Бастионный хозяин
— Хост-бастион это компьютер специального назначения в сети, специально спроектированный и настроенный для противостояния атакам , названный так по аналогии с бастионом — военным укреплением. На компьютере обычно размещается одно приложение или процесс, например прокси-сервер или балансировщик нагрузки , а все остальные службы удаляются или ограничиваются, чтобы снизить угрозу для компьютера. Такая защита усилена в первую очередь из-за ее местоположения и назначения: либо за пределами брандмауэра , либо внутри демилитаризованной зоны ( DMZ ) и обычно предполагает доступ из ненадежных сетей или компьютеров. Эти компьютеры также оснащены специальными сетевыми интерфейсами, позволяющими противостоять атакам с высокой пропускной способностью через Интернет .
Определения
[ редактировать ]Этот термин обычно приписывается статье 1990 года, посвященной брандмауэрам , написанной Маркусом Дж. Ранумом , который определил хост-бастион как «систему, определенную администратором брандмауэра как критическую сильную точку в сетевой безопасности ». Как правило, хосты-бастионы будут иметь некоторую степень защиты. повышенное внимание уделяется их безопасности, могут проходить регулярные проверки и могут иметь модифицированное программное обеспечение». [1]
Его также описывают как «любой компьютер, который полностью подвержен атакам, находясь на общедоступной стороне DMZ , не защищен брандмауэром или фильтрующим маршрутизатором. Брандмауэры и маршрутизаторы, все, что обеспечивает безопасность контроля доступа по периметру, можно считать хостами-бастионами». Другие типы хостов-бастионов могут включать веб-серверы, почтовые, DNS и FTP-серверы. Из-за их уязвимости необходимо приложить немало усилий для проектирования и настройки хостов-бастионов, чтобы минимизировать вероятность проникновения». [2]
Размещение
[ редактировать ]Существует две распространенные конфигурации сети, включающие хосты-бастионы и их размещение. Первый требует двух брандмауэров, при этом хосты-бастионы располагаются между первым брандмауэром «внешнего мира» и внутренним брандмауэром. [3] : 33 в демилитаризованной зоне . Часто в небольших сетях нет нескольких брандмауэров, поэтому, если в сети существует только один брандмауэр, хосты-бастионы обычно размещаются за пределами брандмауэра. [4]
Варианты использования
[ редактировать ]Хотя обеспечение удаленного доступа является основным вариантом использования сервера-бастиона, есть еще несколько вариантов использования хоста-бастиона, например: [5]
- Шлюз аутентификации
- Альтернатива VPN
- Альтернатива внутренним инструментам администрирования
- Альтернатива передаче файлов
- Альтернативный способ поделиться учетными данными ресурса
- Обнаружение вторжений
- Управление запасами программного обеспечения
Примеры
[ редактировать ]Вот несколько примеров хост-систем/сервисов-бастионов:
- (система доменных имен) DNS- сервер
- Почтовый сервер
- (протокол передачи файлов) FTP- сервер
- Приманка
- Прокси-сервер
- VPN (виртуальной частной сети) Сервер
- Веб-сервер
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ «Думая о брандмауэрах» . Vtcif.telstra.com.au. 20 января 1990 г. Архивировано из оригинала 5 января 2020 г. Проверено 19 января 2012 г.
- ^ Рональд Л. Круц; Рассел Дин Вайнс (май 2003 г.). Руководство для подготовки к CISM: освоение пяти областей управления информационной безопасностью . Уайли. п. 12. ISBN 978-0-471-45598-1 .
- ^ Р. Ширей (август 2007 г.). Глоссарий по интернет-безопасности, версия 2 . Сетевая рабочая группа. дои : 10.17487/RFC4949 . РФК 4949 . Информационный.
- ^ Стивс, Кевин (16 октября 2002 г.). «Создание хоста-бастиона с использованием HP-UX 11» . WindowsSecurity.com . Архивировано из оригинала 8 июля 2017 года . Проверено 20 июля 2021 г.
- ^ «Альтернативные варианты использования хоста-бастиона» . Адаптивный.live . Адаптивный.