正確保護iSCSI存儲系統的五大絕招
正確保護iSCSI存儲系統的五大絕招
如何才能將網路黑客阻擋在iSCSI SAN系統的大門之外?本文中將會推薦5種解決辦法。提醒讀者注意的是,這些辦法雖然都能起到維護IP SAN系統安全的作用,但各自都存在一定的優缺點。建議用戶在實施時仔細斟酌,只要使用得當,可大幅提升存儲網路的安全性能。
1、合理利用訪問控制表(簡稱ACL)
網路管理員可通過設置訪問控制表,限制IP SAN系統中數據文件對不同訪問者的開放許可權。目前市面上大多數主流的存儲系統都可支持基於IP地址的訪問控制表,不過,稍微厲害一點的黑客就能夠輕鬆地破解這道安全防線。另一個辦法就是使用iSCSI客戶機的引發器名稱(initiator name)。與光纖系統的全球名稱(WORLD WIDE NAME,簡稱WWN,全球統一的64位無符號的名稱標識符)、乙太網的媒體訪問控制(簡稱MAC)地址一樣,引發器名稱指的是每台iSCSI主機匯流排適配器(HBA)或軟體引發器(software initiator)分配到的全球唯一的名稱標識。不過,它的缺點也與WWN、MAC地址一樣,很容易被制服,特別是對於基於軟體的iSCSI驅動器而言。訪問控制表,與光纖系統的邏輯單元屏蔽(LUN masking)技術一樣,其首要任務只是為了隔離客戶端的存儲資源,而非構築強有力的安全防範屏障。
2、使用行業標準的用戶身份驗證機制
諸如問詢-握手身份驗證協議(Challenge-Handshake Authentication Protocol,CHAP)之類的身份驗證協議,將會通過匹配用戶名和登陸密碼,來識別用戶的身份。密碼不需要以純文本的形式在網路中傳輸,從而避免了掉包和被攔截的情況發生,所以,該協議贏得了許多網路管理員的信任。不過,值得一提的是,這些密碼必須存放在連接節點的終端,有時候甚至以純文本文件的形式保存。遠程身份驗證撥入用戶服務(Remote Authentication Dial-In User Service,RADIUS)協議能夠將密碼從iSCSI目標設備上轉移到中央授權伺服器上,對終端進行認證、授權和統計,即使如此,網路黑客仍然可以通過偽設置的辦法,侵入客戶端。
3、保護好管理界面
通過分析歷年來企業級光纖系統遭受攻擊的案例,會得到一個重要的結論:保護好存儲設備的管理界面是極其必要的。無論SAN的防範如何嚴密,網路黑客只要使用一個管理應用程序,就能夠重新分配存儲器的賦值,更改、偷竊甚至摧毀數據文件。因此,用戶應該將管理界面隔離在安全的區域網內,設置複雜的登錄密碼來保護管理員帳戶;並且與存儲產品供應商們確認一下,其設定的默認後門帳戶並非使用常見的匿名登錄密碼。基於角色的安全技術和作業帳戶(activity accounting)機制,都是非常有效的反偵破工具;如果用戶現有的存儲系統可支持這些技術的話,建議不妨加以利用。
4、對網路傳輸的數據包進行加密
IP security(IPsec)是一種用於加密和驗證IP信息包的標準協議。IPSec提供了兩種加密通訊手段:①IPSec Tunnel:整個IP封裝在IPSec報文,提供IPSec-gateway之間的通訊;②IPSec Transport:對IP包內的數據進行加密,使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數據部分(即:有效載荷),對文件頭不作任何處理;Tunnel模式會將信息包的數據部分和文件頭一併進行加密,在不要求修改已配備好的設備和應用的前提下,讓網路黑客無法看到實際的通訊源地址和目的地址,並且能夠提供專用網路通過Internet加密傳輸的通道。因此,絕大多數用戶均選擇使用Tunnel模式。用戶需要在接收端設置一台支持IPsec協議的解密設備,對封裝的信息包進行解密。記住,如果接收端與發送端並非共用一個密鑰的話,IPsec協議將無法發揮作用。為了確保網路的安全,存儲供應貨和諮詢顧問們都建議用戶使用IPsec協議來加密iSCSI系統中所有傳輸的數據。不過,值得注意的是,IPsec雖然不失為一種強大的安全保護技術,卻會嚴重地干擾網路系統的性能。有鑒於此,如非必要的話,盡量少用IPsec軟體。
5、加密閑置數據
加密磁碟上存放的數據,也是非常必要的。問題是,加密任務應該是在客戶端(如:加密的文件系統)、網路(如:加密解決方案),還是在存儲系統上完成呢?許多用戶都趨向於第一種選擇?D?D大多數企業級操作系統(包括Windows和Linux在內),都嵌入了強大的基於文件系統的加密技術,何況在數據被傳送到網路之前實施加密,可以確保它在線上傳輸時都處於加密狀態。當然,如果實行加密處理大大加重了CPU的負荷的話,你可以考慮將加密任務放到網路中?D?D或是交由基於磁碟陣列的加密設備?D?D來處理,只不過效果會差一點兒,部分防護屏蔽有可能會失效。提醒用戶注意的是:千萬要保管好你的密鑰,否則,恐怕連你自己也無法訪問那些加密的數據了。
- Keil C51開發系統基本知識(1)
- 基於ARM平台的RFID系統設計與實現
- 89S51單片機PT2221紅外解碼彙編程序
- 用U-BOOT構建嵌入式系統的引導裝載程序
- 用系統控制台恢復系統服務 解決啟動故障
- HP Unix系統維護基本命令
- Linux網路介面的源碼分析
- ATMEL接觸式IC卡及開發實例
- 單片機模擬I2C匯流排及24C02(I2C EEPROM)讀寫實例
- 正確保護iSCSI存儲系統的五大絕招
- keil 使用筆記
- ARM啟動代碼研究
- uClinux 上的應用程序設計
- Verilog討論組精彩內容摘錄
- 自定製Nios處理器的FFT演算法指令
- CYPRESS FX2(USB2.0 單片機)讀書筆記
- VxWorks嵌入式操作系統的TrueFFS文件系統驅動開發
- C51指針小結
- MiniGUI中IAL引擎的實現
- C編譯器錯誤信息中文翻譯
- WIN XP/2003系統服務備份與保護
- 嵌入式Linux下JFFS2文件系統的實現
- Vxworks實時操作系統的串口通信程序設計與實現
- 基於虛擬儀器技術的測試與數據管理系統
- ARM7系統中實現CF卡存儲的文件系統設計
- 使用VC6.0和ModelSim編譯和模擬你的SystemC設計
- NiosII 快速入門(在QuartusII中使用上述niosII系統)
[admin via 研發互助社區 ] 正確保護iSCSI存儲系統的五大絕招已經有4372次圍觀
http://cocdig.com/docs/show-post-163.html