Wat is een bastiongastheer?
Een bastionhost is het publieke gezicht van een intern computersysteem of netwerk op internet en wordt gebruikt om gevoelige of privégegevens en interne netwerken te beschermen. Het is één computer of meer, afhankelijk van de grootte van het systeem en de complexiteit van de beveiligingsprotocollen, die wordt aangeduid als de enige hostcomputer die rechtstreeks vanuit een openbaar netwerk kan worden geadresseerd. Bastion-hosts zijn specifiek ontworpen om te voorkomen dat de rest van het computernetwerk wordt blootgesteld aan aanvallen of andere beveiligingsinbreuken van buitenaf. De bastionhost is geen computer voor algemene doeleinden, maar een computer voor speciale doeleinden die specifiek moet worden geconfigureerd om externe aanvallen te weerstaan.
Doorgaans configureert een netwerkbeheerder een bastionhost zodat deze slechts één toepassing, zoals een proxyserver, op de machine heeft, omdat deze volledig wordt blootgesteld aan grotere, niet-vertrouwde netwerken, zoals internet. Alle andere toepassingen, onnodige services, programma's, protocollen en netwerkpoorten worden zodanig verwijderd of uitgeschakeld dat bedreigingen voor de bastionhost worden beperkt. Zelfs met vertrouwde hosts in het computernetwerk delen bastion-hosts geen authenticatieservices. Dit wordt gedaan zodat, zelfs als het bastion gecompromitteerd is, een indringer geen verdere toegang krijgt tot het systeem dat het bastion is ontworpen om te beschermen.
Om nuttig te zijn, moet een bastionhost een bepaald toegangsniveau van externe netwerken hebben, maar tegelijkertijd maakt deze toegang hem bijzonder kwetsbaar voor aanvallen. Om de kwetsbaarheid te minimaliseren, wordt verharding gedaan zodat mogelijke aanvalsmethoden beperkt zijn. Een netwerkbeheerder, als onderdeel van het verhardingsproces, zal dingen doen als onnodige gebruikersaccounts verwijderen of uitschakelen, root- of beheerdersaccounts vergrendelen, poorten die niet worden gebruikt en logboekregistratie configureren om codering op te nemen bij aanmelding bij de server. Het besturingssysteem wordt bijgewerkt met de nieuwste beveiligingsupdates en een inbraakdetectiesysteem kan ook op de bastion-host worden uitgevoerd.
Bastion-hosts worden gebruikt voor services als e-mailhubs, websitehosting, FTP-servers (File Transfer Protocol) en firewall-gateways. Een netwerkbeheerder kan dit type host ook gebruiken als proxyserver, VPN (Virtual Private Network) -server of DNS-server (Domain Name Ssystem). De naam "bastion" is ontleend aan de middeleeuwse geschiedenis. Voor een betere bescherming werden forten gebouwd met uitsteeksels, bastions genoemd, waarmee mannen zich achter hen konden verzamelen en pijlen naar aanvallers konden schieten vanuit een positie van grotere veiligheid.