如何才能將網絡黑客阻擋在iSCSI SAN系統的大門之外?本文中將會推薦5種解決辦法����。提醒讀者注意的是,這些辦法雖然都能起到維護IP SAN系統安全的作用���,但各自都存在一定的優缺點���。建議用
戶在實施時仔細斟酌,只要使用得當,可大幅提升存儲網絡的安全性能����。
1����、合理利用訪問控制表(簡稱ACL)
網絡管理員可通過設置訪問控制表���,限制IP SAN系統中數據文件對不同訪問者的開放權限����。目前市面上大多數主流的存儲系統都可支持基于IP地址的訪問控制表,不過����,稍微厲害一點的黑客就能夠
輕松地破解這道安全防線���。另一個辦法就是使用iSCSI客戶機的引發器名稱(initiator name)���。與光纖系統的全球名稱(WORLD WIDE NAME���,簡稱WWN����,全球統一的64位無符號的名稱標識符)���、以太網的
媒體訪問控制(簡稱MAC)地址一樣���,引發器名稱指的是每臺iSCSI主機總線適配器(HBA)或軟件引發器(software initiator)分配到的全球唯一的名稱標識����。不過,它的缺點也與WWN����、MAC地址一樣����,
很容易被制服����,特別是對于基于軟件的iSCSI驅動器而言���。訪問控制表����,與光纖系統的邏輯單元屏蔽(LUN masking)技術一樣,其首要任務只是為了隔離客戶端的存儲資源����,而非構筑強有力的安全防范
屏障���。
2����、使用行業標準的用戶身份驗證機制
諸如問詢-握手身份驗證協議(Challenge-Handshake Authentication Protocol����,CHAP)之類的身份驗證協議,將會通過匹配用戶名和登陸密碼���,來識別用戶的身份。密碼不需要以純文本的形式在
網絡中傳輸����,從而避免了掉包和被攔截的情況發生����,所以����,該協議贏得了許多網絡管理員的信任����。不過,值得一提的是,這些密碼必須存放在連接節點的終端���,有時候甚至以純文本文件的形式保存。遠
程身份驗證撥入用戶服務(Remote Authentication Dial-In User Service���,RADIUS)協議能夠將密碼從iSCSI目標設備上轉移到中央授權服務器上����,對終端進行認證���、授權和統計����,即使如此,網絡黑客
仍然可以通過偽設置的辦法����,侵入客戶端���。
3���、保護好管理界面
通過分析歷年來企業級光纖系統遭受攻擊的案例���,會得到一個重要的結論:保護好存儲設備的管理界面是極其必要的���。無論SAN的防范如何嚴密���,網絡黑客只要使用一個管理應用程序,就能夠重新分
配存儲器的賦值���,更改、偷竊甚至摧毀數據文件����。因此����,用戶應該將管理界面隔離在安全的局域網內���,設置復雜的登錄密碼來保護管理員帳戶����;并且與存儲產品供應商們確認一下,其設定的默認后門帳
戶并非使用常見的匿名登錄密碼?��;诮巧陌踩夹g和作業帳戶(activity accounting)機制,都是非常有效的反偵破工具;如果用戶現有的存儲系統可支持這些技術的話,建議不妨加以利用。
4����、對網絡傳輸的數據包進行加密
IP security(IPsec)是一種用于加密和驗證IP信息包的標準協議���。IPSec提供了兩種加密通訊手段:①IPSec Tunnel:整個IP封裝在IPSec報文���,提供IPSec-gateway之間的通訊���;②IPSec
Transport:對IP包內的數據進行加密���,使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數據部分(即:有效載荷)���,對文件頭不作任何處理;Tunnel模式會將信息包的數據部分和
文件頭一并進行加密���,在不要求修改已配備好的設備和應用的前提下,讓網絡黑客無法看到實際的通訊源地址和目的地址���,并且能夠提供專用網絡通過Internet加密傳輸的通道。因此���,絕大多數用戶均
選擇使用Tunnel模式。用戶需要在接收端設置一臺支持IPsec協議的解密設備���,對封裝的信息包進行解密。記住���,如果接收端與發送端并非共用一個密鑰的話����,IPsec協議將無法發揮作用���。為了確保網絡
的安全���,存儲供應貨和咨詢顧問們都建議用戶使用IPsec協議來加密iSCSI系統中所有傳輸的數據���。不過���,值得注意的是���,IPsec雖然不失為一種強大的安全保護技術���,卻會嚴重地干擾網絡系統的性能���。有
鑒于此����,如非必要的話���,盡量少用IPsec軟件����。
5、加密閑置數據
加密磁盤上存放的數據���,也是非常必要的。問題是����,加密任務應該是在客戶端(如:加密的文件系統)����、網絡(如:加密解決方案)���,還是在存儲系統上完成呢����?許多用戶都趨向于第一種選擇?D?D
大多數企業級操作系統(包括Windows和Linux在內),都嵌入了強大的基于文件系統的加密技術,何況在數據被傳送到網絡之前實施加密,可以確保它在線上傳輸時都處于加密狀態����。當然���,如果實行加
密處理大大加重了CPU的負荷的話,你可以考慮將加密任務放到網絡中?D?D或是交由基于磁盤陣列的加密設備?D?D來處理���,只不過效果會差一點兒,部分防護屏蔽有可能會失效。提醒用戶注意的是:千萬
要保管好你的密鑰,否則,恐怕連你自己也無法訪問那些加密的數據了���。
沈陽數據恢復 
