점프 호스트는 분할된 보안 아키텍처의 중요한 부분입니다. Sandfly는 점프 호스트를 사용하여 격리된 세그먼트에 액세스하고 침입자에 대한 전체 보안 스캔을 수행할 수 있습니다.

점프 호스트 보기

점프 호스트를 추가하려면 먼저 추가할 점프 호스트에서 작동할 수 있는 자격 증명이 있는지 확인해야 합니다. 이 방법에 대한 자세한 내용은 Adding Credentials 섹션을 참조하십시오.

자격 증명을 사용할 수 있게 되면 사이드바의 Configuration 하위 섹션으로 이동하여 Jump Hosts를 선택하여 Jump Host 보기로 이동합니다.

Jump Hosts 보기에는 아래와 같은 결과가 표시됩니다. 점프 호스트가 없으면 데이터 테이블이 비어 있습니다.

점프 호스트 추가

Jump Hosts 보기의 오른쪽 상단에 있는 Add 버튼을 클릭하여 기본 필드 세트가 있는 Add Jump Host 폼을 엽니다.

Name 필드에 점프 호스트의 snake_case 이름을 입력합니다. 그런 다음 Hostname 필드에 점프 호스트의 호스트 이름 또는 IP 주소를 입력합니다. 다음으로 Credential 드롭다운 목록을 사용하여 점프 호스트에 인증하는 데 사용할 자격 증명을 선택합니다. 마지막으로 필요한 경우 SSH Port 필드를 기본값에서 점프 호스트에서 사용하는 포트로 변경합니다.

위 정보를 입력한 후 Finish 버튼을 클릭하면 새로운 점프 호스트가 Jump Hosts 보기에 나열됩니다. 이제 이 점프 호스트를 사용하여 기본 호스트를 추가할 수 있으며 Sandfly는 연결을 설정하기 위해 선택한 점프 호스트를 사용합니다.

사고 대응을 숨기기 위해 점프 호스트 사용

점프 호스트는 네트워크를 격리하는 데 도움이 될 뿐만 아니라 사고를 조사하는 경우 출처를 숨기기 위해 호스트 체인을 설정할 수도 있습니다. Sandfly는 조사 중인 원격 시스템에 연결하기 위해 일련의 점프 호스트를 기꺼이 사용합니다. 클라우드에서 VM을 쉽게 가동하여 점프 체인을 형성하고 작업이 완료되면 이를 파괴할 수 있습니다.

이는 사고 중에 공격자로부터 시스템 위치를 숨기기 위한 귀중한 전술입니다.

SSH의 점프 호스트 MaxStartups

기본적으로 SSH 데몬은 한 번에 시작할 수 있는 최대 연결 수를 제한합니다. 이는 연결 시도로 서버가 범람하는 것을 방지합니다. 그러나 Sandfly에는 많은 스캔 스레드가 있으며 모든 스레드가 한 번에 점프 호스트에 연결하면 많은 연결이 거부됩니다.

위의 정보를 고려할 때 시스템 sshd_config에서 MaxStartups 옵션을 더 높은 값으로 변경해야 할 수도 있습니다.

각 Sandfly 노드 컨테이너는 한 번에 최대 500개의 동시 스캔 스레드를 실행할 수 있습니다. 이 용량으로 작동할 것으로 생각되면 기본값을 다음과 같이 증가시켜야 합니다:

MaxStartups 500

You will need to restart the SSH daemon of the server for the updated value to take effect.