Beziehung zwischen Bastionswirt und Sprungwirt

13

Was sind die Unterschiede / Gemeinsamkeiten zwischen einem "Bastion Host" und einem "Jump Host"? Werden sie normalerweise austauschbar verwendet?

firewall proxy bastion kolistivra
quelle

Antworten:

12

Ein Bastion-Host ist ein Computer, der sich außerhalb Ihrer Sicherheitszone befindet.
Es wird erwartet, dass dies eine Schwachstelle ist und zusätzliche Sicherheitsaspekte erfordert.

Da sich Ihre Sicherheitsgeräte technisch außerhalb Ihrer Sicherheitszone befinden, werden in den meisten Fällen auch Firewalls und Sicherheitsgeräte als Bastion-Hosts betrachtet.

Normalerweise reden wir über:

  • DNS-Server
  • FTP-Server
  • VPN-Server

Ein Jump Server soll die Lücke zwischen zwei Sicherheitszonen durchbrechen.

Der beabsichtigte Zweck hier ist, ein Gateway zu haben, um von der DMZ aus auf etwas innerhalb der Sicherheitszone zuzugreifen.
Der Hauptgrund, warum ich dies genutzt habe, ist sicherzustellen, dass der einzige bekannte Zugang zu einem bestimmten Server, auf den von außen zugegriffen werden muss, auf dem neuesten Stand gehalten wird und dessen Zweck bekannt ist, dass nur eine Verbindung zu (a) hergestellt werden muss. Bestimmte Hosts.

Normalerweise ist dies eine gehärtete Linux-Box, die nur für SSH verwendet wird.

Reaktionen
quelle
Der Unterschied scheint subtil - soll ein VPN-Server nicht die Lücke zwischen zwei Sicherheitszonen durchbrechen? Dieser Artikel scheint zu implizieren, dass ein Sprunghost eine Art Bastionshost ist.
Jhfrontz
1
@jhfrontz Der Hauptunterschied, wie ich ihn verstehe und benutze, ist, dass ein Sprunghost für den Fernzugriff verwendet wird. Und Bastion-Hosts bieten Services, die auf das Internet ausgerichtet sind. Sehen Sie sich Sprunghosts als Grenzwächter und Bastionshosts als Kassiererfenster in einer Bank an. Sie können Dienste vom Kassierer erhalten, haben aber keinen Zugang zur Bank. Sobald Sie den Grenzkontrollpunkt passiert haben, befinden Sie sich innerhalb des Landes.
Reaces
Ich verstehe, wie die anderen beiden (DNS- und FTP-Server) der Kassierer-Analogie entsprechen, dachte jedoch, der VPN-Server sei als Beispiel für einen Bastion-Host aufgeführt Grenzsoldat). Oder ist der Vorschlag, dass eine VPN-Verbindung ein "Dienst" ist (und dass die Konnektivität zu Punkten im internen Netzwerk eingeschränkt sein kann), im Vergleich zum Zugriff?
Jhfrontz
2
@jhfrontz Der Grund hierfür ist, dass der VPN-Server nicht derjenige ist, mit dem Sie eine Verbindung herstellen. Es wird der Tunnel erstellt, mit dem Sie eine Verbindung herstellen. Aber Sie in der Regel nicht in Ihre VPN-fähige Firewall ssh :)
Reaces