Relação entre host bastião e host de salto

13

Quais são as diferenças / semelhanças entre um "host bastião" e um "host saltador"? Eles são geralmente usados ​​de forma intercambiável?

Kolistivra
fonte

Respostas:

12

Um host Bastião é uma máquina que está fora da sua zona de segurança.
E espera-se que seja um ponto fraco e que precise de considerações adicionais de segurança.

Como seus dispositivos de segurança estão tecnicamente fora da sua zona de segurança, firewalls e dispositivos de segurança também são considerados na maioria dos casos, hosts Bastion.

Geralmente estamos falando sobre:

  • Servidores DNS
  • Servidores FTP
  • Servidores VPN

Um servidor de salto destina-se a preencher a lacuna entre duas zonas de segurança.

O objetivo pretendido aqui é ter um gateway para acessar algo dentro da zona de segurança, a partir da DMZ.
A principal razão pela qual eu vi isso ser utilizado é garantir que a entrada conhecida de um servidor específico que precise ser acessível de fora seja mantida atualizada e seja conhecida por seu propósito como apenas ter que se conectar a (a) host (s) específico (s).

Geralmente, esta é uma caixa Linux reforçada usada apenas para SSH.

Reaces
fonte
A diferença parece sutil - um servidor VPN não tem a intenção de preencher a lacuna entre duas zonas de segurança? Este artigo parece sugerir que um host de salto é um tipo de host de bastião.
jhfrontz
1
@jhfrontz A principal diferença que eu entendo e uso é que um host de salto é usado para acesso remoto. E os anfitriões do Bastião oferecem serviços que precisam enfrentar a Internet. Observe os hosts de salto como guardas de fronteira e os hosts de bastião como uma janela de caixa em um banco. Você pode obter serviços do caixa, mas não acessa o banco. Por outro lado, depois de passar pelo posto de fronteira, você estará no país.
Reaces
Entendo como os outros dois (servidores DNS e FTP) estão em conformidade com a analogia do caixa, mas pensei que o servidor VPN estava listado como um exemplo de host bastião - eu estava pensando que um servidor VPN é para oferecer acesso remoto (por exemplo, guarda de fronteira). Ou é a sugestão de que uma conexão VPN é um "serviço" (e que a conectividade com pontos na rede interna pode ser limitada) versus acesso?
Jhfrontz 01/07
2
@jhfrontz O raciocínio aqui é que o servidor VPN não é aquele ao qual você se conecta. Ele cria o túnel que você usa para se conectar. Mas você geralmente não ssh em seu vpn habilitado firewall :)
Reaces