应用指南:如何预防存储区域网络SAN风险和威胁

    随着存储区域网络(SAN)的日益普及,SAN的安全问题日益受到人们的关注。为了保证SAN的高度安全性,企业必需对SAN的常见风险和攻击有通盘的了解,然后才能对症下药,最大程度抵御这些威胁,尽可能避免系统停顿及经济损失。


    下图显示了攻击威胁对存储网络的各个可能切入点,每一个攻击点都有可能成为后续攻击的垫脚石。为了保证高度的安全保护,SAN系统管理员必须在入侵者和数据之间设置多个监测点。认识各个攻击点有助制定相应的抗击对策。就象一座城堡拥有多种抵御入侵者的武器,企业同样必须安装多个屏障来阻挡安全威胁。



图注:本文介绍了7个攻击的入侵点。其中一个最重要的是带外以太网与交换机或其它设备的连接。限制这个连接的访问权限是保证安全的重要环节。


    攻击点跨越基础设施的多个层次。第1、5和6点从物理层上开始,在光缆连接到装置时发作。1到4点可能在物理连接完成后启动。如果掌握每个攻击点的具体威胁,则可以定出最有效的对策,本文将分析下列各类威胁:



  • 未经授权的访问

  • 欺骗 (Spoofing)

  • 数据盗窃(Sniffing)

    未经授权的访问


    未经授权的访问是最为常见的安全威胁,它的成因可以是简单地接上了错误的电线,复杂者可以是将一台已被入侵的服务器连接到光纤网络上,未被授权的访问将导致其它形式的攻击,因此必须先作介绍。


    系统管理员可在下列攻击点控制未经授权访问的入侵:


    1. 带外管理应用程序:交换机有非光纤通道端口,例如以太网端口和串行端口,以满足管理工作的需要。通过建立一个独立于公司内联网的专用网络来管理SAN,便可以限制对以太网端口的访问。如果交换机是与企业内联网络连接的,可以使用防火墙和VPN限制对以太网端口的访问。通过控制物理访问和对使用者授权以鉴别,可以限制对串行端口(RS 232)的访问。物理访问连接以太网端口后,交换机还可以根据访问控制名单,限制访问交换机的程序,交换机也可以限制通过3号攻击点进行访问的程序或个别用户。


    2. 带内管理应用程序:未经授权访问也可通过带内管理应用程序入侵交换机。带内管理程序将访问诸如命名服务器和光纤网络配置服务器等光纤网络服务。管理访问控制名单(MACL)控制对光纤网络的访问。


    3. 用户到应用程序:一旦用户获得一个管理程序的物理访问权,他们需要登录到这个应用程序上。管理应用程序是根据用户的工作性质来给予不同程度的访问授权。管理应用程序需要支持访问控制名单和每个用户的角色。


    4. 设备到设备:当两个Nx_端口在光纤网络登录之后,一个Nx_端口可以端口登录(PLOGI)到另一个Nx_端口,分区及逻辑单元屏蔽可以在这环节限制设备的访问。每一个交换机上的活动区域设置会在光纤网络上执行分区限制。存储设备将维持有关逻辑单元屏蔽的信息。


    5. 设备对光纤网络:当一个设备(Nx_端口)连接到光纤网络(Fx_端口),设备将发送一个F端口登录(FLOGI)指令,这一指令包括了各种端口全球名字(WWN)的参数。交换机可以批准端口在光纤网络登录或拒绝FLOGI并中止连接。交换机需要维持一个准许连接WWN的访问控制列表。真正的数据威胁发生在设备登录至光纤网络和进入攻击点4或5之后。


    6. 交换机对交换机:当两台交换机连接时,交换链接参数(ELP)和内部链接服务(ILS)将发送类似交换机全球名字(WWN)的相关信息。一台交换机可以批准其它交换机组成一个更大的光纤网络,如果另一台交换机不被允许加入的话,则可以隔离链接。每个交换机都需维持一个授权交换机的访问控制名单(ACL)。


    7. 存储数据:存储的数据易于受到内部攻击、来自光纤网络的未经授权访问的攻击,和基于主机的攻击。例如存储协议全都是cleartext,因此存储、备份及主机管理员能在没有访问限制及登录的情况下访问未经处理的原始存储数据。存储加密码设备提供为存储数据提供一层保护,在有些情况下提供附加的应用层身份鉴别和访问控制。


    通过访问控制名单(ACL)控制访问只可以防止意外事故,但它不能防御那些假伪身份的攻击者。不幸的是,大多数网络盗贼能很容易地取得假冒身份。为了阻止诈骗者(盗用他人身份者)渗透入网络,那些获得授权的个体也必须经过身份鉴定。


    欺骗 (Spoofing)


    欺骗是与未经授权访问有关的一种威胁。欺骗以多种形式和名称:仿冒、身份窃取、抢劫、伪装和WWN欺骗。欺骗是根据它所发作的法层面而命名,其中一种形式是假冒用户,而另一种是伪装成一个已被授权的WWN。


    抗击欺骗的方法就是让窃取者提供一些只有被授权的用户才知晓的特殊信息。对于用户来说,需要知道和提供的只是一个密码。对于设备而言,Nx_端口或交换机的WWN是与这个机密信息相连的。管理话路也可以进行身份鉴别,确保入侵者不能管理光纤网络或设备。


    系统管理员可在下列攻击点检测欺骗行为:


    1. 带外管理应用程序:当一个管理程序程序接触交换机的时候,交换机就会对它进行身份鉴别,有关用户身份的鉴别是在第6个攻击点进行。


    2. 带内管理应用程序:带内管理应用程序会用“通用传输(CT)身份鉴别”来阻止对光纤服务的欺骗指令。


    3. 用户到应用程序:当用户在应用程序登录时,管理程序将要求用户提供一个密码、机密或者标记。应用程序可以通过生物测定数据来识别用户,像指纹、虹膜扫描、甚至DNA样本。


    4. 设备到设备:当Nx_端口收到一个PLOGI后,它会向提出要求的端口出示身份证明。CHAP是用于鉴别Nx_端口的标准光纤渠道机制。提出要求的Nx_端口也应该要求另一个Nx_端口提供身份证明,这样才可确保两个端口的身份都是真确的,双向身份鉴别通常被称为“相互鉴别”。


    5. 设备到光纤网络:当一个设备发出光纤登录指令(FLOGI),交换机将提出一个CHAP要求以便鉴别用户身份。Nx_端口需要对CHAP作出回应,同时要求交换机进行相互鉴别。


    6. 交换机到交换机:当一个交换机与另一个交换机连接时,两台交换机需用CHAP互相鉴别身份。


    对于每一点的身份鉴别,以下是四种可能的方法:


    1. 用户身份鉴别


    2. 以太网CHAP实体身份鉴别


    3. CT讯息鉴别


    4. 光纤渠道DH-CHAP实体身份鉴别


    当实体及用户的身份被鉴别后,传输就可以在授权设备之间安全地流动,但在连接中流动的数据仍然会受到数据盗窃(Sniffing)的威胁,这在下一个章节中将详细讨论。


    数据盗窃(Sniffing)


    数据会通过很多种途径被窃取,其中一种途径就是在数据还在传输的过程中进行盗窃,Sniffing 是对数据线进行窥探,例如“光纤通道分析器”就是一种可以完全监控数据传输的数据盗窃方法。如果数据盗窃做得巧妙,它是不会影响设备的操作。防止数据盗窃的方法是加密(encryption)。“封装安全法”(ESP)可以对光纤传输数据进行加密,以确保安全性。以太网传输能通过SSL或者类似的协议来加密。这些加密技术可以使用不同的加密程度使得被窃数据没有可乘之机。


    存储加密


    随着SAN变得日益复杂,大量数据在一个共享的系统里被集成和复制,用户开始关注存储数据的安全。McDATA与其合作伙伴携手合作,不断开发整合解决方案,对存储数据进行一目了然的线速加密保护。这些设备使用硬件加密及钥匙管理把存储数据锁上,同时执行整体光纤网络安全及访问控制,这些经McDATA认证的解决方案已经被多个政府单位和企业用户采用。
























































































攻击点 触发点 对策 SANtegrity™解决方案
威胁#1:未经授权的访问
1、带外管理应用程序 用户启动管理话路 使用光纤网络服务的管理应用程序需要得到授权 IP 访问控制名单(ACL)、串行端口鉴别、SMZ
2、带内管理程序 用户启动管理话路 授权 MACL
3、用户对应用 用户在应用程序登录 授权 RBAC
4、设备对设备 Nx_端口PLOGI至其它设备 Nx_端口对Nx_端口授权 软硬分区、逻辑单元屏蔽
5、装置对光纤网络 Nx_端口在光纤网络登录 Nx_端口对光纤网络授权 端口或交换机绑定、锁定光纤网络
6、交换机对交换机 E_端口加入光纤网络 交换机对交换机授权 光纤网络绑定
7、攻击存储数据 内部/管理访问 对存储数据进行加密 认证伙伴解决方案
威胁#2:欺骗 (Spoofing)
1、带外管理应用程序 用户启动管理话路 使用光纤网络服务的管理应用程序需要身份鉴别 CHAP实体身份鉴别
2、带内管理程序 用户启动管理话路 使用光纤网络服务的管理应用程序需要身份鉴别 CHAP实体身份鉴别、CT信息鉴别
3、用户对应用 用户在应用程序上登录 用户身份鉴别 用户身份鉴别
4、设备对设备 在假冒的WWN进行Nx_端口PLOGI Nx_端口对Nx_端口需要身份鉴别 CHAP身份鉴别
5、设备对光纤网络 在假冒的WWN进行Nx_端口登录 Nx_端口对光纤网络需要身份鉴别 CHAP身份鉴别
6、交换机对交换机 E_端口用错误的WWN加入光纤网络 交换机对交换机需要身份鉴别 CHAP身份鉴别
威胁#3:数据盗窃(Sniffing)
1、带内攻击点 “中间人”从中下手 对数据传输加密 ESP
2、带外攻击点 “中间人” 从中下手 对数据传输加密 IP加密技术