Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Stepping stone server
25-11-2015, 14:10 door Anoniem, 5 reacties
Dag mensen,
ik hoor vaak op het werk collega's over de stepping stone server hebben.
Van de uitleg heb ik begrepen dat het een soort tussen computer dan andere servers moet afschermen.
Dit komt in groot lijnen met de definitie van jump server.
Weet iemand wat de exacte definitie van een stepping stone server is en aan welke voorwaarden het moet voldoen?
B.V.D.
Omar
ik hoor vaak op het werk collega's over de stepping stone server hebben.
Van de uitleg heb ik begrepen dat het een soort tussen computer dan andere servers moet afschermen.
Dit komt in groot lijnen met de definitie van jump server.
Weet iemand wat de exacte definitie van een stepping stone server is en aan welke voorwaarden het moet voldoen?
B.V.D.
Omar
Reacties (5)
Door Anoniem: Dag mensen,
ik hoor vaak op het werk collega's over de stepping stone server hebben.
Van de uitleg heb ik begrepen dat het een soort tussen computer dan andere servers moet afschermen.
Dit komt in groot lijnen met de definitie van jump server.
Weet iemand wat de exacte definitie van een stepping stone server is en aan welke voorwaarden het moet voldoen?
B.V.D.
Omar
ik hoor vaak op het werk collega's over de stepping stone server hebben.
Van de uitleg heb ik begrepen dat het een soort tussen computer dan andere servers moet afschermen.
Dit komt in groot lijnen met de definitie van jump server.
Weet iemand wat de exacte definitie van een stepping stone server is en aan welke voorwaarden het moet voldoen?
B.V.D.
Omar
Waarom denk je dat stepping stone server iets anders zou zijn dan een jump server , of anders dan opstap server ?
Er is geen keiharde definitie voor, en de terminologie (stepping stone, jump, opstap, management )- server verschilt een beetje per bedrijf.
Het komt erop neer dat maar enkele servers management toegang hebben tot "de overige" infrastructuur (servers, of netwerk devices) , en dat je dus via die opstap servers moet gaan om iets te doen op andere devices.
25-11-2015, 15:37 door
Overcome
Een stepping stone server of jump server is inderdaad een soort tussencomputer. De URL https://en.wikipedia.org/wiki/Jump_server geeft je hier wat informatie over.
Het idee is om toegang tot een of meerdere netwerksegmenten (vaak kritische netwerksegmenten zoals een DMZ, maar dat hoeft niet) via een select aantal machines te laten verlopen, in dit geval de jump server(s). Je beperkt hiermee niet alleen het aantal machines dat toegang heeft tot die netwerksegmenten, maar ook het soort verkeer dat naar die netwerksegmenten verstuurd kan worden. Dus in plaats van
<intern netwerk> <--- firewall ---> <kritisch netwerksegment>
of nog erger
<intern netwerk> <------> <kritisch netwerksegment>
hebben we nu
<intern netwerk> <--- firewall-1 ---> stepping stone server <--- firewall-2 ---> <kritisch netwerksegment>
Het aanvalsoppervlak wordt hiermee behoorlijk dichtgetimmerd (als de firewall configuratie tenminste op orde is). Op de stepping stone kan daarnaast alle management software worden geplaatst die benodigd is voor beheer van de devices in het kritische netwerksegment, zodat patching van management software wat minder problematisch wordt, licentiekosten kunnen worden bepaard, verkeer over de management interface naar de te beheren servers eenvoudiger afgedwongen kan worden etc.
Als de stepping stone vervolgens sterk wordt beveiligd (denk aan user access control, multi-factor authenticatie etc), dan wordt ongeautoriseerde toegang vanuit het interne netwerk naar het kritische netwerksegment in ieder geval een uitdaging.
De configuratie van de stepping stone heeft meestal niet zo heel veel om het lijf. Het is een hardened server met voor Linux machine vaak een SSH installatie en voor Windows vaak een Terminal Server of Citrix installatie. Dat beperkt het aantal poorten dat opengezet moet worden op firewall-1 hierboven ook nog eens verder.
Het idee is om toegang tot een of meerdere netwerksegmenten (vaak kritische netwerksegmenten zoals een DMZ, maar dat hoeft niet) via een select aantal machines te laten verlopen, in dit geval de jump server(s). Je beperkt hiermee niet alleen het aantal machines dat toegang heeft tot die netwerksegmenten, maar ook het soort verkeer dat naar die netwerksegmenten verstuurd kan worden. Dus in plaats van
<intern netwerk> <--- firewall ---> <kritisch netwerksegment>
of nog erger
<intern netwerk> <------> <kritisch netwerksegment>
hebben we nu
<intern netwerk> <--- firewall-1 ---> stepping stone server <--- firewall-2 ---> <kritisch netwerksegment>
Het aanvalsoppervlak wordt hiermee behoorlijk dichtgetimmerd (als de firewall configuratie tenminste op orde is). Op de stepping stone kan daarnaast alle management software worden geplaatst die benodigd is voor beheer van de devices in het kritische netwerksegment, zodat patching van management software wat minder problematisch wordt, licentiekosten kunnen worden bepaard, verkeer over de management interface naar de te beheren servers eenvoudiger afgedwongen kan worden etc.
Als de stepping stone vervolgens sterk wordt beveiligd (denk aan user access control, multi-factor authenticatie etc), dan wordt ongeautoriseerde toegang vanuit het interne netwerk naar het kritische netwerksegment in ieder geval een uitdaging.
De configuratie van de stepping stone heeft meestal niet zo heel veel om het lijf. Het is een hardened server met voor Linux machine vaak een SSH installatie en voor Windows vaak een Terminal Server of Citrix installatie. Dat beperkt het aantal poorten dat opengezet moet worden op firewall-1 hierboven ook nog eens verder.
ook wel eens bastion host genoemd.
in de praktijk: (nouja mijn praktijk;)
- ssh-keys only, evt in combinatie met otp of multifactor
- aldanniet via een hardware usbkey. (bijvoorbeeld nitrokey of yubikey).
- enige ssh server die niet weggefilterd wordt op de routers.
- eventueel naar intern (management) netwerk of naar public ip's doorhoppen.
- eventueel filteren welke ip's er toegang hebben tot de bastion host.
- filter verder alles weg naar de bastion. ook uitgaand vanaf de bastion kun je filteren.
- kan evt ook met vpn alhoewel je met openssh ook kunt tunnelen of als proxy kan instellen.
- doe niets anders op de bastion server. evt alles readonly maken. log met syslog naar een andere machine.
- geef iedereen een eigen account zodat je kan zien wie wanneer is ingelogd.
- verander het ip adres af en toe als je de mogelijkheid hebt. (alsin jaarlijks, na een ontslagronde of het kwijtraken van een hardwarekey)
Verder nog een hint voor secure ssh keys met het "nieuwe" openssh key formaat
onder het kopje "Using PBKDF for extremely secure SSH private key files"
http://blog.patshead.com/2013/09/generating-new-more-secure-ssh-keys.html
Ook als je windows servers hebt of graag doorhopt naar een windows terminal server zou ik er een bastion host met ssh voorzetten. Je kunt met putty/kitty onder windows prima tunnelen of een (socks) proxy bouwen.
Er zijn geen "eisen", alles is persoonlijke voorkeur. Met een beetje doordenken kun je de boel al aardig dichtspijkeren.
stepping stone, jump server, bastion host. whatever. ik prefereer zelf de term "de bastion" in gesprekken
in de praktijk: (nouja mijn praktijk;)
- ssh-keys only, evt in combinatie met otp of multifactor
- aldanniet via een hardware usbkey. (bijvoorbeeld nitrokey of yubikey).
- enige ssh server die niet weggefilterd wordt op de routers.
- eventueel naar intern (management) netwerk of naar public ip's doorhoppen.
- eventueel filteren welke ip's er toegang hebben tot de bastion host.
- filter verder alles weg naar de bastion. ook uitgaand vanaf de bastion kun je filteren.
- kan evt ook met vpn alhoewel je met openssh ook kunt tunnelen of als proxy kan instellen.
- doe niets anders op de bastion server. evt alles readonly maken. log met syslog naar een andere machine.
- geef iedereen een eigen account zodat je kan zien wie wanneer is ingelogd.
- verander het ip adres af en toe als je de mogelijkheid hebt. (alsin jaarlijks, na een ontslagronde of het kwijtraken van een hardwarekey)
Verder nog een hint voor secure ssh keys met het "nieuwe" openssh key formaat
onder het kopje "Using PBKDF for extremely secure SSH private key files"
http://blog.patshead.com/2013/09/generating-new-more-secure-ssh-keys.html
Ook als je windows servers hebt of graag doorhopt naar een windows terminal server zou ik er een bastion host met ssh voorzetten. Je kunt met putty/kitty onder windows prima tunnelen of een (socks) proxy bouwen.
Er zijn geen "eisen", alles is persoonlijke voorkeur. Met een beetje doordenken kun je de boel al aardig dichtspijkeren.
stepping stone, jump server, bastion host. whatever. ik prefereer zelf de term "de bastion" in gesprekken
Door Anoniem: Dag mensen,
ik hoor vaak op het werk collega's over de stepping stone server hebben.
Van de uitleg heb ik begrepen dat het een soort tussen computer dan andere servers moet afschermen.
Dit komt in groot lijnen met de definitie van jump server.
Weet iemand wat de exacte definitie van een stepping stone server is en aan welke voorwaarden het moet voldoen?
B.V.D.
Omar
ik hoor vaak op het werk collega's over de stepping stone server hebben.
Van de uitleg heb ik begrepen dat het een soort tussen computer dan andere servers moet afschermen.
Dit komt in groot lijnen met de definitie van jump server.
Weet iemand wat de exacte definitie van een stepping stone server is en aan welke voorwaarden het moet voldoen?
B.V.D.
Omar
Je collegas proberen gewoon hip te doen.
Is niets meer en niets minder dan een jump server.
Door Anoniem:
Je collegas proberen gewoon hip te doen.
Is niets meer en niets minder dan een jump server.
Je collegas proberen gewoon hip te doen.
Is niets meer en niets minder dan een jump server.
het heeft niets met hip te maken. Maar wat voor een naam je er aan heeft. Bij ons heet het gewoon de Management Server.
Stepping stone zullen de meeste ook nog wel begrijpen. Maar als je jump server roept, ga je vreemde gezichten krijgen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
