CUNG CẤP
Có thể chia các dịch vụ thành 4 lớp:
• Các dịch vụ an toàn có thể được cung cấp qua packet filtering.
• Các dịch vụ không an toàn khi được cung cấp bình thường nhưng có khả năng đạt được an toàn ở điều kiện khác.
• Các dịch vụ không an toàn khi được cung cấp bình thường và không thể đạt được an toàn, dịch vụ này phải được vô hiệu hóa và cung cấp trên máy thử nghiệm.
• Các dịch vụ không đến, hoặc không dùng trong việc kết nối với Internet.
Các dịch vụ thường được cung cấp trên bastion host:
• SMTP (thư điện tử)
• FTP (truyền dữ liệu)
• HTTP (web)
• DNS (chuyển đổi host thành địa chỉ IP và ngược lại). DNS ít khi được dùng trực tiếp.
Về ý tưởng chúng ta có thể đặt mỗi dịch vụ trên một bastion host, nhưng trên thực tế thì ít khi đạt được điều này. Do vấn đề tài chính và quản lí sẽ khó hơn khi có quá nhiều máy.
Có một vài nhận xét khi nhóm các dịch vụ với nhau thành một nhóm:
• Các dịch vụ quan trọng: Web server phục vụ khách hàng.
• Các dịch vụ theo đối tượng: người sử dụng bên trong, người siwr dụng bên ngoài….
• Các dịch vụ an toàn: dịch vụ tin cậy và dịch vụ không tin cậy trên các máy khác nhau.
• Các dịch vụ truy cập có mức độ khác nhau: thông tin công cộng và thông tin riêng tư.
VII.LÍ DO KHÔNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST CẬP TRÊN BASTION HOST
Không cung cấp tài khoản cho người sử dụng truy cập trên Bastion host vì các lí do sau:
• Tài khoản của người sử dụng dễ bị tổn thương
• Giảm độ ổn định và tin cậy của Bastion host.
• Sự vô ý của người sử dụng làm phá vỡ tính bảo mật
• Gia tăng khó khăn khi dò tìm sự tấn công.
VIII.XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG VÀ CHỐNG LẠI SỰ TẤN CÔNG
Bảo đảm máy không kết nối với Internet cho đến bước cuối cùng.
VIII.1Bảo vệ an toàn cho máy
Cài đặt một hệ điều hành sạch tối thiểu theo yêu cầu
Sửa các lỗi của hệ điều hành qua thông tin của các nhà sản xuất hệ điều hành.
Bảo vệ an toàn cho các tập tin nhật kí hệ thống (system log): là phương pháp thể hiện hoạt động của bastion host, cơ sở để kiểm tra bị tấn công. Nên có hai bản sao system log để phòng trường hợp tai họa lớn xảy ra, hai bản system log này phải được đặt ở vị trí khác nhau.
VIII.2Hủy các dịch vụ không dùng
Hủy bất kì dịch vụ không cần thiết cung cấp cho bastion host.
Nếu không biết chức năng của một dịch vụ nào đó thì nên tắt nó, nếu tắt nó có vấn đề thì ta biết ngay được chức năng của nó.
VIII.3Tắt các chức năng định tuyến
Tắt tất cả các chương trình có chức năng định tuyến. Hủy chức năng chuyển tiếp địa chỉ IP
VIII.4Cấu hình cho dịch vụ chạy tốt nhất và kết nối bastion host vào mạng mạng