隨著存儲區域網絡(SAN)的日益普及,SAN的安全問題日益受到人們的關注。為了保證SAN的高度安全性,企業必需對SAN的常見風險和攻擊有通盤的了解,然后才能對癥下藥,最大程度抵御這些威脅,盡可能避免系統停頓及經濟損失。
攻擊威脅對存儲網絡的各個可能切入點,每一個攻擊點都有可能成為后續攻擊的墊腳石。為了保證高度的安全保護,SAN系統管理員必須在入侵者和數據之間設置多個監測點。認識各個攻擊點有助制定相應的抗擊對策。就象一座城堡擁有多種抵御入侵者的武器,企業同樣必須安裝多個屏障來阻擋安全威脅。
攻擊點跨越基礎設施的多個層次。第1、5和6點從物理層上開始,在光纜連接到裝置時發作。1到4點可能在物理連接完成后啟動。如果掌握每個攻擊點的具體威脅,則可以定出最有效的對策,本文將分析下列各類威脅:
未經授權的訪問
欺騙 (Spoofing)
數據盜竊(Sniffing)
未經授權的訪問
未經授權的訪問是最為常見的安全威脅,它的成因可以是簡單地接上了錯誤的電線,復雜者可以是將一臺已被入侵的服務器連接到光纖網絡上,未被授權的訪問將導致其它形式的攻擊,因此必須先作介紹。
系統管理員可在下列攻擊點控制未經授權訪問的入侵:
1. 帶外管理應用程序:交換機有非光纖通道端口,例如以太網端口和串行端口,以滿足管理工作的需要。通過建立一個獨立于公司內聯網的專用網絡來管理SAN,便可以限制對以太網端口的訪問。如果交換機是與企業內聯網絡連接的,可以使用防火墻和VPN限制對以太網端口的訪問。通過控制物理訪問和對使用者授權以鑒別,可以限制對串行端口(RS 232)的訪問。物理訪問連接以太網端口后,交換機還可以根據訪問控制名單,限制訪問交換機的程序,交換機也可以限制通過3號攻擊點進行訪問的程序或個別用戶。
2. 帶內管理應用程序:未經授權訪問也可通過帶內管理應用程序入侵交換機。帶內管理程序將訪問諸如命名服務器和光纖網絡配置服務器等光纖網絡服務。管理訪問控制名單(MACL)控制對光纖網絡的訪問。
3. 用戶到應用程序:一旦用戶獲得一個管理程序的物理訪問權,他們需要登錄到這個應用程序上。管理應用程序是根據用戶的工作性質來給予不同程度的訪問授權。管理應用程序需要支持訪問控制名單和每個用戶的角色。
4. 設備到設備:當兩個Nx_端口在光纖網絡登錄之后,一個Nx_端口可以端口登錄(PLOGI)到另一個Nx_端口,分區及邏輯單元屏蔽可以在這環節限制設備的訪問。每一個交換機上的活動區域設置會在光纖網絡上執行分區限制。存儲設備將維持有關邏輯單元屏蔽的信息。
5. 設備對光纖網絡:當一個設備(Nx_端口)連接到光纖網絡(Fx_端口),設備將發送一個F端口登錄(FLOGI)指令,這一指令包括了各種端口全球名字(WWN)的參數。交換機可以批準端口在光纖網絡登錄或拒絕FLOGI并中止連接。交換機需要維持一個準許連接WWN的訪問控制列表。真正的數據威脅發生在設備登錄至光纖網絡和進入攻擊點4或5之后。
6. 交換機對交換機:當兩臺交換機連接時,交換鏈接參數(ELP)和內部鏈接服務(ILS)將發送類似交換機全球名字(WWN)的相關信息。一臺交換機可以批準其它交換機組成一個更大的光纖網絡,如果另一臺交換機不被允許加入的話,則可以隔離鏈接。每個交換機都需維持一個授權交換機的訪問控制名單(ACL)。
7. 存儲數據:存儲的數據易于受到內部攻擊、來自光纖網絡的未經授權訪問的攻擊,和基于主機的攻擊。例如存儲協議全都是cleartext,因此存儲、備份及主機管理員能在沒有訪問限制及登錄的情況下訪問未經處理的原始存儲數據。存儲加密碼設備提供為存儲數據提供一層保護,在有些情況下提供附加的應用層身份鑒別和訪問控制。
通過訪問控制名單(ACL)控制訪問只可以防止意外事故,但它不能防御那些假偽身份的攻擊者。不幸的是,大多數網絡盜賊能很容易地取得假冒身份。為了阻止詐騙者(盜用他人身份者)滲透入網絡,那些獲得授權的個體也必須經過身份鑒定。
欺騙 (Spoofing)
欺騙是與未經授權訪問有關的一種威脅。欺騙以多種形式和名稱:仿冒、身份竊取、搶劫、偽裝和WWN欺騙。欺騙是根據它所發作的法層面而命名,其中一種形式是假冒用戶,而另一種是偽裝成一個已被授權的WWN。
沈陽數據恢復 
