分享
 
 
 

51CTO专家:iSCSI技术安全的五个层次

王朝other·作者佚名  2008-06-01
窄屏简体版  字體: |||超大  

【独家特稿】曾几何时,通讯安全保障技术与存储产品没有任何关系。假如谁提及存储通道的通讯安全,定会遭到耻笑。也对,你见过有哪个黑客是从SCSI连接攻破系统的?

但是说到iSCSI,情况就完全不一样了。iSCSI的连接通道是以太网,这可是黑客们自家的大院。谁要是进来,就必须得考虑安全问题。这比进建筑工地要带安全帽还重要,因为在Internet上被黑客盯上的概率,比在建筑工地被板砖拍到头上的概率大多了。不信您可以试试,在建筑工地里待上三天也等不到一块从天而降的板砖。但是把Windows的安全保护去掉连到Internet上,保证你三小时之内就收集到数种“宝贵”的后门程序。假如比较“幸运”,说不定您的用户口令已经被改过N次,通讯录被复制M回了。

Internet如此凶险,iSCSI所面临的安全考验可想而知。

幸好IETF和SNIA的IP存储工作组对此早有防范,在制订iSCSI标准之初就充分考虑了通讯的安全问题。按照SNIA IP存储工作组的说法,针对iSCSI技术的保护可以分为五个级别。

一、无安全保护

且慢扔西红柿,听我说完嘛!

最简单的iSCSI实现方式,就是没有任何加密和认证机制的连接。这种方式仅提供了“SCSI指令在TCP/IP协议上传输”这样一个最基本的功能,连接到网络上的任何一台主机都可以毫无阻碍的连接到iSCSI存储设备。

这种方式显然对任何危险都没有防范能力。但是,这种方式也有一个显然的优势,那就是性能。没有了认证和加密,自然也就省去了很多额外开销。假如您非常需要您的iSCSI磁盘阵列以全速工作,这种方式无疑是最好的选择。刘翔要是带着安全帽、穿上防弹衣去参加奥运会,肯定也拿不了第一名

当然,选择这种方式的时候,用来连接iSCSI磁盘阵列的网络交换机最好是与外界隔离的。这样安全问题就不那么突出了。不带安全帽,就离建筑工地远点呗,最好待在自己家里。板砖破窗而入的事件虽然也有可能发生,但究竟比在建筑工地四周安全多了。

二、iSCSI Initiator和Target通讯认证

这种方式是在iSCSI通讯的两端做文章。Initiator就是主机端,Target是磁盘阵列端。目前市面上的iSCSI产品,一般都会在产品介绍中注明支持CHAP、SRP、Kerberos、SPKM等等认证方式。这些都属于此类“安全帽”。这些看似诡异的英文缩写所对应的,都是传统网络中非常成熟,应用非常广泛的认证保护技术。

与传统网络认证技术一样,它们的意义就在于防止非授权的用户访问。

记得当初我做网络治理员的时候,就曾经“利用职权之便”,为关系好的同事创造方便。我让他们可以使用更大的服务器空间,还可以就近使用本来为领导们预备的打印机。有一个同事居然追求我喜欢的女孩儿,我一生气,删除了他在所有打印服务器上的帐号,逼着他只能抱着电脑跑到走廊尽头,去使用那台唯一没接服务器的老式打印机。

在iSCSI技术中,打印服务器变成了iSCSI磁盘阵列。假如想使用磁盘阵列,必须先有访问这台磁盘阵列的权限,访问的时候还要通过那些七七八八的认证。为了防止冒名顶替,认证的过程还会动用一下加密技术。

总之,假如治理员不想让你使用,虽然网线连着,你也没法使用。用计算机术语说,就是iSCSI Target只与授权的Initiator建立连接。

当然,设置权限的那个治理员也是安全的重要关口,幸好天下还是好人多。其实我后来也改邪归正了,因为那个女孩发现我的劣行之后,义无反顾的嫁给了我的同事。值得我反省啊!

三、IP防火墙和VPN

有了用户认证,情况当然好很多。但是实际应用中,还是免不了出现漏洞。别的不说,相信设置空白口令这件事就会让很多治理员头疼。反正我做治理员的时候,就为此头疼不已。很多同事嫌口令难记,干脆留空,或者随手设成111111之类。这种口令实在令人着急,稍微耐心一点的黑客,手工都可以试出来,更何况眼下各种字典攻击程序满天飞。

对iSCSI磁盘阵列来说,情况也是一样。假如仅靠用户认证不能解决问题,就需要借鉴传统IP网络的办法,在内网和外网之间架设防火墙,阻击外面那些有充分精力和耐心的“尝试者”。假如iSCSI磁盘阵列(Target)和主机(Initiator)需要跨广域网连接,最好使两者以VPN互连。

总之就是一个目的,不让iSCSI磁盘阵列使用公网的IP地址。这样,那些Internet上时刻闪耀着的灯塔(安全漏洞嗅探器),就无法照耀到这里了。

四、非应答技术

一般情况下,有了防火墙和VPN,再加上用户认证机制,磁盘阵列中的数据就基本安全了,除非你碰到一个熟悉各种协议格式的高手。

这种高手在实际生活中是存在的,而且为数比你想象的要多。我碰到过一些路由器和交换机厂商的高级研发工程师,他们谈笑间就可以截获一个IP包,如探囊取物一般打开。这时,你的用户名、密码、地址、身高、体重、银行帐号、女朋友姓名等等重要信息,就都一览无遗了。

第一次见到这种情形的时候,我不由得倒吸一口凉气,钦佩之余便发誓也练就此番功夫。后来经过数日坚苦卓绝的打鱼晒网,终于模糊的了解到一些手段。原来,网络上传输的数据包不仅可以截下来看,甚至还可以插入、改动和删除。依靠这些手段,那些良心大大坏了的网络高手,便可以隔着防火墙冒充合法主机,干一些无耻勾当。

那我们的iSCSI设备碰到这种情况怎么办?没关系,iSCSI技术的一大好处,就是它站在巨人的肩膀上。这个巨人就是发展已久的以太网技术。在以太网技术中的非应答技术,就是专门用来对方这种邪恶高手的。

五、IPsec加密

非应答技术的采用,已经接近九阴真经的第九重了,假如说用户认证是顶不错的安全帽,那非应答技术就应该算全护甲的90式坦克。但安全的话题本身就是道高一尺魔高一丈。板砖虽然砸不动坦克,但是反坦克炮弹就是另外一回事了。

那么,有没有比防应答技术更坚固的防御呢?当然有啦,从以太网技术里找嘛。IPsec加密就可算一个。IPsec不仅能防止邪恶高手们修改网络数据包,甚至还能防止数据包被截获。或者准确点说,是截获下来的数据包没有任何意义。

这就好比两个聋人在谈恋爱,任你隔墙有耳,也听不到只言片语。顶多是一些无意义的“咿咿呀呀”,根本无法解读其中风情。

最后说两点:

首先一点是,安全与性能是鱼与熊掌的关系。用户应该在安全与性能之间寻找平衡,不应该一味过分强调其中一方。

第二点是,没有绝对的安全。网络领域中对“安全”的定义是……我忘了,大概意思是说,假如攻克保护过程花费的代价大于攻克之后获得的利益,系统就是安全的。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有