Инсталляционный сервер (install server, jump server, jump host или jumpbox) — так называют специально отведенный компьютер в сети, предназначенный для доступа к устройствам в демилитаризованной зоне (ДМЗ) организации. Наиболее часто используется для управления узлами в ДМЗ из доверенных сетей или компьютеров.

Инсталляционный сервер — это защищённый и мониторящийся компьютер находящийся в двух разных зонах безопасности, он служит контролируемым средством для доступа между ними. Права доступа пользователей к нему должны быть строго разграничены и контролироваться.

Предыстория

править

В 1990-х годах, вместе с распространением концепции демилитаризованной зоны появилась и необходимость обеспечения доступа между разнородными зонами безопасности. Инсталляционный сервер появился для удовлетворения этой потребности и обычно используется совместно с прокси-службами для обеспечения доступа с компьютера администратора к управляемому устройству. Поскольку SSH-туннелирование широко распространилось, инсталляционные сервера стали де-факто методом доступа.

Реализации

править

Инсталляционные сервера как правило размещаются между защищённой (secure) зоной и ДМЗ для обеспечения контролируемого управления устройствами в ДМЗ после подключения администратора к инсталляционному серверу. Инсталляционный сервер действует как единая точка контроля трафика, а также единое место, где можно управлять учётными записями пользователей. Администратор должен зайти на инсталляционный сервер, чтобы получить доступ к ресурсам ДМЗ, при этом все его действия регистрируются и могут быть впоследствии изучены.

Типичная конфигурация UNIX (и UNIX-подобных) ОС включает в себя SSH и локальный межсетевой экран. Администратор подключается к целевому устройству в ДМЗ созданием SSH-соединения с ПК администратора к инсталляционному серверу с последующей переадресацией SSH-туннеля до целевого устройства. Обычно говорят что выполняется проброс SSH (SSH forwarding) до целевого устройства. Создание SSH-туннеля до целевого устройства позволяет эксплуатировать небезопасные протоколы для управления серверами без создания специальных правил на межсетевом экране или предоставления доступа ко внутренним сетям организации.

Типичная конфигурация Windows Server включает в себя службы RDP обеспечивающие доступ администраторов к его рабочему столу. Администратор Windows Server может запускать сеанс RDP внутри другого сеанса RDP и таким образом получать доступ к целевому Windows Server расположенному в ДМЗ.

Риски безопасности

править

Инсталляционный сервер создаёт потенциальные риски, однако существуют методы повышения безопасности его эксплуатации:

  • Уменьшение размера каждой подсети через увеличение числа подсетей, с защитой полученных VLAN на межсетевом экране или маршрутизаторе
  • Использование контроля доступа с более высоким уровнем безопасности, например применение многофакторной аутентификации
  • Поддержание ОС и ПО эксплуатируемых на инсталляционном сервере в актуальном состоянии
  • Использование списков управления доступом для ограничения доступа только тем пользователям, которым это требуется
  • Запрет на исходящий доступ с инсталяционного сервера к сети Internet
  • Ограничение списка приложений которые пользователь может запустить на инсталяционном сервере (т.н. "белый" список)
  • Введение строгой регистрации действий пользователей на инсталляционном сервере

См. также

править