Relation entre l'hôte du bastion et l'hôte du saut

13

Quelles sont les différences / similitudes entre un "hôte bastion" et un "hôte de saut"? Sont-ils généralement utilisés de manière interchangeable?

kolistivra
la source

Réponses:

12

Un hôte Bastion est une machine qui se trouve en dehors de votre zone de sécurité.
Et devrait être un point faible et nécessiter des considérations de sécurité supplémentaires.

Comme vos dispositifs de sécurité sont techniquement en dehors de votre zone de sécurité, les pare-feu et les dispositifs de sécurité sont également pris en compte dans la plupart des cas, les hôtes Bastion.

Habituellement, nous parlons de:

  • Serveurs DNS
  • Serveurs FTP
  • Serveurs VPN

Un serveur Jump est destiné à percer l'écart entre deux zones de sécurité.

Le but visé ici est d'avoir une passerelle pour accéder à quelque chose à l'intérieur de la zone de sécurité, à partir de la DMZ.
La principale raison pour laquelle j'ai vu cela utilisé est de s'assurer que la seule entrée connue d'un serveur spécifique qui doit être accessible de l'extérieur est mise à jour et est connue dans son but comme n'ayant qu'à se connecter à (a) hôte (s) spécifique (s).

Il s'agit généralement d'une boîte Linux renforcée uniquement utilisée pour SSH.

Reaces
la source
La différence semble subtile - un serveur VPN n'est-il pas destiné à percer l'écart entre deux zones de sécurité? Cet article semble impliquer qu'un hôte de saut est un type d'hôte bastion.
jhfrontz
1
@jhfrontz La principale différence que je comprends et utilise, c'est qu'un hôte de saut est utilisé pour l'accès à distance. Et les hôtes Bastion offrent des services qui doivent faire face à Internet. Regardez les hôtes de saut comme des gardes-frontières et les hôtes de bastion comme une fenêtre de guichets dans une banque. Vous pouvez obtenir des services du caissier, mais vous n'avez pas accès à la banque. D'un autre côté, une fois passé le point de contrôle frontalier, vous êtes à l'intérieur du pays.
Réagit du
J'obtiens comment les deux autres (serveurs DNS et FTP) se conforment à l'analogie du caissier mais je pensais que le serveur VPN était répertorié comme un exemple d'hôte bastion - je pensais qu'un serveur VPN est destiné à offrir un accès à distance (c'est-à-dire, un garde-frontière). Ou est-ce la suggestion qu'une connexion VPN est un "service" (et que la connectivité aux points sur le réseau interne peut être limitée) par rapport à l'accès?
jhfrontz
2
@jhfrontz Le raisonnement ici est que le serveur VPN n'est pas celui auquel vous vous connectez. Il crée le tunnel avec lequel vous vous connectez. Mais vous ne faites généralement pas ssh dans votre pare-feu activé par vpn :)
Réagit le