genugate-datendiode, Technische Broschüre (PDF) - GeNUA
genugate-datendiode, Technische Broschüre (PDF) - GeNUA
genugate-datendiode, Technische Broschüre (PDF) - GeNUA
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Abb. 3: Der Kommunikationsprozess im Überblick<br />
Das SMTP2TCP-Relay auf der schwarzen Seite erhält lediglich eine einzige Rückmeldung<br />
am Ende der Mail-Übertragung. Entweder wird die Verbindung mit einem FIN-Paket<br />
geschlossen oder ein RST-Paket versendet: Im ersten Fall wurde die Mail erfolgreich<br />
angenommen, im zweiten Fall abgelehnt. Diese Information wird an den sendenden<br />
Mailserver weitergegeben.<br />
Dieser Aufbau gewährleistet, dass keine TCP-Pakete aus dem roten ins schwarze Netz<br />
gelangen. Alle TCP-Pakete ins rote Netz werden von der Datendiode selbst erzeugt. Zusätzlich<br />
werden Mails immer erst weitergegeben, nachdem diese vollständig empfangen<br />
wurden. Außerdem werden die Mails gespoolt.<br />
Der PFL: Ein Stateful Paketfilter verbindet die beiden ALGs miteinander. Er arbeitet als<br />
Router und lässt vom roten Netz nur TCP-Pakete durch, die bestimmten Regeln genügen.<br />
Der PFL wird benötigt, um TCP-Optionen verlässlich zu entfernen, da beim Aufbau von<br />
TCP-Verbindungen standardmäßig die ersten Pakete mit Optionen ausgeliefert werden.<br />
Gleichzeitig kontrolliert der PFL die ordnungsgemäße Funktion des SMTP2TCP- und des<br />
TCP2SMTP-Relays. Sollten vom roten Netz TCP-Pakete gesendet werden, die nicht ausschließlich<br />
der TCP-Steuerung dienen, werden diese vom PFL verworfen. Zusätzlich wird<br />
die Verbindung terminiert.<br />
Das rote ALG: Beim roten ALG nimmt das TCP2SMTP-Relay den TCP-Stream aus dem<br />
schwarzen Netz entgegen und setzt die entsprechenden Mails aus dem TCP-Stream<br />
wieder so zusammen, dass sie erneut per SMTP verschickt werden können.<br />
An dieser Stelle besteht nochmals die Möglichkeit einer inhaltlichen Prüfung. Eine Überprüfung<br />
auf Viren erfolgt jedoch normalerweise nur auf der schwarzen Seite, da im roten<br />
Netz die Aktualisierung von Antivirus-Pattern nicht möglich ist bzw. einen hohen Aufwand<br />
erfordert. Anschließend wird die Mail an den Ziel-Mailserver auf der roten Seite weiter<br />
Seite 6