|
| |
Bastion Host
Ihr Benutzername: Besucher
Wer ist gerade online?
- 5
aktive User.
Erstellt/bearbeitet: 03-Okt-2005/02-Feb-06
Systemzeit: Samstag, 11.10.2008, 14:42:21.
Kefk Network : Security : Netzwerksicherheit : Firewall : Topologie : Bastion.Host
Ãœbersicht
Unter einem Bastion Host versteht man einen Server, der Dienste für
das öffentliche Internet anbietet oder als Proxy oder Mailserver auf das
öffentliche Internet zugreifen muss und daher besonders gegen Angriffe
geschützt werden muss.
Konfiguration
Netzwerktopographie
Zum Schutz wird der Server innerhalb eines Netzwerkes platziert, das
sowohl gegenüber dem Internet als auch dem internen Netzwerk durch eine
Firewall abgesichert wird. Ein solches Netzwerk wird als Demilitarisierte
Zone bezeichnet. Die eingesetzten Firewalls, welche dieses separate Netz
sichern, sollten hierbei möglichst restriktiv konfiguriert sein. Zum
Beispiel sollte der direkte Zugriff aus dem internen Netz zum Internet nicht
möglich sein. Auch sollten nur die Ports freigegeben werden, die für den
Betrieb benötigt werden. Ein Webserver wird in der Regel keine eigene
Zugriffe zu anderen Webservern im Internet aufbauen. Daher sollte der Aufbau
einer Verbindung über Port 80 durch die Firewall untersagt werden.
Räumliche Platzierung des Servers
Räumlich sollte ein solcher Rechner in einem Raum untergebracht werden,
zu dem nur berechtigte Personen Zugang besitzen.
Installation und Konfiguration der Software
Bei der Konfiguration eines solchen Rechners ist darauf zu achten, dass
nur die Software installiert wird, die unbedingt für den Betrieb des
Rechners benötigt wird. Bei der Installation sollte darauf geachtet werden,
dass nur die für den Betrieb unbedingt notwendigen Features installiert
werden. Außerdem sollten die Anwendungen nur mit den für den Betrieb
unbedingt notwendigen Berechtigungen versehen werden. Die Installation von
Entwicklungsumgebungen sollte daher vermieden werden, um Hackern nicht durch
die Bereitstellung entsprechender Werkzeuge bei einem Einbruch zu
unterstützen. Auch sollte der Betrieb mehrerer Dienste auf einem Rechner
vermieden werden, da hierdurch das Risiko eines Angriffs erhöht wird.
Ãœberwachung und Betrieb
Der Betrieb eines solchen Rechners sollte nur von erfahrenen
Administratoren durchgeführt werden, da eine ständige Kontrolle der
Aktivitäten durch eine Analyse der Logdateien erforderlich ist. Außerdem
sollte sich der Administrator über aktuell bekanntgewordene
Sicherheitslücken informieren, um eine Gefährdung des Systems im Voraus
abwehren zu können.
Hierbei muss der Administrator in der Lage sein, zu beurteilen, ob die
gemeldete Sicherheitslücke für das betroffene System relevant ist, um
gegebenenfalls durch entsprechende Konfiguration des Systems oder
Installation eines Patches das System vor Angriffen zu schützen.
Sicherheitsrichtlinien
Um Fehlentscheidungen in Krisensituationen zu vermeiden, ist es sinnvoll
Sicherheitsrichtlinien aufzustellen, in denen unter anderen auch
Verhaltensregeln im Falle eines erfolgreichen Angriffs enthalten sein
sollten. Ebenfalls sollten auch die organistorische Zuständigkeiten für
entsprechende Entscheidungen in einem solchen Dokument eindeutig geregelt
sein.
Auch für die Planung können solche Richtlinien hilfreich sein, um
eventuelle Fehler im Voraus zu vermeiden.
Literatur
( Bestellen)
Siehe auch
Topologien und Topologie-Komponenten von
Firewall-Systemen:
Netmarks
How to build a Bastion host,
secinf.net/unix_security/Building_a_Bastion_Host_Using_HPUX_11.html.
www.bsi.de.
Quelle und Lizenz
Anmerkungen
| |
 Bastion Host |
|
Ihr Name: Besucher (nicht angemeldet).
Online: 5 aktive User.
|
|
Anmelden | Abmelden |
|
|
Benachrichtigen bei Änderungen: |
|
|
|
|
|
Antivirus-Infos: |
|
|
Kefk Network :
Security |
About |
Wiki
