможность передечи из одной сети в другую строго определенных (по внутреннему содержанию) файлов с данными, но только их и ничего другого. Следует учесть возможность компроментации каждой из сторон шлюза и свести к минимуму возможный ущерб безопасности от этого события.

Надеюсь так будет достаточно подробно?

Последние комментарии

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.