Internet Firewalls

Uma vez definidos os serviços a serem providos pelo bastion host, configura- se a máquina de acordo com o tipo de bastion host necessário. Caso o serviço seja extremamente seguro, poder-se-ia provê-lo utilizando apenas filtragem de pacotes, mas é importante observar que abrir uma passagem para uma máquina interna para prover tal serviço significa tornar todas as demais máquinas da sub-rede igualmente atingíveis caso o roteador seja comprometido. A solução é manter todos os serviços disponíveis à Internet em um ou mais bastion hosts e, caso o serviço seja considerado altamente inseguro, deve-se escolher uma máquina vítima para provê-lo.

Há alguns passos básicos para construir um bastion host[CHA 95]:

• Tornar a máquina segura;
• Desabilitar todos os serviços não desejados;
• Instalar ou modificar os serviços que se deseja prover;
• Reconfigurar a máquina a partir de uma configuração conveniente para desenvolvimento em seu estado final de execução;
• Rodar uma auditoria de segurança para estabelecer uma linha base;
• Conectar a máquina na rede na qual ela será utilizada.