SAN存儲(chǔ)區(qū)域網(wǎng)絡(luò)如何解決安全問(wèn)題-網(wǎng)絡(luò)運(yùn)維

2020-05-06 16:36 作者：艾銻無(wú)限 瀏覽量：

隨著存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)的日益普及，SAN的安全問(wèn)題日益受到人們的關(guān)注。為了保證SAN的高度安全性，企業(yè)必需對(duì)SAN的常見(jiàn)風(fēng)險(xiǎn)和攻擊有通盤(pán)的了解，然后才能對(duì)癥下藥，最大程度抵御這些威脅，盡可能


避免系統(tǒng)停頓及經(jīng)濟(jì)損失。     攻擊點(diǎn)跨越基礎(chǔ)設(shè)施的多個(gè)層次。第1、5和6點(diǎn)從物理層上開(kāi)始，在光纜連接到裝置時(shí)發(fā)作。1到4點(diǎn)可能在物理連接完成后啟動(dòng)。如果掌握每個(gè)攻擊點(diǎn)的具體威脅，則可以定出最有效的對(duì)策，本文將分析下列各類威脅：

    未經(jīng)授權(quán)的訪問(wèn)

    未經(jīng)授權(quán)的訪問(wèn)是最為常見(jiàn)的安全威脅，它的成因可以是簡(jiǎn)單地接上了錯(cuò)誤的電線，復(fù)雜者可以是將一臺(tái)已被入侵的服務(wù)器連接到光纖網(wǎng)絡(luò)上，未被授權(quán)的訪問(wèn)將導(dǎo)致其它形式的攻擊，因此必須先作介紹。

    系統(tǒng)管理員可在下列攻擊點(diǎn)控制未經(jīng)授權(quán)訪問(wèn)的入侵：

    1.帶外管理應(yīng)用程序：交換機(jī)有非光纖通道端口，例如以太網(wǎng)端口和串行端口，以滿足管理工作的需要。通過(guò)建立一個(gè)獨(dú)立于公司內(nèi)聯(lián)網(wǎng)的專用網(wǎng)絡(luò)來(lái)管理SAN，便可以限制對(duì)以太網(wǎng)端口的訪問(wèn)。如果交換機(jī)是與企業(yè)內(nèi)聯(lián)網(wǎng)絡(luò)連接的，可以使用防火墻和VPN限制對(duì)以太網(wǎng)端口的訪問(wèn)。通過(guò)控制物理訪問(wèn)和對(duì)使用者授權(quán)以鑒別，可以限制對(duì)串行端口(RS 232)的訪問(wèn)。物理訪問(wèn)連接以太網(wǎng)端口后，交換機(jī)還可以根據(jù)訪問(wèn)控制名單，限制訪問(wèn)交換機(jī)的程序，交換機(jī)也可以限制通過(guò)3號(hào)攻擊點(diǎn)進(jìn)行訪問(wèn)的程序或個(gè)別用戶。

    2.帶內(nèi)管理應(yīng)用程序：未經(jīng)授權(quán)訪問(wèn)也可通過(guò)帶內(nèi)管理應(yīng)用程序入侵交換機(jī)。帶內(nèi)管理程序?qū)⒃L問(wèn)諸如命名服務(wù)器和光纖網(wǎng)絡(luò)配置服務(wù)器等光纖網(wǎng)絡(luò)服務(wù)。管理訪問(wèn)控制名單(MACL)控制對(duì)光纖網(wǎng)絡(luò)的訪問(wèn)。

    3.用戶到應(yīng)用程序：一旦用戶獲得一個(gè)管理程序的物理訪問(wèn)權(quán)，他們需要登錄到這個(gè)應(yīng)用程序上。管理應(yīng)用程序是根據(jù)用戶的工作性質(zhì)來(lái)給予不同程度的訪問(wèn)授權(quán)。管理應(yīng)用程序需要支持訪問(wèn)控制名單和每個(gè)用戶的角色。

    4.設(shè)備到設(shè)備：當(dāng)兩個(gè)Nx_端口在光纖網(wǎng)絡(luò)登錄之后，一個(gè)Nx_端口可以端口登錄(PLOGI)到另一個(gè)Nx_端口，分區(qū)及邏輯單元屏蔽可以在這環(huán)節(jié)限制設(shè)備的訪問(wèn)。每一個(gè)交換機(jī)上的活動(dòng)區(qū)域設(shè)置會(huì)在光纖網(wǎng)絡(luò)上執(zhí)行分區(qū)限制。存儲(chǔ)設(shè)備將維持有關(guān)邏輯單元屏蔽的信息。

    5.設(shè)備對(duì)光纖網(wǎng)絡(luò)：當(dāng)一個(gè)設(shè)備(Nx_端口)連接到光纖網(wǎng)絡(luò)(Fx_端口)，設(shè)備將發(fā)送一個(gè)F端口登錄(FLOGI)指令，這一指令包括了各種端口全球名字(WWN)的參數(shù)。交換機(jī)可以批準(zhǔn)端口在光纖網(wǎng)絡(luò)登錄或拒絕FLOGI并中止連接。交換機(jī)需要維持一個(gè)準(zhǔn)許連接WWN的訪問(wèn)控制列表。真正的數(shù)據(jù)威脅發(fā)生在設(shè)備登錄至光纖網(wǎng)絡(luò)和進(jìn)入攻擊點(diǎn)4或5之后。

    6.交換機(jī)對(duì)交換機(jī)：當(dāng)兩臺(tái)交換機(jī)連接時(shí)，交換鏈接參數(shù)（ELP）和內(nèi)部鏈接服務(wù)（ILS）將發(fā)送類似交換機(jī)全球名字(WWN)的相關(guān)信息。一臺(tái)交換機(jī)可以批準(zhǔn)其它交換機(jī)組成一個(gè)更大的光纖網(wǎng)絡(luò)，如果另一臺(tái)交換機(jī)不被允許加入的話，則可以隔離鏈接。每個(gè)交換機(jī)都需維持一個(gè)授權(quán)交換機(jī)的訪問(wèn)控制名單(ACL)。

    7.存儲(chǔ)數(shù)據(jù)：存儲(chǔ)的數(shù)據(jù)易于受到內(nèi)部攻擊、來(lái)自光纖網(wǎng)絡(luò)的未經(jīng)授權(quán)訪問(wèn)的攻擊，和基于主機(jī)的攻擊。例如存儲(chǔ)協(xié)議全都是cleartext，因此存儲(chǔ)、備份及主機(jī)管理員能在沒(méi)有訪問(wèn)限制及登錄的情況下訪問(wèn)未經(jīng)處理的原始存儲(chǔ)數(shù)據(jù)。存儲(chǔ)加密碼設(shè)備提供為存儲(chǔ)數(shù)據(jù)提供一層保護(hù)，在有些情況下提供附加的應(yīng)用層身份鑒別和訪問(wèn)控制。

    通過(guò)訪問(wèn)控制名單(ACL)控制訪問(wèn)只可以防止意外事故，但它不能防御那些假偽身份的攻擊者。不幸的是，大多數(shù)網(wǎng)絡(luò)盜賊能很容易地取得假冒身份。為了阻止詐騙者（盜用他人身份者）滲透入網(wǎng)絡(luò)，那些獲得授權(quán)的個(gè)體也必須經(jīng)過(guò)身份鑒定。

    欺騙 （Spoofing）

    欺騙是與未經(jīng)授權(quán)訪問(wèn)有關(guān)的一種威脅。欺騙以多種形式和名稱：仿冒、身份竊取、搶劫、偽裝和WWN欺騙。欺騙是根據(jù)它所發(fā)作的法層面而命名，其中一種形式是假冒用戶，而另一種是偽裝成一個(gè)已被授
權(quán)的WWN。

    抗擊欺騙的方法就是讓竊取者提供一些只有被授權(quán)的用戶才知曉的特殊信息。對(duì)于用戶來(lái)說(shuō)，需要知道和提供的只是一個(gè)密碼。對(duì)于設(shè)備而言，Nx_端口或交換機(jī)的WWN是與這個(gè)機(jī)密信息相連的。管理話路
也可以進(jìn)行身份鑒別，確保入侵者不能管理光纖網(wǎng)絡(luò)或設(shè)備。

    系統(tǒng)管理員可在下列攻擊點(diǎn)檢測(cè)欺騙行為：

    1.帶外管理應(yīng)用程序：當(dāng)一個(gè)管理程序程序接觸交換機(jī)的時(shí)候，交換機(jī)就會(huì)對(duì)它進(jìn)行身份鑒別，有關(guān)用戶身份的鑒別是在第6個(gè)攻擊點(diǎn)進(jìn)行。

    2.帶內(nèi)管理應(yīng)用程序：帶內(nèi)管理應(yīng)用程序會(huì)用“通用傳輸(CT)身份鑒別”來(lái)阻止對(duì)光纖服務(wù)的欺騙指令。

    3.用戶到應(yīng)用程序：當(dāng)用戶在應(yīng)用程序登錄時(shí)，管理程序?qū)⒁笥脩籼峁┮粋€(gè)密碼、機(jī)密或者標(biāo)記。應(yīng)用程序可以通過(guò)生物測(cè)定數(shù)據(jù)來(lái)識(shí)別用戶，像指紋、虹膜掃描、甚至DNA樣本。

    4.設(shè)備到設(shè)備：當(dāng)Nx_端口收到一個(gè)PLOGI后，它會(huì)向提出要求的端口出示身份證明。CHAP是用于鑒別Nx_端口的標(biāo)準(zhǔn)光纖渠道機(jī)制。提出要求的Nx_端口也應(yīng)該要求另一個(gè)Nx_端口提供身份證明，這樣才可
確保兩個(gè)端口的身份都是真確的，雙向身份鑒別通常被稱為“相互鑒別”。

    5.設(shè)備到光纖網(wǎng)絡(luò)：當(dāng)一個(gè)設(shè)備發(fā)出光纖登錄指令(FLOGI)，交換機(jī)將提出一個(gè)CHAP要求以便鑒別用戶身份。Nx_端口需要對(duì)CHAP作出回應(yīng)，同時(shí)要求交換機(jī)進(jìn)行相互鑒別。

    6.交換機(jī)到交換機(jī)：當(dāng)一個(gè)交換機(jī)與另一個(gè)交換機(jī)連接時(shí)，兩臺(tái)交換機(jī)需用CHAP互相鑒別身份。

    對(duì)于每一點(diǎn)的身份鑒別，以下是四種可能的方法：
    1.用戶身份鑒別
    2.以太網(wǎng)CHAP實(shí)體身份鑒別
    3.CT訊息鑒別
    4.光纖渠道DH-CHAP實(shí)體身份鑒別
    當(dāng)實(shí)體及用戶的身份被鑒別后，傳輸就可以在授權(quán)設(shè)備之間安全地流動(dòng)，但在連接中流動(dòng)的數(shù)據(jù)仍然會(huì)受到數(shù)據(jù)盜竊(Sniffing)的威脅，這在下一個(gè)章節(jié)中將詳細(xì)討論。

    數(shù)據(jù)盜竊（Sniffing）

    數(shù)據(jù)會(huì)通過(guò)很多種途徑被竊取,其中一種途徑就是在數(shù)據(jù)還在傳輸?shù)倪^(guò)程中進(jìn)行盜竊，Sniffing 是對(duì)數(shù)據(jù)線進(jìn)行窺探，例如“光纖通道分析器”就是一種可以完全監(jiān)控?cái)?shù)據(jù)傳輸?shù)臄?shù)據(jù)盜竊方法。如果數(shù)據(jù)盜竊做得巧妙，它是不會(huì)影響設(shè)備的操作。防止數(shù)據(jù)盜竊的方法是加密(encryption)。“封裝安全法”（ESP）可以對(duì)光纖傳輸數(shù)據(jù)進(jìn)行加密，以確保安全性。以太網(wǎng)傳輸能通過(guò)SSL或者類似的協(xié)議來(lái)加密。這些加密技術(shù)可以使用不同的加密程度使得被竊數(shù)據(jù)沒(méi)有可乘之機(jī)。

    存儲(chǔ)加密

    隨著SAN變得日益復(fù)雜，大量數(shù)據(jù)在一個(gè)共享的系統(tǒng)里被集成和復(fù)制，用戶開(kāi)始關(guān)注存儲(chǔ)數(shù)據(jù)的安全。McDATA與其合作伙伴攜手合作，不斷開(kāi)發(fā)整合解決方案，對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行一目了然的線速加密保護(hù)。這
些設(shè)備使用硬件加密及鑰匙管理把存儲(chǔ)數(shù)據(jù)鎖上，同時(shí)執(zhí)行整體光纖網(wǎng)絡(luò)安全及訪問(wèn)控制，這些經(jīng)McDATA認(rèn)證的解決方案已經(jīng)被多個(gè)政府單位和企業(yè)用戶采用。