艾銻知識——正確保護iSCSI存儲系統的五大絕招

2020-04-17 17:43 作者：艾銻無限 瀏覽量：

如何才能將網絡黑客阻擋在iSCSI SAN系統的大門之外？本文中將會推薦5種解決辦法。提醒讀者注意的是，這些辦法雖然都能起到維護IP SAN系統安全的作用，但各自都存在一定的優缺點。建議用戶在實施時

仔細斟酌，只要使用得當，可大幅提升存儲網絡的安全性能。

1、合理利用訪問控制表（簡稱ACL）

網絡管理員可通過設置訪問控制表，限制IP SAN系統中數據文件對不同訪問者的開放權限。目前市面上大多數主流的存儲系統都可支持基于IP地址的訪問控制表，不過，稍微厲害一點的黑客就能夠輕松地破解這

道安全防線。另一個辦法就是使用iSCSI客戶機的引發器名稱（initiator name）。與光纖系統的全球名稱（WORLD WIDE NAME，簡稱WWN，全球統一的64位無符號的名稱標識符）、以太網的媒體訪問控制

（簡稱MAC）地址一樣，引發器名稱指的是每臺iSCSI主機總線適配器（HBA）或軟件引發器（software initiator）分配到的全球唯一的名稱標識。不過，它的缺點也與WWN、MAC地址一樣，很容易被制服，特

別是對于基于軟件的iSCSI驅動器而言。訪問控制表，與光纖系統的邏輯單元屏蔽（LUN masking）技術一樣，其首要任務只是為了隔離客戶端的存儲資源，而非構筑強有力的安全防范屏障。

 2、使用行業標準的用戶身份驗證機制

諸如問詢-握手身份驗證協議（Challenge-Handshake Authentication Protocol，CHAP）之類的身份驗證協議，將會通過匹配用戶名和登陸密碼，來識別用戶的身份。密碼不需要以純文本的形式在網絡中傳輸，從

而避免了掉包和被攔截的情況發生，所以，該協議贏得了許多網絡管理員的信任。不過，值得一提的是，這些密碼必須存放在連接節點的終端，有時候甚至以純文本文件的形式保存。遠程身份驗證撥入用戶服務

（Remote Authentication Dial-In User Service，RADIUS）協議能夠將密碼從iSCSI目標設備上轉移到中央授權服務器上，對終端進行認證、授權和統計，即使如此，網絡黑客仍然可以通過偽設置的辦法，侵入

客戶端。

 3、保護好管理界面

通過分析歷年來企業級光纖系統遭受攻擊的案例，會得到一個重要的結論：保護好存儲設備的管理界面是極其必要的。無論SAN的防范如何嚴密，網絡黑客只要使用一個管理應用程序，就能夠重新分配存儲器的

賦值，更改、偷竊甚至摧毀數據文件。因此，用戶應該將管理界面隔離在安全的局域網內，設置復雜的登錄密碼來保護管理員帳戶；并且與存儲產品供應商們確認一下，其設定的默認后門帳戶并非使用常見的匿

名登錄密碼。基于角色的安全技術和作業帳戶（activity accounting）機制，都是非常有效的反偵破工具；如果用戶現有的存儲系統可支持這些技術的話，建議不妨加以利用。

4、對網絡傳輸的數據包進行加密

 IP security（IPsec）是一種用于加密和驗證IP信息包的標準協議。IPSec提供了兩種加密通訊手段：①IPSec Tunnel：整個IP封裝在IPSec報文，提供IPSec-gateway之間的通訊；②IPSec Transport：對IP包內的

數據進行加密，使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數據部分（即：有效載荷），對文件頭不作任何處理；Tunnel模式會將信息包的數據部分和文件頭一并進行加密，在不要求修

改已配備好的設備和應用的前提下，讓網絡黑客無法看到實際的通訊源地址和目的地址，并且能夠提供專用網絡通過Internet加密傳輸的通道。因此，絕大多數用戶均選擇使用Tunnel模式。用戶需要在接收端設置

一臺支持IPsec協議的解密設備，對封裝的信息包進行解密。記住，如果接收端與發送端并非共用一個密鑰的話，IPsec協議將無法發揮作用。為了確保網絡的安全，存儲供應貨和咨詢顧問們都建議用戶使用IPsec

協議來加密iSCSI系統中所有傳輸的數據。不過，值得注意的是，IPsec雖然不失為一種強大的安全保護技術，卻會嚴重地干擾網絡系統的性能。有鑒于此，如非必要的話，盡量少用IPsec軟件。

5、加密閑置數據

 加密磁盤上存放的數據，也是非常必要的。問題是，加密任務應該是在客戶端（如：加密的文件系統）、網絡（如：加密解決方案），還是在存儲系統上完成呢？許多用戶都趨向于第一種選擇?D?D大多數企業

級操作系統（包括Windows和Linux在內），都嵌入了強大的基于文件系統的加密技術，何況在數據被傳送到網絡之前實施加密，可以確保它在線上傳輸時都處于加密狀態。當然，如果實行加密處理大大加重了

CPU的負荷的話，你可以考慮將加密任務放到網絡中?D?D或是交由基于磁盤陣列的加密設備?D?D來處理，只不過效果會差一點兒，部分防護屏蔽有可能會失效。提醒用戶注意的是：千萬要保管好你的密鑰，否

則，恐怕連你自己也無法訪問那些加密的數據了。

更過IT知識請關注北京IT無限科技有限公司www.bjiwx.com