Was ist ein Bastionswirt?
Ein Bastion-Host ist das öffentliche Gesicht eines internen Computersystems oder Netzwerks zum Internet und wird zum Schutz sensibler oder privater Daten und interner Netzwerke verwendet. Abhängig von der Größe des Systems und der Komplexität der Sicherheitsprotokolle wird mindestens ein Computer als einziger Host-Computer festgelegt, der direkt von einem öffentlichen Netzwerk aus angesprochen werden kann. Bastion-Hosts wurden speziell entwickelt, um den Rest des Computernetzwerks vor Angriffen oder anderen Sicherheitsverletzungen von außen zu schützen. Der Bastion-Host ist kein Universalcomputer, sondern ein Spezialcomputer, der so konfiguriert werden muss, dass er Angriffen von außen standhält.
In der Regel wird ein Netzwerkadministrator einen Bastion-Host so konfigurieren, dass nur eine einzige Anwendung, z. B. ein Proxyserver, auf dem Computer vorhanden ist, da er größeren, nicht vertrauenswürdigen Netzwerken wie dem Internet vollständig ausgesetzt ist. Alle anderen Anwendungen, unnötigen Dienste, Programme, Protokolle und Netzwerkports werden entfernt oder deaktiviert, um die Bedrohungen für den Bastion-Host zu verringern. Selbst mit vertrauenswürdigen Hosts innerhalb des Computernetzwerks können Bastion-Hosts keine Authentifizierungsdienste gemeinsam nutzen. Dies geschieht, damit ein Eindringling auch dann keinen weiteren Zugang zu dem System erhält, das die Bastion schützen soll, wenn die Bastion gefährdet ist.
Um nützlich zu sein, muss ein Bastion-Host über einen gewissen Grad an Zugriff durch externe Netzwerke verfügen. Gleichzeitig ist er jedoch durch diesen Zugriff besonders anfällig für Angriffe. Um die Sicherheitsanfälligkeit so gering wie möglich zu halten, werden die Angriffsmöglichkeiten eingeschränkt. Ein Netzwerkadministrator wird im Rahmen des Sicherungsvorgangs beispielsweise unnötige Benutzerkonten entfernen oder deaktivieren, Root- oder Administratorkonten sperren, nicht verwendete Ports schließen und die Protokollierung so konfigurieren, dass sie die Verschlüsselung bei der Anmeldung am Server einschließt. Das Betriebssystem wird mit den neuesten Sicherheitsupdates aktualisiert, und auf dem Bastion-Host wird möglicherweise auch ein Intrusion Detection-System ausgeführt.
Bastion-Hosts werden für Dienste wie Mail-Hubs, Website-Hosting, FTP-Server (File Transfer Protocol) und Firewall-Gateways verwendet. Ein Netzwerkadministrator kann diesen Hosttyp auch als Proxyserver, VPN-Server (Virtual Private Network) oder DNS-Server (Domain Name System) verwenden. Der Name "Bastion" stammt aus der mittelalterlichen Geschichte. Für erhöhten Schutz wurden Festungen mit Vorsprüngen, so genannten Bastionen, gebaut, die es den Männern ermöglichten, sich hinter ihnen zu sammeln und aus einer sichereren Position Pfeile auf Angreifer zu schießen.