กระโดดเซิร์ฟเวอร์

จัมพ์เซิร์ฟเวอร์จัมพ์โฮสต์หรือจัมพ์บ็อกซ์คือระบบบนเครือข่ายที่ใช้ในการเข้าถึงและจัดการอุปกรณ์ในโซนความปลอดภัยที่แยกต่างหาก จัมพ์เซิร์ฟเวอร์เป็น อุปกรณ์ที่มีความปลอดภัย สูงและมีการตรวจสอบอย่างสม่ำเสมอ ซึ่งทำหน้าที่เชื่อมต่อระหว่างสองโซนความปลอดภัยที่แตกต่างกัน และให้วิธีการเข้าถึงระหว่างกันอย่างมีระบบ ตัวอย่างที่พบได้บ่อยที่สุดคือการจัดการโฮสต์ในDMZจากเครือข่ายหรือคอมพิวเตอร์ที่เชื่อถือได้

ในช่วงทศวรรษ 1990 เมื่อศูนย์บริการร่วม (co-location facilities) เริ่มแพร่หลายมากขึ้น ก็มีความจำเป็นที่จะต้องจัดให้มีการเข้าถึงระหว่างโซนความปลอดภัยที่แตกต่างกัน แนวคิดของเซิร์ฟเวอร์เชื่อมต่อ (jump server) จึงเกิดขึ้นเพื่อตอบสนองความต้องการนี้ เซิร์ฟเวอร์เชื่อมต่อจะทำหน้าที่เชื่อมต่อเครือข่ายทั้งสอง และโดยทั่วไปจะใช้ร่วมกับบริการพร็อกซีเช่นSOCKSเพื่อให้สามารถเข้าถึงอุปกรณ์ที่ได้รับการจัดการจากเดสก์ท็อปของผู้ดูแลระบบได้ เมื่อการสร้างอุโมงค์โดยใช้ SSH (SSH-based tunneling) กลาย เป็นเรื่องปกติ เซิร์ฟเวอร์เชื่อมต่อจึงกลายเป็นวิธีการเข้าถึงมาตรฐาน

โดยทั่วไปแล้ว เซิร์ฟเวอร์ Jump จะถูกวางไว้ระหว่างโซนปลอดภัย (Secure Zone) และ DMZ เพื่อให้สามารถจัดการอุปกรณ์ใน DMZ ได้อย่างโปร่งใสเมื่อมีการสร้างเซสชันการจัดการแล้ว เซิร์ฟเวอร์ Jump ทำหน้าที่เป็น จุด ตรวจสอบการรับส่งข้อมูลเพียงจุดเดียว และเป็นจุดเดียวที่สามารถจัดการบัญชีผู้ใช้ได้ ผู้ดูแลระบบที่ต้องการเข้าถึงจะต้องล็อกอินเข้าสู่เซิร์ฟเวอร์ Jump เพื่อเข้าถึงสินทรัพย์ใน DMZ และการเข้าถึงทั้งหมดจะถูกบันทึกไว้เพื่อตรวจสอบในภายหลัง

โดยทั่วไปแล้ว ระบบจะ ใช้เครื่อง Unix (หรือเครื่องที่คล้าย Unix ) ที่มีการรักษาความปลอดภัยสูง และตั้งค่าด้วยSSH และ ไฟร์วอลล์ภายในเครื่อง ผู้ดูแลระบบจะเชื่อมต่อกับเครื่องเป้าหมายใน DMZ โดยสร้างการเชื่อมต่อ SSH จากคอมพิวเตอร์ส่วนตัวของผู้ดูแลระบบไปยังเซิร์ฟเวอร์ตัวกลาง จากนั้นใช้การส่งต่อ SSH เพื่อเข้าถึงเครื่องเป้าหมาย

การใช้การส่งต่อพอร์ต SSH หรืออุโมงค์ SSH ไปยังโฮสต์เป้าหมาย ช่วยให้สามารถใช้โปรโตคอลที่ไม่ปลอดภัยในการจัดการเซิร์ฟเวอร์โดยไม่ต้องสร้างกฎไฟร์วอลล์พิเศษหรือเปิดเผยการรับส่งข้อมูลบนเครือข่ายภายใน

การกำหนดค่าทั่วไปคือเซิร์ฟเวอร์ Windowsที่ใช้งานRemote Desktop Servicesซึ่งผู้ดูแลระบบจะเชื่อมต่อเข้าไป โดยจะแยกโครงสร้างพื้นฐานที่ปลอดภัยออกจากการกำหนดค่าเวิร์กสเตชันของผู้ดูแลระบบ^{[ 1 ]}นอกจากนี้ยังสามารถเปิดใช้งาน เซิร์ฟเวอร์ OpenSSHบน Windows 10 (build 1809 และเวอร์ชันที่ใหม่กว่า) และ Windows Server รุ่น 2019 และ 2022 ได้ อีกด้วย ^{[ 2 ]}

เซิร์ฟเวอร์ Jump ถือเป็นความเสี่ยงในการออกแบบเครือข่าย^{[ 3 ]}มีหลายวิธีในการปรับปรุงความปลอดภัยของเซิร์ฟเวอร์ Jump ซึ่งรวมถึง:

• การแบ่งซับเน็ต/เซกเมนต์เครือข่ายอย่างเหมาะสม^{[ 4 ]}และการรักษาความปลอดภัยVLANโดยใช้ไฟร์วอลล์^{[ 5 ]}หรือเราเตอร์
• การใช้การตรวจสอบความปลอดภัยที่สูงขึ้น เช่น การ ^ตรวจสอบสิทธิ์แบบหลายปัจจัย^{[ 5} ]
• การทำให้ระบบปฏิบัติการและซอฟต์แวร์บนเซิร์ฟเวอร์ Jump ทันสมัยอยู่เสมอ^{[ 6 ]}
• การใช้ACLเพื่อจำกัดการเข้าถึง^{[ 7 ]}
• ไม่อนุญาตให้เข้าถึงอินเทอร์เน็ตจากเซิร์ฟเวอร์ Jump ออกไปภายนอก^{[ 8 ]}
• การจำกัดโปรแกรมที่สามารถทำงานบนเซิร์ฟเวอร์กระโดดได้^{[ 9 ]}
• เปิดใช้งานการบันทึกข้อมูลอย่างเข้มงวดเพื่อตรวจสอบและแจ้งเตือนกิจกรรมที่น่าสงสัย^{[ 6 ]}

เมื่อต้องการคุณสมบัติด้านความปลอดภัยที่ได้รับการปรับปรุง เช่น การควบคุมสภาพแวดล้อมของลูกค้าVPNอาจเป็นทางเลือกที่เหมาะสม^{[ 10 ]}

• โฮสต์ป้อมปราการ
• พร็อกซีเซิร์ฟเวอร์

• วิมเมอร์, ปีเตอร์ ไค. "โซนเครือข่ายที่ปลอดภัย" (PDF) . ATSEC ความปลอดภัยของข้อมูล . เก็บถาวรจากต้นฉบับ(PDF)เมื่อ 2016-03-08.
• Mathis, Roland (2004-09-20). "การติดตั้ง Jumphost SSH ที่ปลอดภัยด้วย User-Chrooted" (PDF) . GIAC . สืบค้นเมื่อ2019-06-12 .