Qu'est-ce qu'un hôte Bastion?
Un hôte de bastion est la face publique d'un système informatique interne ou d'un réseau sur Internet et est utilisé pour protéger des données sensibles ou privées et des réseaux internes. C'est un ou plusieurs ordinateurs, en fonction de la taille du système et de la complexité des protocoles de sécurité, désigné comme le seul ordinateur hôte pouvant être adressé directement à partir d'un réseau public. Les hôtes Bastion sont conçus spécifiquement pour protéger le reste du réseau informatique des attaques et autres atteintes à la sécurité de l'extérieur. L'hôte bastion n'est pas un ordinateur à usage général, mais plutôt un ordinateur à usage spécial qui doit être spécifiquement configuré pour résister aux attaques extérieures.
En règle générale, un administrateur réseau configurera un hôte bastion pour n'avoir qu'une seule application, telle qu'un serveur proxy, sur la machine, car il est complètement exposé à des réseaux plus douteux, tels qu'Internet. Toutes les autres applications, services, programmes, protocoles et ports réseau inutiles sont supprimés ou désactivés de manière à réduire les menaces pesant sur l'hôte du bastion. Même avec des hôtes de confiance sur le réseau informatique, les hôtes du bastion ne partageront pas les services d'authentification. Ceci est fait pour que, même si le bastion soit compromis, un intrus ne pourra plus accéder au système que le bastion a été conçu pour protéger.
Pour être utile, un hôte de bastion doit avoir un certain niveau d'accès via des réseaux extérieurs mais, dans le même temps, cet accès le rend particulièrement vulnérable aux attaques. Pour minimiser la vulnérabilité, le durcissement est effectué de manière à limiter les moyens d’attaque possibles. Dans le cadre du processus de renforcement, un administrateur réseau supprime ou désactive les comptes utilisateur inutiles, verrouille les comptes root ou administrateur, ferme les ports inutilisés et configure la journalisation de manière à inclure le cryptage lors de la connexion au serveur. Le système d'exploitation sera mis à jour avec les dernières mises à jour de sécurité et un système de détection d'intrusion peut également être exécuté sur l'hôte bastion.
Les hôtes Bastion sont utilisés pour des services tels que les concentrateurs de messagerie, l'hébergement de sites Web, les serveurs de protocole de transfert de fichiers (FTP) et les passerelles de pare-feu. Un administrateur réseau peut également utiliser ce type d’hôte en tant que serveur proxy, serveur de réseau privé virtuel (VPN) ou serveur Ssystem (DNS). Le nom "bastion" est tiré de l'histoire médiévale. Pour une protection accrue, des forteresses ont été construites avec des projections, appelées bastions, permettant aux hommes de se masser derrière eux et de tirer des flèches sur les attaquants depuis une position de sécurité accrue.