Bastion Host
Hostitel Bastion je účelové počítač v síti speciálně navržen a nakonfigurován tak, aby odolaly útokům. Počítač obvykle hostí jedinou žádost, například proxy server , a všechny ostatní služby jsou odstraněny nebo omezeny na snížení ohrožení počítače. To je tvrzené tímto způsobem především díky své poloze a účelu, který je buď na vnější straně firewallu nebo v DMZ a obvykle zahrnuje přístup z nedůvěryhodných sítí a počítačů.
Pozadí
Termín je obecně připisována Marcus J. Ranum v článku diskutovat
firewally . V něm definuje bašta hostitele jako
... Systém identifikován správce firewallu jako kritický bod v silné zabezpečení sítě. Obecně platí, bašta hostitelé budou mít určitý stupeň zvláštní pozorností k jejich bezpečnosti, mohou podstoupit pravidelné audity, a mohou mít upravený software.
Definice
Je
to systém, identifikován firewall administrátorem jako kritické silné stránky v
oblasti bezpečnosti sítě. Hostitel bašta je počítač, který je plně vystavena
útoku. Systém je na veřejné straně demilitarizované zóny (DMZ), nechráněný
prostřednictvím brány firewall nebo filtrování směrovače. Často role těchto
systémů jsou důležité pro zabezpečení sítě systému. Ve skutečnosti jsou
firewally a routery lze považovat za Bastion hostitelé. Vzhledem k jejich
expozici, hodně úsilí musí být uveden do navrhování a konfiguraci bašta
hostitelů, aby se minimalizovalo šance na proniknutí. Jiné typy bašta hostitelů
zahrnují web, mail, DNS, a FTP servery.
Umístění
Existují dva běžné síťové konfigurace, které zahrnují bašta
hostitelů a jejich umístění. První vyžaduje dva firewally, s bašta hostitelů
sedí mezi prvním firewallem "vnějšího světa", a vnitřní firewall, v
demilitarizované zóny ( DMZ ). Často menší sítě nemají více firewally, takže
pokud existuje pouze jeden firewall v síti, Bastion hostitelé jsou obvykle
umístěny mimo firewall.
Bastion hostitelé se vztahují k tomuto multi počítačů a stíněné hostitelů . Zatímco dual-adresami hostitel často obsahuje firewall, to je také používáno k hostiteli i další služby. Stíněný hostitel je dual-adres hostitele, který se věnuje běhu firewallu. Bastion server lze také nastavit pomocí ProxyCommand s OpenSSH.
Příklady
Jedná se o několik příkladů bašta hostitelských systémů / služby:
DNS (Domain Name System) serveru
Email Server
FTP (File Transfer Protocol)
serveru
Honeypot
Proxy server
VPN (Virtual Private Network) serveru
Webový server
Best Practices
Vzhledem k tomu, Bastion hostitelé jsou
obzvláště náchylné k útoku, vzhledem k úrovni požadované přístupu s vnějším
světem, aby byly užitečné, existuje několik návrhů osvědčených postupů
následovat:
Zakažte nebo
odeberte všechny nepotřebné služby nebo démony na hostiteli.
Zakažte nebo
odeberte všechny nepotřebné uživatelské účty .
Zakažte nebo odeberte všechny
nepotřebné síťové protokoly .
Konfigurace protokolování a zkontrolujte
protokoly pro případné útoky.
Spuštění detekční systém narušení na hostiteli.
Záplatování operačního systému s nejnovějšími aktualizacemi zabezpečení.
Lock
dolů uživatelských účtů, stejně jako je to možné, zejména kořenů nebo správce
účtů.
Zavřete všechny porty, které nejsou potřeba, nebo ne použité.
Použít
šifrování pro přihlášení do serveru.