Bastion host

Исторически бастионами называли высокие укреплённые части средневековых замков — ключевые точки для обороны в случае вторжения, обычно оснащённые мощными стенами, помещениями для войск и средствами ближней защиты, такими как котлы с кипящим маслом для отражения штурмующих. По аналогии, bastion host — это система, определяемая администратором межсетевого экрана как критическая точка обеспечения безопасности сети. Обычно бастионные хосты настраиваются и проектируются с особым вниманием к защите, а для повышения надёжности работы на них может устанавливаться модифицированное программное обеспечение^[1].

В отличие от фильтрации через маршрутизатор, которая может разрешать или запрещать прямую передачу пакетов между внутренней и внешней сетью, bastion host (также называемый прикладным шлюзом, англ. application-level gateway) обеспечивает контроль обмена информацией между сетями без прямого пересылания пакетов, что повышает безопасность сервисов на сервере. Проектирование бастионного хоста включает выбор предоставляемых им сервисов. Возможна установка отдельных сервисов на разных хостах, что повышает стоимость системы, но помогает обезопасить несколько критичных точек атаки.

После определения количества bastion host необходимо выбрать, какие сервисы запускать на каждом из них. Подходы могут быть различными:^[2]

• Операционная система сервера должна быть максимально защищённой, с учётом известных уязвимостей, чтобы обеспечить целостность работы межсетевого экрана.
• Следует устанавливать только необходимые сервисы — если служба отсутствует, она не может быть атакована. Обычно на bastion host запускается ограниченное число прокси-приложений.
• Bastion host может требовать дополнительной аутентификации пользователей перед предоставлением доступа к своим сервисам.
• В случае выполнения функций прокси, за счёт ограниченной поддержки приложений, допуска к определённым хостам и хранения информации об обращениях клиентов возможно дополнительное усиление безопасности.

Бастионные хосты подразделяются на три типа: single-homed bastion host, dual-homed bastion host и multihomed bastion host^[3].

Это устройство с одним сетевым интерфейсом; часто используется как шлюз на уровне приложений. Внешний маршрутизатор направляет трафик на bastion host, а внутренние клиенты отправляют внешние данные через этот сервер, который фильтрует трафик в соответствии с заданной политикой безопасности.

Такой сервер оснащён как минимум двумя сетевыми интерфейсами, может выступать как шлюз на уровне приложений и одновременно выполнять пакетную фильтрацию. Основной плюс — создание разрыва между внутренней и внешней сетью: весь входящий и исходящий трафик проходит через bastion host, что препятствует злоумышленникам получать прямой доступ к внутренним ресурсам.

Внутренний бастионный сервер (multihomed) используется, если политика безопасности требует перенаправления всего трафика (входящего и исходящего) через прокси-серверы. При появлении новой сервисной задачи (например, поддержка новых потоковых приложений) может быть создан отдельный прокси. При внутреннем размещении бастионный сервер располагается в пределах внутренней сети организации, чаще всего в качестве основной точки доступа к внешнему bastion host, что ещё больше повышает уровень безопасности.

Bastion host может использоваться для различных сервисов и задач:

• Веб-сервер
• Сервер DNS
• Почтовый сервер
• Сервер FTP
• Прокси-сервер
• Ханипот
• Сервер виртуальной частной сети
• Deep-secure bastion

Ниже приведён пример архитектуры, где используются два bastion host. Как видно, между интернетом и внутренней сетью создаётся дополнительный уровень защиты. Для получения доступа к локальной сети злоумышленнику нужно преодолеть внешний маршрутизатор, один из бастионных серверов и затем внутренний маршрутизатор. Многоуровневая архитектура затрудняет вторжение: когда злоумышленник тратит время на прохождение всех ступеней защиты, сетевой администратор уже может принять меры^[4].