Hva er en Bastion-vert?
En bastionvert er det offentlige ansiktet til et internt datasystem eller nettverk til Internett og brukes til å beskytte sensitive eller private data og interne nettverk. Det er en datamaskin eller mer, avhengig av størrelsen på systemet og kompleksiteten til sikkerhetsprotokollene, som er utpekt som den eneste vertsdatamaskinen som kan adresseres direkte fra et offentlig nettverk. Bastion-vertene er spesielt utviklet for å avskjerme resten av datanettverket fra å bli utsatt for angrep eller andre sikkerhetsbrudd utenfra. Bastion-verten er ikke en generell datamaskin, men i stedet er det en spesiell datamaskin som må konfigureres spesielt for å tåle angrep utenfor.
Vanligvis vil en nettverksadministrator konfigurere en bastion-vert for bare å ha et enkelt program, for eksempel en proxy-server, på maskinen, fordi den er fullstendig eksponert for større mistillitsnettverk som Internett. Alle andre applikasjoner, unødvendige tjenester, programmer, protokoller og nettverksporter blir fjernet eller deaktivert på en slik måte at det reduserer truslene mot bastionverten. Selv med pålitelige verter i datanettverket, vil ikke bastion-verter dele autentiseringstjenester. Dette gjøres slik at en inntrenger, selv om bastionen er kompromittert, ikke får ytterligere tilgang til systemet som bastionen ble designet for å beskytte.
For å være nyttig, må en bastionvert ha et visst nivå av tilgang fra eksterne nettverk, men samtidig gjør denne tilgangen den spesielt utsatt for angrep. For å minimere sårbarheten gjøres herding slik at mulige angrepsmåter er begrenset. En nettverksadministrator, som en del av herdeprosessen, vil gjøre ting som å fjerne eller deaktivere unødvendige brukerkontoer, låse rot- eller administratorkontoer, lukke porter som ikke brukes og konfigurere logging slik at den inkluderer kryptering når du logger deg på serveren. Operativsystemet vil bli oppdatert med de siste sikkerhetsoppdateringene, og et inntrengingsdeteksjonssystem kan også kjøres på bastionverten.
Bastion-verter brukes til slike tjenester som e-post-huber, webhotell, FTP-servere (File Transfer Protocol) og brannmurportaler. En nettverksadministrator kan også bruke denne typen vert som en proxy-server, VPN-server eller virtuelt privat nettverk (DNS-server). Navnet "bastion" er hentet fra middelalderens historie. For økt beskyttelse ble festninger bygget med fremspring, kalt bastioner, som tillot menn å massere bak seg og skyte piler mot angripere fra en posisjon med større sikkerhet.