iSCSI SAN系統(tǒng)保護的五種解決方法

如何才能將網(wǎng)絡(luò)黑客阻擋在iSCSI SAN系統(tǒng)的大門之外?本文中將會推薦5種解決辦法。提醒讀者注意的是，這些辦法雖然都能起到維護IP SAN系統(tǒng)安全的作用，但各自都存在一定的優(yōu)缺點。建議用戶在實施時仔細斟酌，只要使用得當(dāng)，可大幅提升存儲網(wǎng)絡(luò)的安全性能。

　　1、合理利用訪問控制表(簡稱ACL)

　　網(wǎng)絡(luò)管理員可通過設(shè)置訪問控制表，限制IP SAN系統(tǒng)中數(shù)據(jù)文件對不同訪問者的開放權(quán)限。目前市面上大多數(shù)主流的存儲系統(tǒng)都可支持基于IP地址的訪問控制表，不過，稍微厲害一點的黑客就能夠輕松地破解這道安全防線。另一個辦法就是使用iSCSI客戶機的引發(fā)器名稱(initiator name)。與光纖系統(tǒng)的全球名稱(WORLD WIDE NAME，簡稱WWN，全球統(tǒng)一的64位無符號的名稱標(biāo)識符)、以太網(wǎng)的媒體訪問控制(簡稱MAC)地址一樣，引發(fā)器名稱指的是每臺iSCSI主機總線適配器(HBA)或軟件引發(fā)器(software initiator)分配到的全球唯一的名稱標(biāo)識。不過，它的缺點也與WWN、MAC地址一樣，很容易被制服，特別是對于基于軟件的iSCSI驅(qū)動器而言。訪問控制表，與光纖系統(tǒng)的邏輯單元屏蔽(LUN masking)技術(shù)一樣，其首要任務(wù)只是為了隔離客戶端的存儲資源，而非構(gòu)筑強有力的安全防范屏障。

　　2、使用行業(yè)標(biāo)準(zhǔn)的用戶身份驗證機制

　　諸如問詢-握手身份驗證協(xié)議(Challenge-Handshake AuthenticatiON Protocol，CHAP)之類的身份驗證協(xié)議，將會通過匹配用戶名和登陸密碼，來識別用戶的身份。密碼不需要以純文本的形式在網(wǎng)絡(luò)中傳輸，從而避免了掉包和被攔截的情況發(fā)生，所以，該協(xié)議贏得了許多網(wǎng)絡(luò)管理員的信任。不過，值得一提的是，這些密碼必須存放在連接節(jié)點的終端，有時候甚至以純文本文件的形式保存。遠程身份驗證撥入用戶服務(wù)(Remote Authentication Dial-In User Service，RADIUS)協(xié)議能夠?qū)⒚艽a從iSCSI目標(biāo)設(shè)備上轉(zhuǎn)移到中央授權(quán)服務(wù)器上，對終端進行認證、授權(quán)和統(tǒng)計，即使如此，網(wǎng)絡(luò)黑客仍然可以通過偽設(shè)置的辦法，侵入客戶端。

　　3、保護好管理界面

　　通過分析歷年來企業(yè)級光纖系統(tǒng)遭受攻擊的案例，會得到一個重要的結(jié)論：保護好存儲設(shè)備的管理界面是極其必要的。無論SAN的防范如何嚴密，網(wǎng)絡(luò)黑客只要使用一個管理應(yīng)用程序，就能夠重新分配存儲器的賦值，更改、偷竊甚至摧毀數(shù)據(jù)文件。因此，用戶應(yīng)該將管理界面隔離在安全的局域網(wǎng)內(nèi)，設(shè)置復(fù)雜的登錄密碼來保護管理員帳戶;并且與存儲產(chǎn)品供應(yīng)商們確認一下，其設(shè)定的默認后門帳戶并非使用常見的匿名登錄密碼?；诮巧陌踩夹g(shù)和作業(yè)帳戶(activity accounting)機制，都是非常有效的反偵破工具;如果用戶現(xiàn)有的存儲系統(tǒng)可支持這些技術(shù)的話，建議不妨加以利用。

　　4、對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進行加密

　　IP security(IPsec)是一種用于加密和驗證IP信息包的標(biāo)準(zhǔn)協(xié)議。IPSec提供了兩種加密通訊手段：①IPSec Tunnel：整個IP封裝在IPSec報文，提供IPSec-gateway之間的通訊;②IPSec Transport：對IP包內(nèi)的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數(shù)據(jù)部分(即：有效載荷)，對文件頭不作任何處理;Tunnel模式會將信息包的數(shù)據(jù)部分和文件頭一并進行加密，在不要求修改已配備好的設(shè)備和應(yīng)用的前提下，讓網(wǎng)絡(luò)黑客無法看到實際的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡(luò)通過Internet加密傳輸?shù)耐ǖ?。因此，絕大多數(shù)用戶均選擇使用Tunnel模式。用戶需要在接收端設(shè)置一臺支持IPsec協(xié)議的解密設(shè)備，對封裝的信息包進行解密。記住，如果接收端與發(fā)送端并非共用一個密鑰的話，IPsec協(xié)議將無法發(fā)揮作用。為了確保網(wǎng)絡(luò)的安全，存儲供應(yīng)貨和咨詢顧問們都建議用戶使用IPsec協(xié)議來加密iSCSI系統(tǒng)中所有傳輸?shù)臄?shù)據(jù)。不過，值得注意的是，IPsec雖然不失為一種強大的安全保護技術(shù)，卻會嚴重地干擾網(wǎng)絡(luò)系統(tǒng)的性能。有鑒于此，如非必要的話，盡量少用IPsec軟件。

　　5、加密閑置數(shù)據(jù)

　　加密磁盤上存放的數(shù)據(jù)，也是非常必要的。問題是，加密任務(wù)應(yīng)該是在客戶端(如：加密的文件系統(tǒng))、網(wǎng)絡(luò)(如：加密解決方案)，還是在存儲系統(tǒng)上完成呢?許多用戶都趨向于第一種選擇?D?D大多數(shù)企業(yè)級操作系統(tǒng)(包括Windows和Linux在內(nèi))，都嵌入了強大的基于文件系統(tǒng)的加密技術(shù)，何況在數(shù)據(jù)被傳送到網(wǎng)絡(luò)之前實施加密，可以確保它在線上傳輸時都處于加密狀態(tài)。當(dāng)然，如果實行加密處理大大加重了CPU的負荷的話，你可以考慮將加密任務(wù)放到網(wǎng)絡(luò)中?D?D或是交由基于磁盤陣列的加密設(shè)備?D?D來處理，只不過效果會差一點兒，部分防護屏蔽有可能會失效。提醒用戶注意的是：千萬要保管好你的密鑰，否則，恐怕連你自己也無法訪問那些加密的數(shù)據(jù)了。