Bastion Host
| ||||||
Se llama host bastión (bastion sin acentuar en inglés) (también se denominan gates) al sistema que actúa como intermediario. Es el punto de contacto de los usuarios de la red interna de una organización con otro tipo de redes. El host bastión filtra tráfico de entrada y salida, y también esconde la configuración de la red hacia fuera. Esta máquina debe estar especialmente asegurada, pero en principio es vulnerable a ataques por estar abierta a Internet, generalmente provee un solo servicio (como por ejemplo un servidor proxy).
Sumario
Definición
Históricamente, se le llamaba Bastiones a las altas partes fortificadas de los castillos medievales; puntos que cubrían áreas críticas de defensa en caso de invasión, usualmente teniendo murallas muy fortificadas, salas para alojar tropas, y armas de ataque a corta distancia como ollas de aceite hirviendo para alejar a los invasores cuando ya están por penetrar al castillo. Haciendo una analogía, un bastión host es un sistema identificado por el administrador de firewall como un punto crítico en la seguridad de la red. Generalmente, los bastion host tendrán cierto grado de atención extra para configurar y diseñar su seguridad, podiendo tener software modificado para asegurar su buen desempeño.
Descripción
El Bastion Host está específicamente diseñado para examinar el resto de la red de ordenadores de la exposición a un ataque u otros quebrantamientos de la seguridad desde el exterior. El bastion host no es un ordenador de propósito general, pero, en cambio, se trata de un ordenador de propósito especial que debe ser configurado específicamente para resistir ataques externos.
Normalmente, un administrador de red puede configurar un host de baluarte para tener solamente una sola aplicación, tal como un servidor proxy, en la máquina, ya que está totalmente expuesta a las redes desconfiaban más grandes, como la Internet. Todas las demás aplicaciones, servicios innecesarios, programas, protocolos y puertos de red se eliminan o desactivan de manera tal como para disminuir las amenazas al host de baluarte. Incluso con los hosts de confianza dentro de la red informática, los hosts de baluarte no compartirán los servicios de autenticación. Esto se hace para que, incluso si el bastión está comprometido, un intruso no ganará aún más el acceso al sistema de que el bastión fue diseñado para proteger.
Con el fin de ser útil , un anfitrión bastión tiene que tener un cierto nivel de acceso de redes externas , pero , al mismo tiempo , este acceso lo hace especialmente vulnerable a los ataques . Para reducir al mínimo la vulnerabilidad, el endurecimiento se realiza para que las posibles formas de ataque son limitados. Un administrador de red , como parte del proceso de endurecimiento , hará cosas como quitar o deshabilitar cuentas de usuario innecesarias, bloquear root o administrador de cuentas , cerca de los puertos que no se utilizan y configurar el registro para incluir el cifrado al registrarse en el servidor. El sistema operativo se actualizará con las últimas actualizaciones de seguridad y un sistema de detección de intrusos también puede ejecutarse en el host de baluarte.
Hosts Bastion se utilizan para los servicios tales como centros de correo, alojamiento de sitios web , el protocolo de transferencia de archivos ( FTP) y gateways cortafuegos. Un administrador de red también puede utilizar este tipo de host como servidor proxy, servidor de red privada virtual (VPN ) o nombre de dominio Ssistema servidor ( DNS). El nombre de "bastión " se ha tomado de la historia medieval. Para una mayor protección , fortalezas fueron construidas con las proyecciones , llamados bastiones , que permitió a los hombres a masa detrás de ellos y disparar flechas a los atacantes desde una posición de mayor seguridad.
Tipos de bastion host
Los bastiones pueden clasificarse en tres tipos: single-homed bastión host, dual-homed bastión host y multihomed bastión host
- Single-homed bastión host: Es un dispositivo con una interfaz única de red, frecuentemente se utiliza para una puerta de enlace en el nivel de aplicación. El router externo está configurado para enviar los datos al Bastión Host y los clientes internos enviar los datos de salida al host. Finalmente el host evaluará los datos según las directrices de seguridad.
- Dual-homed bastión host: Es un dispositivo que tiene al menos dos interfaces de red. Sirve como puerta de enlace al nivel de aplicación y como filtro de paquetes. La ventaja de usar este host es crear un quiebre entre las red externa e interna, lo que permite que todo el tráfico de entrada y salida pase por el host. Este host evitará que un hacker intenté acceder a un dispositivo interno.
- Multihomed bastión host: Un Bastión host interno puede ser clasificado como multihomed. Cuando la política de seguridad requiere que todo tráfico entrante y salida sea enviado a través de un servidor proxy, un nuevo servidor proxy debería ser creado para la nueva aplicación streaming. Cuando se utiliza un bastión host como interno, debe residir dentro de una organización de la red interna, en general como puerta de acceso para recibir toda el tráfico de un bastión host externo. Lo que agrega un nivel mayor de seguridad.
Aplicaciones
El uso de bastión host puede ser extendible a variados sistemas y/o servicios:
- Web server.
- DNS (Domain Name System) server.
- Email server.
- FTP (File Transfer Protocol) server.
- Proxy server.
- Honeypot.
- VPN (Virtual Private Network) server.
- Deep-Secure Bastion.
A continuación se expone un ejemplo de una red donde se utilizan dos bastiones host, como se observa se forma una capa adicional de seguridad entre el internet y la red interna. Para tener acceso a la red interna, un atacante debe pasar por el router externo, alguno de los bastiones y el router interno. El paso por todas estas etapas como presenta una dificultad para el atacante, es de esperar que por el tiempo que le demore traspasar todas las capas, el administrador de red ya debiese haber reconocido la intrusión y haber tomado una posición defensiva.
