En mi red, tengo los clientes conectados directamente al servidor; pero en las nuevas políticas de PCI, requerían usar servidores de salto.
¿Cuál es la ventaja de usar servidores jump por razones de seguridad?
Los servidores Jump, o más precisamente, los hosts de bastión, proporcionan una capa de segregación entre la red objetivo y el usuario. Considere una red con servidores de bases de datos, servidores de aplicaciones, un HSM o NAE para PCI y sistemas de monitoreo. Sin un host de bastión, este debe ser expuesto para el mantenimiento y monitoreo de estos sistemas. El host bastion proporciona una capa auditable para que los usuarios accedan a estos sistemas. También proporciona una separación de funciones. Los devops necesitarán acceder a los servidores, pero el Marketing normalmente no necesitará acceso.
Mire este diagrama de red básico sin un host de bastión:
Cualquierusuarioenlaredpuedeacceder,ypotencialmenteatacar,acualquierservidorenesared.Peroalemplearunhostdebastión,loscontrolessepuedencolocarensulugar:
¿Cómo puedo usar la autenticación de dos factores con los servidores de salto?
Verifique libpam y la configuración con TOTP.
¿Por qué Jump Server necesita máquinas virtuales?
No lo hacen.
¿Cuál es la ventaja de usar servidores jump por razones de seguridad?
Mi comprensión de esto es que, en general, te permite minimizar la superficie de ataque, lo que dificulta un ataque. Esto se debe a que puede moverse hacia la lista blanca de ips (puede hacer una lista blanca de los cuadros de salto). Básicamente, esto sería como requerir la autenticación para tener cualquier comunicación con los servidores.
¿Cómo puedo usar la autenticación de dos factores con los servidores de salto?
Eso depende de cómo se conecte al servidor, asumamos ssh en cuyo caso hay algunas herramientas para esto. Una buena es google authenticator, hay un paquete de Linux que creo que se llama "libpam-google-authenticator"
¿Por qué Jump Server necesita máquinas virtuales?
Creo que la razón de esto es que te permite hacer un mejor seguimiento de los usuarios y, en general, contenerlos para que no se puedan hacer cosas maliciosas en el cuadro de salto de todos.
En cuanto a la 2FA, recomiendo usar pam-radius, porque luego puede vincular el proceso a su infraestructura de identidad existente y dividir la autorización y la autenticación. Por ejemplo, si usa AD, puede configurar el NPS del complemento de MS radio y realizará las autorizaciones en AD y, si eso pasa, la autenticación a un servidor 2FA de terceros.
Vea todos nuestros tutoriales de pam-radius aquí (trabajo para esta empresa): enlace .
Además de no crear un silo de identidad separado, existen otras inquietudes sobre el uso del Autenticador de Google: enlace .
Lea otras preguntas en las etiquetas network usability multi-factor server vmware