iSCSI SAN系統保護的解決方案

如何才能將網(wǎng)絡(luò )黑客阻擋在iSCSI SAN系統的大門(mén)之外?本文中將會(huì )推薦5種解決辦法。提醒讀者注意的是，這些辦法雖然都能起到維護IP SAN系統安全的作用，但各自都存在一定的優(yōu)缺點(diǎn)。建議用戶(hù)在實(shí)施時(shí)仔細斟酌，只要使用得當，可大幅提升存儲網(wǎng)絡(luò )的安全性能。

　　1、合理利用訪(fǎng)問(wèn)控制表(簡(jiǎn)稱(chēng)ACL)

　　網(wǎng)絡(luò )管理員可通過(guò)設置訪(fǎng)問(wèn)控制表，限制IP SAN系統中數據文件對不同訪(fǎng)問(wèn)者的開(kāi)放權限。目前市面上大多數主流的存儲系統都可支持基于IP地址的訪(fǎng)問(wèn)控制表，不過(guò)，稍微厲害一點(diǎn)的黑客就能夠輕松地破解這道安全防線(xiàn)。另一個(gè)辦法就是使用iSCSI客戶(hù)機的引發(fā)器名稱(chēng)(initiator name)。與光纖系統的全球名稱(chēng)(WORLD WIDE NAME，簡(jiǎn)稱(chēng)WWN，全球統一的64位無(wú)符號的名稱(chēng)標識符)、以太網(wǎng)的媒體訪(fǎng)問(wèn)控制(簡(jiǎn)稱(chēng)MAC)地址一樣，引發(fā)器名稱(chēng)指的是每臺iSCSI主機總線(xiàn)適配器(HBA)或軟件引發(fā)器(software initiator)分配到的全球唯一的名稱(chēng)標識。不過(guò)，它的缺點(diǎn)也與WWN、MAC地址一樣，很容易被制服，特別是對于基于軟件的iSCSI驅動(dòng)器而言。訪(fǎng)問(wèn)控制表，與光纖系統的邏輯單元屏蔽(LUN masking)技術(shù)一樣，其首要任務(wù)只是為了隔離客戶(hù)端的存儲資源，而非構筑強有力的安全防范屏障。

　　2、使用行業(yè)標準的用戶(hù)身份驗證機制

　　諸如問(wèn)詢(xún)-握手身份驗證協(xié)議(Challenge-Handshake AuthenticatiON Protocol，CHAP)之類(lèi)的身份驗證協(xié)議，將會(huì )通過(guò)匹配用戶(hù)名和登陸密碼，來(lái)識別用戶(hù)的身份。密碼不需要以純文本的形式在網(wǎng)絡(luò )中傳輸，從而避免了掉包和被攔截的情況發(fā)生，所以，該協(xié)議贏(yíng)得了許多網(wǎng)絡(luò )管理員的信任。不過(guò)，值得一提的是，這些密碼必須存放在連接節點(diǎn)的終端，有時(shí)候甚至以純文本文件的形式保存。遠程身份驗證撥入用戶(hù)服務(wù)(Remote Authentication Dial-In User Service，RADIUS)協(xié)議能夠將密碼從iSCSI目標設備上轉移到中央授權服務(wù)器上，對終端進(jìn)行認證、授權和統計，即使如此，網(wǎng)絡(luò )黑客仍然可以通過(guò)偽設置的辦法，侵入客戶(hù)端。

　　3、保護好管理界面

　　通過(guò)分析歷年來(lái)企業(yè)級光纖系統遭受攻擊的案例，會(huì )得到一個(gè)重要的結論：保護好存儲設備的管理界面是極其必要的。無(wú)論SAN的防范如何嚴密，網(wǎng)絡(luò )黑客只要使用一個(gè)管理應用程序，就能夠重新分配存儲器的賦值，更改、偷竊甚至摧毀數據文件。因此，用戶(hù)應該將管理界面隔離在安全的局域網(wǎng)內，設置復雜的登錄密碼來(lái)保護管理員帳戶(hù);并且與存儲產(chǎn)品供應商們確認一下，其設定的默認后門(mén)帳戶(hù)并非使用常見(jiàn)的匿名登錄密碼?；诮巧陌踩夹g(shù)和作業(yè)帳戶(hù)(activity accounting)機制，都是非常有效的反偵破工具;如果用戶(hù)現有的存儲系統可支持這些技術(shù)的話(huà)，建議不妨加以利用。

　　4、對網(wǎng)絡(luò )傳輸的數據包進(jìn)行加密

　　IP security(IPsec)是一種用于加密和驗證IP信息包的標準協(xié)議。IPSec提供了兩種加密通訊手段：①I(mǎi)PSec Tunnel：整個(gè)IP封裝在IPSec報文，提供IPSec-gateway之間的通訊;②IPSec Transport：對IP包內的數據進(jìn)行加密，使用原來(lái)的源地址和目的地址。Transport模式只能加密每個(gè)信息包的數據部分(即：有效載荷)，對文件頭不作任何處理;Tunnel模式會(huì )將信息包的數據部分和文件頭一并進(jìn)行加密，在不要求修改已配備好的設備和應用的前提下，讓網(wǎng)絡(luò )黑客無(wú)法看到實(shí)際的通訊源地址和目的地址，并且能夠提供專(zhuān)用網(wǎng)絡(luò )通過(guò)Internet加密傳輸的通道。因此，絕大多數用戶(hù)均選擇使用Tunnel模式。用戶(hù)需要在接收端設置一臺支持IPsec協(xié)議的解密設備，對封裝的信息包進(jìn)行解密。記住，如果接收端與發(fā)送端并非共用一個(gè)密鑰的話(huà)，IPsec協(xié)議將無(wú)法發(fā)揮作用。為了確保網(wǎng)絡(luò )的安全，存儲供應貨和咨詢(xún)顧問(wèn)們都建議用戶(hù)使用IPsec協(xié)議來(lái)加密iSCSI系統中所有傳輸的數據。不過(guò)，值得注意的是，IPsec雖然不失為一種強大的安全保護技術(shù)，卻會(huì )嚴重地干擾網(wǎng)絡(luò )系統的性能。有鑒于此，如非必要的話(huà)，盡量少用IPsec軟件。

　　5、加密閑置數據

　　加密磁盤(pán)上存放的數據，也是非常必要的。問(wèn)題是，加密任務(wù)應該是在客戶(hù)端(如：加密的文件系統)、網(wǎng)絡(luò )(如：加密解決方案)，還是在存儲系統上完成呢?許多用戶(hù)都趨向于第一種選擇?D?D大多數企業(yè)級操作系統(包括Windows和Linux在內)，都嵌入了強大的基于文件系統的加密技術(shù)，何況在數據被傳送到網(wǎng)絡(luò )之前實(shí)施加密，可以確保它在線(xiàn)上傳輸時(shí)都處于加密狀態(tài)。當然，如果實(shí)行加密處理大大加重了CPU的負荷的話(huà)，你可以考慮將加密任務(wù)放到網(wǎng)絡(luò )中?D?D或是交由基于磁盤(pán)陣列的加密設備?D?D來(lái)處理，只不過(guò)效果會(huì )差一點(diǎn)兒，部分防護屏蔽有可能會(huì )失效。提醒用戶(hù)注意的是：千萬(wàn)要保管好你的密鑰，否則，恐怕連你自己也無(wú)法訪(fǎng)問(wèn)那些加密的數據了。