《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 應(yīng)用技巧:正確保護(hù)iSCSI存儲(chǔ)系統(tǒng)的五大絕招
應(yīng)用技巧:正確保護(hù)iSCSI存儲(chǔ)系統(tǒng)的五大絕招
來源:CNW.com.cn
摘要: 如何才能將網(wǎng)絡(luò)黑客阻擋在iSCSI SAN系統(tǒng)的大門之外,?本文中將會(huì)推薦5種解決辦法,。提醒讀者注意的是,這些辦法雖然都能起到維護(hù)IP SAN系統(tǒng)安全的作用,,但各自都存在一定的優(yōu)缺點(diǎn)。建議用戶在實(shí)施時(shí)仔細(xì)斟酌,,只要使用得當(dāng),,可大幅提升存儲(chǔ)網(wǎng)絡(luò)的安全性能。
Abstract:
Key words :

如何才能將網(wǎng)絡(luò)黑客阻擋在iSCSI SAN系統(tǒng)的大門之外,?本文中將會(huì)推薦5種解決辦法,。提醒讀者注意的是,這些辦法雖然都能起到維護(hù)IP SAN系統(tǒng)安全的作用,,但各自都存在一定的優(yōu)缺點(diǎn),。建議用戶在實(shí)施時(shí)仔細(xì)斟酌,只要使用得當(dāng),,可大幅提升存儲(chǔ)網(wǎng)絡(luò)的安全性能,。
1、合理利用訪問控制表(簡稱ACL)
網(wǎng)絡(luò)管理員可通過設(shè)置訪問控制表,,限制IP SAN系統(tǒng)中數(shù)據(jù)文件對(duì)不同訪問者的開放權(quán)限,。目前市面上大多數(shù)主流的存儲(chǔ)系統(tǒng)都可支持基于IP地址的訪問控制表,不過,,稍微厲害一點(diǎn)的黑客就能夠輕松地破解這道安全防線,。另一個(gè)辦法就是使用iSCSI客戶機(jī)的引發(fā)器名稱(initiator name)。
與光纖系統(tǒng)的全球名稱(WORLD WIDE NAME,,簡稱WWN,,全球統(tǒng)一的64位無符號(hào)的名稱標(biāo)識(shí)符)、以太網(wǎng)的媒體訪問控制(簡稱MAC)地址一樣,,引發(fā)器名稱指的是每臺(tái)iSCSI主機(jī)總線適配器(HBA)或軟件引發(fā)器(software initiator)分配到的全球唯一的名稱標(biāo)識(shí),。
不過,它的缺點(diǎn)也與WWN,、MAC地址一樣,,很容易被制服,特別是對(duì)于基于軟件的iSCSI驅(qū)動(dòng)器而言,。訪問控制表,,與光纖系統(tǒng)的邏輯單元屏蔽(LUN masking)技術(shù)一樣,其首要任務(wù)只是為了隔離客戶端的存儲(chǔ)資源,,而非構(gòu)筑強(qiáng)有力的安全防范屏障,。
2、使用行業(yè)標(biāo)準(zhǔn)的用戶身份驗(yàn)證機(jī)制
諸如問詢-握手身份驗(yàn)證協(xié)議(Challenge-Handshake Authentication Protocol,,CHAP)之類的身份驗(yàn)證協(xié)議,,將會(huì)通過匹配用戶名和登陸密碼,來識(shí)別用戶的身份,。密碼不需要以純文本的形式在網(wǎng)絡(luò)中傳輸,,從而避免了掉包和被攔截的情況發(fā)生,,所以,該協(xié)議贏得了許多網(wǎng)絡(luò)管理員的信任,。不過,,值得一提的是,這些密碼必須存放在連接節(jié)點(diǎn)的終端,,有時(shí)候甚至以純文本文件的形式保存,。遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(Remote Authentication Dial-In User Service,RADIUS)協(xié)議能夠?qū)⒚艽a從iSCSI目標(biāo)設(shè)備上轉(zhuǎn)移到中央授權(quán)服務(wù)器上,,對(duì)終端進(jìn)行認(rèn)證,、授權(quán)和統(tǒng)計(jì),即使如此,,網(wǎng)絡(luò)黑客仍然可以通過偽設(shè)置的辦法,,侵入客戶端。
3,、保護(hù)好管理界面
通過分析歷年來企業(yè)級(jí)光纖系統(tǒng)遭受攻擊的案例,,會(huì)得到一個(gè)重要的結(jié)論:保護(hù)好存儲(chǔ)設(shè)備的管理界面是極其必要的。無論SAN的防范如何嚴(yán)密,,網(wǎng)絡(luò)黑客只要使用一個(gè)管理應(yīng)用程序,,就能夠重新分配存儲(chǔ)器的賦值,更改,、偷竊甚至摧毀數(shù)據(jù)文件,。因此,用戶應(yīng)該將管理界面隔離在安全的局域網(wǎng)內(nèi),,設(shè)置復(fù)雜的登錄密碼來保護(hù)管理員帳戶;并且與存儲(chǔ)產(chǎn)品供應(yīng)商們確認(rèn)一下,,其設(shè)定的默認(rèn)后門帳戶并非使用常見的匿名登錄密碼?;诮巧陌踩夹g(shù)和作業(yè)帳戶(activity accounting)機(jī)制,,都是非常有效的反偵破工具;如果用戶現(xiàn)有的存儲(chǔ)系統(tǒng)可支持這些技術(shù)的話,建議不妨加以利用,。
4,、對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行加密
IP security(IPsec)是一種用于加密和驗(yàn)證IP信息包的標(biāo)準(zhǔn)協(xié)議。IPSec提供了兩種加密通訊手段:①IPSec
Tunnel:整個(gè)IP封裝在IPSec報(bào)文,,提供IPSec-gateway之間的通訊;②IPSec Transport:對(duì)IP包內(nèi)的數(shù)據(jù)進(jìn)行加密,,使用原來的源地址和目的地址。Transport模式只能加密每個(gè)信息包的數(shù)據(jù)部分(即:有效載荷),,對(duì)文件頭不作任何處理;Tunnel模式會(huì)將信息包的數(shù)據(jù)部分和文件頭一并進(jìn)行加密,,在不要求修改已配備好的設(shè)備和應(yīng)用的前提下,,讓網(wǎng)絡(luò)黑客無法看到實(shí)際的通訊源地址和目的地址,,并且能夠提供專用網(wǎng)絡(luò)通過Internet加密傳輸?shù)耐ǖ馈?br /> 因此,,絕大多數(shù)用戶均選擇使用Tunnel模式。用戶需要在接收端設(shè)置一臺(tái)支持IPsec協(xié)議的解密設(shè)備,,對(duì)封裝的信息包進(jìn)行解密,。記住,如果接收端與發(fā)送端并非共用一個(gè)密鑰的話,,IPsec協(xié)議將無法發(fā)揮作用,。為了確保網(wǎng)絡(luò)的安全,存儲(chǔ)供應(yīng)貨和咨詢顧問們都建議用戶使用IPsec協(xié)議來加密iSCSI系統(tǒng)中所有傳輸?shù)臄?shù)據(jù),。不過,,值得注意的是,IPsec雖然不失為一種強(qiáng)大的安全保護(hù)技術(shù),,卻會(huì)嚴(yán)重地干擾網(wǎng)絡(luò)系統(tǒng)的性能,。有鑒于此,如非必要的話,,盡量少用IPsec軟件,。
5、加密閑置數(shù)據(jù)
加密磁盤上存放的數(shù)據(jù),,也是非常必要的,。問題是,加密任務(wù)應(yīng)該是在客戶端(如:加密的文件系統(tǒng)),、網(wǎng)絡(luò)(如:加密解決方案),,還是在存儲(chǔ)系統(tǒng)上完成呢?許多用戶都趨向于第一種選擇?D?D大多數(shù)企業(yè)級(jí)操作系統(tǒng)(包括Windows和Linux在內(nèi)),,都嵌入了強(qiáng)大的基于文件系統(tǒng)的加密技術(shù),,何況在數(shù)據(jù)被傳送到網(wǎng)絡(luò)之前實(shí)施加密,可以確保它在線上傳輸時(shí)都處于加密狀態(tài),。當(dāng)然,,如果實(shí)行加密處理大大加重了CPU的負(fù)荷的話,你可以考慮將加密任務(wù)放到網(wǎng)絡(luò)中?D?D或是交由基于磁盤陣列的加密設(shè)備?D?D來處理,,只不過效果會(huì)差一點(diǎn)兒,,部分防護(hù)屏蔽有可能會(huì)失效。提醒用戶注意的是:千萬要保管好你的密鑰,,否則,,恐怕連你自己也無法訪問那些加密的數(shù)據(jù)了。

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。