Relación entre el anfitrión del bastión y el anfitrión de salto

13

¿Cuáles son las diferencias / similitudes entre un "host de bastión" y un "host de salto"? ¿Se usan generalmente de manera intercambiable?

kolistivra
fuente

Respuestas:

12

Un host Bastion es una máquina que está fuera de su zona de seguridad.
Y se espera que sea un punto débil y que necesite consideraciones de seguridad adicionales.

Debido a que sus dispositivos de seguridad están técnicamente fuera de su zona de seguridad, los firewalls y los dispositivos de seguridad también se consideran en la mayoría de los casos como hosts Bastion.

Usualmente estamos hablando de:

  • Servidores DNS
  • Servidores FTP
  • Servidores VPN

Un servidor Jump está destinado a romper la brecha entre dos zonas de seguridad.

El propósito previsto aquí es tener una puerta de acceso para acceder a algo dentro de la zona de seguridad, desde la DMZ.
La razón principal por la que he visto que esto se utiliza es para asegurarme de que la única entrada conocida a un servidor específico al que se debe tener acceso desde el exterior se mantenga actualizada y se conozca en su propósito que solo tiene que conectarse a (a) host (s) específico (s)

Por lo general, esta es una caja de Linux reforzada que solo se usa para SSH.

Reaces
fuente
La diferencia parece sutil: ¿no se pretende que un servidor VPN rompa la brecha entre dos zonas de seguridad? Este artículo parece implicar que un host de salto es un tipo de host de bastión.
jhfrontz
1
@jhfrontz La principal diferencia, según tengo entendido y lo uso, es que se usa un host de salto para acceso remoto. Y los hosts de Bastion ofrecen servicios que deben enfrentar Internet. Mire a los hosts de salto como guardias fronterizos, y a los hosts de bastión como una ventana de cajeros en un banco. Puede obtener servicios del cajero, pero no accede al banco. Por otro lado, una vez pasado el punto de control fronterizo, estás dentro del país.
Reaces
Entiendo cómo los otros dos (servidores DNS y FTP) se ajustan a la analogía del cajero, pero pensé que el servidor VPN figuraba como un ejemplo de host de bastión: estaba pensando que un servidor VPN es para ofrecer acceso remoto (es decir, un Guardia de fronteras). ¿O es la sugerencia de que una conexión VPN es un "servicio" (y que la conectividad a puntos en la red interna puede ser limitada) frente al acceso?
jhfrontz 01 de
2
@jhfrontz El razonamiento aquí es que no se conecta al servidor vpn. Crea el túnel con el que te conectas. Pero generalmente no ssh en su cortafuegos habilitado vpn :)
Reaces