DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 1225|回复: 0
打印 上一主题 下一主题

[待整理] 存储高手速成:五大要点 让IP SAN更加安全

[复制链接]
跳转到指定楼层
楼主
发表于 2015-4-26 21:46:52 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
如何才能将网络黑客阻挡在iSCSI SAN系统的大门之外?本文中将会推荐5种解决办法。提醒读者注意的是,这些办法虽然都能起到维护IP SAN系统安全的作用,但各自都存在一定的优缺点。建议用户在实施时仔细斟酌,只要使用得当,可大幅提升存储网络的安全性能。

  1、合理利用访问控制表(简称ACL)

  网络管理员可通过配置访问控制表,限制IP SAN系统中数据文档对不同访问者的开放权限。现在市面上大多数主流的存储系统都可支持基于IP地址的访问控制表,但是,稍微厉害一点的黑客就能够轻松地破解这道安全防线。

  另一个办法就是使用iSCSI客户机的引发器名称(initiator name)。和光纤系统的全球名称(WORLD WIDE NAME,简称WWN,全球统一的64位无符号的名称标识符)、以太网的媒体访问控制(简称MAC)地址相同,引发器名称指的是每台iSCSI主机总线适配器(HBA)或软件引发器(software initiator)分配到的全球唯一的名称标识。但是,他的缺点也和WWN、MAC地址相同,很容易被制服,特别是对于基于软件的iSCSI驱动器而言。访问控制表,和光纤系统的逻辑单元屏蔽(LUN masking)技术相同,其首要任务只是为了隔离客户端的存储资源,而非构筑强有力的安全防范屏障。

  2、使用行业标准的用户身份验证机制

  诸如问询-握手身份验证协议(Challenge-Handshake Authentication Protocol,CHAP)之类的身份验证协议,将会通过匹配用户名和登陆密码,来识别用户的身份。密码无需以纯文本的形式在网络中传输,从而避免了掉包和被拦截的情况发生,所以,该协议赢得了许多网络管理员的信任。

  但是,值得一提的是,这些密码必须存放在连接节点的终端,有时候甚至以纯文本文档的形式保存。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service,RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上,对终端进行认证、授权和统计,即使如此,网络黑客仍然能够通过伪配置的办法,侵入客户端。

  3、保护好管理界面

  通过分析历年来企业级光纤系统遭受攻击的案例,会得到一个重要的结论:保护好存储设备的管理界面是极其必要的。无论SAN的防范如何严密,网络黑客只要使用一个管理应用程式,就能够重新分配存储器的赋值,更改、偷窃甚至摧毁数据文档。因此,用户应该将管理界面隔离在安全的局域网内,配置复杂的登录密码来保护管理员帐户;并且和存储产品供给商们确认一下,其设定的默认后门帐户并非使用常见的匿名登录密码。基于角色的安全技术和作业帐户(activity accounting)机制,都是很有效的反侦破工具;假如用户现有的存储系统可支持这些技术的话,建议不妨加以利用。

  4、对网络传输的数据包进行加密

  IP security(IPsec)是一种用于加密和验证IP信息包的标准协议。IPSec提供了两种加密通讯手段:①IPSec Tunnel:整个IP封装在IPSec报文,提供IPSec-gateway之间的通讯;②IPSec Transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。Transport模式只能加密每个信息包的数据部分(即:有效载荷),对文档头不作任何处理;Tunnel模式会将信息包的数据部分和文档头一并进行加密,在不需要修改已配备好的设备和应用的前提下,让网络黑客无法看到实际的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道。

  因此,绝大多数用户均选择使用Tunnel模式。用户需要在接收端配置一台支持IPsec协议的解密设备,对封装的信息包进行解密。记住,假如接收端和发送端并非共用一个密钥的话,IPsec协议将无法发挥作用。为了确保网络的安全,存储供给货和咨询顾问们都建议用户使用IPsec协议来加密iSCSI系统中任何传输的数据。但是,值得注意的是,IPsec虽然不失为一种强大的安全保护技术,却会严重地干扰网络系统的性能。有鉴于此,如非必要的话,尽量少用IPsec软件。

  5、加密闲置数据

  加密磁盘上存放的数据,也是很必要的。问题是,加密任务应该是在客户端(如:加密的文档系统)、网络(如:加密解决方案),还是在存储系统上完成呢?许多用户都趋向于第一种选择——大多数企业级操作系统(包括Windows和Linux在内),都嵌入了强大的基于文档系统的加密技术,何况在数据被传送到网络之前实施加密,能够确保他在线上传输时都处于加密状态。当然,假如实行加密处理大大加重了CPU的负荷的话,您能够考虑将加密任务放到网络中——或是交由基于磁盘阵列的加密设备——来处理,只但是效果会差一点儿,部分防护屏蔽有可能会失效。提醒用户注意的是:千万要保管好您的密钥,否则,恐怕连您自己也无法访问那些加密的数据了。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-12-25 14:56 , 耗时 0.111070 秒, 18 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表