Bastion Host

Hostitel Bastion je účelové počítač v síti speciálně navržen a nakonfigurován tak, aby odolaly útokům. Počítač obvykle hostí jedinou žádost, například proxy server , a všechny ostatní služby jsou odstraněny nebo omezeny na snížení ohrožení počítače. To je tvrzené tímto způsobem především díky své poloze a účelu, který je buď na vnější straně firewallu nebo v DMZ a obvykle zahrnuje přístup z nedůvěryhodných sítí a počítačů.

Pozadí
Termín je obecně připisována Marcus J. Ranum v článku diskutovat firewally . V něm definuje bašta hostitele jako

... Systém identifikován správce firewallu jako kritický bod v silné zabezpečení sítě. Obecně platí, bašta hostitelé budou mít určitý stupeň zvláštní pozorností k jejich bezpečnosti, mohou podstoupit pravidelné audity, a mohou mít upravený software.

Definice
Je to systém, identifikován firewall administrátorem jako kritické silné stránky v oblasti bezpečnosti sítě. Hostitel bašta je počítač, který je plně vystavena útoku. Systém je na veřejné straně demilitarizované zóny (DMZ), nechráněný prostřednictvím brány firewall nebo filtrování směrovače. Často role těchto systémů jsou důležité pro zabezpečení sítě systému. Ve skutečnosti jsou firewally a routery lze považovat za Bastion hostitelé. Vzhledem k jejich expozici, hodně úsilí musí být uveden do navrhování a konfiguraci bašta hostitelů, aby se minimalizovalo šance na proniknutí. Jiné typy bašta hostitelů zahrnují web, mail, DNS, a FTP servery.

Umístění
Existují dva běžné síťové konfigurace, které zahrnují bašta hostitelů a jejich umístění. První vyžaduje dva firewally, s bašta hostitelů sedí mezi prvním firewallem "vnějšího světa", a vnitřní firewall, v demilitarizované zóny ( DMZ ). Často menší sítě nemají více firewally, takže pokud existuje pouze jeden firewall v síti, Bastion hostitelé jsou obvykle umístěny mimo firewall.

Bastion hostitelé se vztahují k tomuto multi počítačů a stíněné hostitelů . Zatímco dual-adresami hostitel často obsahuje firewall, to je také používáno k hostiteli i další služby. Stíněný hostitel je dual-adres hostitele, který se věnuje běhu firewallu. Bastion server lze také nastavit pomocí ProxyCommand s OpenSSH.

Příklady
Jedná se o několik příkladů bašta hostitelských systémů / služby:

DNS (Domain Name System) serveru
Email Server
FTP (File Transfer Protocol) serveru
Honeypot
Proxy server
VPN (Virtual Private Network) serveru
Webový server
Best Practices
Vzhledem k tomu, Bastion hostitelé jsou obzvláště náchylné k útoku, vzhledem k úrovni požadované přístupu s vnějším světem, aby byly užitečné, existuje několik návrhů osvědčených postupů následovat:

Zakažte nebo odeberte všechny nepotřebné služby nebo démony na hostiteli.
Zakažte nebo odeberte všechny nepotřebné uživatelské účty .
Zakažte nebo odeberte všechny nepotřebné síťové protokoly .
Konfigurace protokolování a zkontrolujte protokoly pro případné útoky.
Spuštění detekční systém narušení na hostiteli.
Záplatování operačního systému s nejnovějšími aktualizacemi zabezpečení.
Lock dolů uživatelských účtů, stejně jako je to možné, zejména kořenů nebo správce účtů.
Zavřete všechny porty, které nejsou potřeba, nebo ne použité.
Použít šifrování pro přihlášení do serveru.