https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Bastion_HostBastion Host - Versionsgeschichte2026-06-06T15:34:00ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Bastion_Host&diff=190906&oldid=previmported>Sesepe: /* Weblinks */ Link entfernt (Ziel existiert nicht mehr)2026-02-08T19:53:47Z<p><span class="autocomment">Weblinks: </span> Link entfernt (Ziel existiert nicht mehr)</p>
<p><b>Neue Seite</b></p><div>Unter einem '''Bastion Host''' versteht man einen [[Server]], der [[Netzwerkdienst|Dienste]] für das öffentliche [[Internet]] oder nicht vertrauenswürdige Netze (beispielsweise große nicht separierte [[Intranet]]-Umgebungen) anbietet oder als [[Proxy (Rechnernetz)|Proxy]] bzw. [[Mailserver]] auf das öffentliche Internet zugreift und daher besonders gegen Angriffe geschützt werden muss. Die Rolle des ''Bastion Hosts'' eignet sich für Server im exponierten Bereich und sollte daher nicht mit anderen Serverrollen kombiniert werden.<br />
<br />
== Konfiguration ==<br />
=== Netztopologie ===<br />
Zum Schutz wird der Server in einem [[Rechnernetz|Netz]] platziert, das sowohl gegenüber dem Internet als auch dem internen Netz durch eine [[Firewall]] abgesichert wird. Ein solches Netz wird als [[Demilitarisierte Zone (Informatik)|demilitarisierte Zone]] bezeichnet.<br />
Die eingesetzten Firewalls, welche dieses separate Netz sichern, sollten hierbei möglichst restriktiv konfiguriert sein. Zum Beispiel sollte der direkte Zugriff aus dem internen Netz zum [[Internet]] nicht möglich sein. Auch sollten nur die [[Port (Protokoll)|Ports]] freigegeben werden, die für den Betrieb benötigt werden. Ein [[Webserver]] wird in der Regel keine eigenen Zugriffe zu anderen Webservern im Internet aufbauen. Daher sollte der Aufbau einer Verbindung zu einem Port 80 durch die Firewall untersagt werden.<br />
<br />
=== Zugriff auf den Server ===<br />
Ein solcher Rechner sollte immer entsprechend vor Zugriffen abgeschirmt werden. Bei einem [[On Premises|On-Premises]]-Betrieb sollten nur berechtigte Personen Zugang zum Rechenzentrum erhalten. In einem [[Cloud Computing|Cloud-Umfeld]] müssen die Berechtigungen entsprechend gesetzt werden.<br />
<br />
=== Installation und Konfiguration der Software ===<br />
Bei der Konfiguration eines solchen Rechners ist darauf zu achten, dass nur die [[Software]] [[Installation (Computer)|installiert]] wird, die unbedingt für den Betrieb des Rechners benötigt wird. Bei der Installation sollte darauf geachtet werden, dass nur die für den Betrieb unbedingt notwendigen [[Merkmal]]e installiert werden.<br />
Außerdem sollten die Anwendungen nur mit den für den Betrieb unbedingt notwendigen Berechtigungen versehen werden.<br />
Die Installation von [[Integrierte Entwicklungsumgebung|Entwicklungsumgebungen]] sollte daher vermieden werden, um [[Hacker (Computersicherheit)|Angreifern]] nicht durch die Bereitstellung entsprechender Werkzeuge bei einem Einbruch zu unterstützen.<br />
Auch sollte der Betrieb mehrerer [[Netzwerkdienst|Dienste]] auf einem Rechner vermieden werden, da hierdurch das Risiko eines Angriffs erhöht wird.<br />
<br />
== Überwachung und Betrieb ==<br />
Der Betrieb eines solchen Rechners sollte nur von erfahrenen [[Administrator (Rolle)|Administratoren]] durchgeführt werden, da eine ständige Kontrolle der Aktivitäten durch eine Analyse der [[Logdatei]]en erforderlich ist. Außerdem sollte sich der Administrator über aktuell bekanntgewordene [[Sicherheitslücke (Software)|Sicherheitslücken]] informieren, um eine Gefährdung des Systems im Voraus abwehren zu können.<br />
<br />
Hierbei muss der Administrator in der Lage sein, zu beurteilen, ob die gemeldete Sicherheitslücke für das betroffene System relevant ist, um gegebenenfalls durch entsprechende Konfiguration des Systems oder Installation eines [[Patch (Software)|Patches]] das System vor Angriffen zu schützen.<br />
<br />
== Sicherheitsrichtlinien ==<br />
Um Fehlentscheidungen in Krisensituationen zu vermeiden, ist es sinnvoll, [[Sicherheitsrichtlinie]]n aufzustellen, in denen unter anderem auch Verhaltensregeln im Falle eines erfolgreichen Angriffs enthalten sein sollten. Ebenfalls sollten die organisatorischen Zuständigkeiten für entsprechende Entscheidungen in einem solchen Dokument eindeutig geregelt sein.<br />
<br />
Auch für die Planung können solche Richtlinien hilfreich sein, um eventuelle Fehler im Voraus zu vermeiden.<br />
<br />
== Regularien ==<br />
Regularien wie [[Payment Card Industry Data Security Standard|Payment Card Industry Data Security Standard (PCI-DSS)']], [[Health Insurance Portability and Accountability Act of 1996|Health Insurance Portability and Accountability Act of 1996 (HIPAA)]] und [[Sarbanes-Oxley Act|Sarbanes-Oxley Act of 2002 (auch SOX)]] schreiben die Nutzung eines Bastions Hosts mit [[Vier-Augen-Prinzip]] zwingend vor.<br />
<br />
== Siehe auch ==<br />
* [[Dual homed host]]<br />
<br />
== Weblinks ==<br />
* [https://docs.aws.amazon.com/quickstart/latest/linux-bastion/architecture.html Beispiel: Linux Bastion Hosts on the AWS Cloud. Abgerufen am 28. Mai 2018. Englisch]<br />
* [https://docs.microsoft.com/de-de/azure/security/blueprints/financial-services-regulated-workloads Beispiel: Azure Security and Compliance Blueprint – Finanzdienstleistungen für geregelte Workloads (FFIEC) mit Bastion Host]<br />
* [https://blog.chmouel.com/2009/02/08/proxycommand-ssh-bastion-proxy/ Proxy command ssh Bastion Proxy. Abgerufen am 29. Mai 2018. Englisch]<br />
* [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04276.html Beispiel: BSI M 4.276 Planung des Einsatzes von Windows Server 2003]<br />
* [https://security.stackexchange.com/questions/130707/jump-servers-for-security Jump Servers for security auf stackexchange. Abgerufen am 29. Mai 2018. Englisch]<br />
<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Zugriffskontrolle]]</div>imported>Sesepe