下圖顯示了攻擊威脅對存儲網(wǎng)絡(luò)的各個可能切入點,每一個攻擊點都有可能成為后續(xù)攻擊的墊腳石。為了保證高度的安全保護,SAN系統(tǒng)管理員必須在入侵者和數(shù)據(jù)之間設(shè)置多個監(jiān)測點。認識各個攻擊點有助制定相應(yīng)的抗擊對策。就象一座城堡擁有多種抵御入侵者的武器,企業(yè)同樣必須安裝多個屏障來阻擋安全威脅。



圖注:本文介紹了7個攻擊的入侵點。其中一個最重要的是帶外以太網(wǎng)與交換機或其它設(shè)備的連接。限制這個連接的訪問權(quán)限是保證安全的重要環(huán)節(jié)。


    攻擊點跨越基礎(chǔ)設(shè)施的多個層次。第1、5和6點從物理層上開始,在光纜連接到裝置時發(fā)作。1到4點可能在物理連接完成后啟動。如果掌握每個攻擊點的具體威脅,則可以定出最有效的對策,本文將分析下列各類威脅:



    未經(jīng)授權(quán)的訪問


    未經(jīng)授權(quán)的訪問是最為常見的安全威脅,它的成因可以是簡單地接上了錯誤的電線,復(fù)雜者可以是將一臺已被入侵的服務(wù)器連接到光纖網(wǎng)絡(luò)上,未被授權(quán)的訪問將導(dǎo)致其它形式的攻擊,因此必須先作介紹。


    系統(tǒng)管理員可在下列攻擊點控制未經(jīng)授權(quán)訪問的入侵:


    1. 帶外管理應(yīng)用程序:交換機有非光纖通道端口,例如以太網(wǎng)端口和串行端口,以滿足管理工作的需要。通過建立一個獨立于公司內(nèi)聯(lián)網(wǎng)的專用網(wǎng)絡(luò)來管理SAN,便可以限制對以太網(wǎng)端口的訪問。如果交換機是與企業(yè)內(nèi)聯(lián)網(wǎng)絡(luò)連接的,可以使用防火墻和VPN限制對以太網(wǎng)端口的訪問。通過控制物理訪問和對使用者授權(quán)以鑒別,可以限制對串行端口(RS 232)的訪問。物理訪問連接以太網(wǎng)端口后,交換機還可以根據(jù)訪問控制名單,限制訪問交換機的程序,交換機也可以限制通過3號攻擊點進行訪問的程序或個別用戶。


    2. 帶內(nèi)管理應(yīng)用程序:未經(jīng)授權(quán)訪問也可通過帶內(nèi)管理應(yīng)用程序入侵交換機。帶內(nèi)管理程序?qū)⒃L問諸如命名服務(wù)器和光纖網(wǎng)絡(luò)配置服務(wù)器等光纖網(wǎng)絡(luò)服務(wù)。管理訪問控制名單(MACL)控制對光纖網(wǎng)絡(luò)的訪問。


    3. 用戶到應(yīng)用程序:一旦用戶獲得一個管理程序的物理訪問權(quán),他們需要登錄到這個應(yīng)用程序上。管理應(yīng)用程序是根據(jù)用戶的工作性質(zhì)來給予不同程度的訪問授權(quán)。管理應(yīng)用程序需要支持訪問控制名單和每個用戶的角色。


    4. 設(shè)備到設(shè)備:當(dāng)兩個Nx_端口在光纖網(wǎng)絡(luò)登錄之后,一個Nx_端口可以端口登錄(PLOGI)到另一個Nx_端口,分區(qū)及邏輯單元屏蔽可以在這環(huán)節(jié)限制設(shè)備的訪問。每一個交換機上的活動區(qū)域設(shè)置會在光纖網(wǎng)絡(luò)上執(zhí)行分區(qū)限制。存儲設(shè)備將維持有關(guān)邏輯單元屏蔽的信息。


    5. 設(shè)備對光纖網(wǎng)絡(luò):當(dāng)一個設(shè)備(Nx_端口)連接到光纖網(wǎng)絡(luò)(Fx_端口),設(shè)備將發(fā)送一個F端口登錄(FLOGI)指令,這一指令包括了各種端口全球名字(WWN)的參數(shù)。交換機可以批準端口在光纖網(wǎng)絡(luò)登錄或拒絕FLOGI并中止連接。交換機需要維持一個準許連接WWN的訪問控制列表。真正的數(shù)據(jù)威脅發(fā)生在設(shè)備登錄至光纖網(wǎng)絡(luò)和進入攻擊點4或5之后。


    6. 交換機對交換機:當(dāng)兩臺交換機連接時,交換鏈接參數(shù)(ELP)和內(nèi)部鏈接服務(wù)(ILS)將發(fā)送類似交換機全球名字(WWN)的相關(guān)信息。一臺交換機可以批準其它交換機組成一個更大的光纖網(wǎng)絡(luò),如果另一臺交換機不被允許加入的話,則可以隔離鏈接。每個交換機都需維持一個授權(quán)交換機的訪問控制名單(ACL)。


    7. 存儲數(shù)據(jù):存儲的數(shù)據(jù)易于受到內(nèi)部攻擊、來自光纖網(wǎng)絡(luò)的未經(jīng)授權(quán)訪問的攻擊,和基于主機的攻擊。例如存儲協(xié)議全都是cleartext,因此存儲、備份及主機管理員能在沒有訪問限制及登錄的情況下訪問未經(jīng)處理的原始存儲數(shù)據(jù)。存儲加密碼設(shè)備提供為存儲數(shù)據(jù)提供一層保護,在有些情況下提供附加的應(yīng)用層身份鑒別和訪問控制。


    通過訪問控制名單(ACL)控制訪問只可以防止意外事故,但它不能防御那些假偽身份的攻擊者。不幸的是,大多數(shù)網(wǎng)絡(luò)盜賊能很容易地取得假冒身份。為了阻止詐騙者(盜用他人身份者)滲透入網(wǎng)絡(luò),那些獲得授權(quán)的個體也必須經(jīng)過身份鑒定。


    欺騙 (Spoofing)


    欺騙是與未經(jīng)授權(quán)訪問有關(guān)的一種威脅。欺騙以多種形式和名稱:仿冒、身份竊取、搶劫、偽裝和WWN欺騙。欺騙是根據(jù)它所發(fā)作的法層面而命名,其中一種形式是假冒用戶,而另一種是偽裝成一個已被授權(quán)的WWN。


    抗擊欺騙的方法就是讓竊取者提供一些只有被授權(quán)的用戶才知曉的特殊信息。對于用戶來說,需要知道和提供的只是一個密碼。對于設(shè)備而言,Nx_端口或交換機的WWN是與這個機密信息相連的。管理話路也可以進行身份鑒別,確保入侵者不能管理光纖網(wǎng)絡(luò)或設(shè)備。


    系統(tǒng)管理員可在下列攻擊點檢測欺騙行為:


    1. 帶外管理應(yīng)用程序:當(dāng)一個管理程序程序接觸交換機的時候,交換機就會對它進行身份鑒別,有關(guān)用戶身份的鑒別是在第6個攻擊點進行。


    2. 帶內(nèi)管理應(yīng)用程序:帶內(nèi)管理應(yīng)用程序會用“通用傳輸(CT)身份鑒別”來阻止對光纖服務(wù)的欺騙指令。


    3. 用戶到應(yīng)用程序:當(dāng)用戶在應(yīng)用程序登錄時,管理程序?qū)⒁笥脩籼峁┮粋€密碼、機密或者標記。應(yīng)用程序可以通過生物測定數(shù)據(jù)來識別用戶,像指紋、虹膜掃描、甚至DNA樣本。


    4. 設(shè)備到設(shè)備:當(dāng)Nx_端口收到一個PLOGI后,它會向提出要求的端口出示身份證明。CHAP是用于鑒別Nx_端口的標準光纖渠道機制。提出要求的Nx_端口也應(yīng)該要求另一個Nx_端口提供身份證明,這樣才可確保兩個端口的身份都是真確的,雙向身份鑒別通常被稱為“相互鑒別”。


    5. 設(shè)備到光纖網(wǎng)絡(luò):當(dāng)一個設(shè)備發(fā)出光纖登錄指令(FLOGI),交換機將提出一個CHAP要求以便鑒別用戶身份。Nx_端口需要對CHAP作出回應(yīng),同時要求交換機進行相互鑒別。


    6. 交換機到交換機:當(dāng)一個交換機與另一個交換機連接時,兩臺交換機需用CHAP互相鑒別身份。


    對于每一點的身份鑒別,以下是四種可能的方法:


    1. 用戶身份鑒別


    2. 以太網(wǎng)CHAP實體身份鑒別


    3. CT訊息鑒別


    4. 光纖渠道DH-CHAP實體身份鑒別


    當(dāng)實體及用戶的身份被鑒別后,傳輸就可以在授權(quán)設(shè)備之間安全地流動,但在連接中流動的數(shù)據(jù)仍然會受到數(shù)據(jù)盜竊(Sniffing)的威脅,這在下一個章節(jié)中將詳細討論。


    數(shù)據(jù)盜竊(Sniffing)


    數(shù)據(jù)會通過很多種途徑被竊取,其中一種途徑就是在數(shù)據(jù)還在傳輸?shù)倪^程中進行盜竊,Sniffing 是對數(shù)據(jù)線進行窺探,例如“光纖通道分析器”就是一種可以完全監(jiān)控數(shù)據(jù)傳輸?shù)臄?shù)據(jù)盜竊方法。如果數(shù)據(jù)盜竊做得巧妙,它是不會影響設(shè)備的操作。防止數(shù)據(jù)盜竊的方法是加密(encryption)?!胺庋b安全法”(ESP)可以對光纖傳輸數(shù)據(jù)進行加密,以確保安全性。以太網(wǎng)傳輸能通過SSL或者類似的協(xié)議來加密。這些加密技術(shù)可以使用不同的加密程度使得被竊數(shù)據(jù)沒有可乘之機。


    存儲加密


    隨著SAN變得日益復(fù)雜,大量數(shù)據(jù)在一個共享的系統(tǒng)里被集成和復(fù)制,用戶開始關(guān)注存儲數(shù)據(jù)的安全。McDATA與其合作伙伴攜手合作,不斷開發(fā)整合解決方案,對存儲數(shù)據(jù)進行一目了然的線速加密保護。這些設(shè)備使用硬件加密及鑰匙管理把存儲數(shù)據(jù)鎖上,同時執(zhí)行整體光纖網(wǎng)絡(luò)安全及訪問控制,這些經(jīng)McDATA認證的解決方案已經(jīng)被多個政府單位和企業(yè)用戶采用。
























































































攻擊點 觸發(fā)點 對策 SANtegrity™解決方案
威脅#1:未經(jīng)授權(quán)的訪問
1、帶外管理應(yīng)用程序 用戶啟動管理話路 使用光纖網(wǎng)絡(luò)服務(wù)的管理應(yīng)用程序需要得到授權(quán) IP 訪問控制名單(ACL)、串行端口鑒別、SMZ
2、帶內(nèi)管理程序 用戶啟動管理話路 授權(quán) MACL
3、用戶對應(yīng)用 用戶在應(yīng)用程序登錄 授權(quán) RBAC
4、設(shè)備對設(shè)備 Nx_端口PLOGI至其它設(shè)備 Nx_端口對Nx_端口授權(quán) 軟硬分區(qū)、邏輯單元屏蔽
5、裝置對光纖網(wǎng)絡(luò) Nx_端口在光纖網(wǎng)絡(luò)登錄 Nx_端口對光纖網(wǎng)絡(luò)授權(quán) 端口或交換機綁定、鎖定光纖網(wǎng)絡(luò)
6、交換機對交換機 E_端口加入光纖網(wǎng)絡(luò) 交換機對交換機授權(quán) 光纖網(wǎng)絡(luò)綁定
7、攻擊存儲數(shù)據(jù) 內(nèi)部/管理訪問 對存儲數(shù)據(jù)進行加密 認證伙伴解決方案
威脅#2:欺騙 (Spoofing)
1、帶外管理應(yīng)用程序 用戶啟動管理話路 使用光纖網(wǎng)絡(luò)服務(wù)的管理應(yīng)用程序需要身份鑒別 CHAP實體身份鑒別
2、帶內(nèi)管理程序 用戶啟動管理話路 使用光纖網(wǎng)絡(luò)服務(wù)的管理應(yīng)用程序需要身份鑒別 CHAP實體身份鑒別、CT信息鑒別
3、用戶對應(yīng)用 用戶在應(yīng)用程序上登錄 用戶身份鑒別 用戶身份鑒別
4、設(shè)備對設(shè)備 在假冒的WWN進行Nx_端口PLOGI Nx_端口對Nx_端口需要身份鑒別 CHAP身份鑒別
5、設(shè)備對光纖網(wǎng)絡(luò) 在假冒的WWN進行Nx_端口登錄 Nx_端口對光纖網(wǎng)絡(luò)需要身份鑒別 CHAP身份鑒別
6、交換機對交換機 E_端口用錯誤的WWN加入光纖網(wǎng)絡(luò) 交換機對交換機需要身份鑒別 CHAP身份鑒別
威脅#3:數(shù)據(jù)盜竊(Sniffing)
1、帶內(nèi)攻擊點 “中間人”從中下手 對數(shù)據(jù)傳輸加密 ESP
2、帶外攻擊點 “中間人” 從中下手 對數(shù)據(jù)傳輸加密 IP加密技術(shù)

分享到

多易

相關(guān)推薦