Chinaunix

标题: IP SAN维护方法浅析 [打印本页]

作者: life-boy 时间: 2010-10-23 17:16
标题: IP SAN维护方法浅析
如何才能将网络黑客阻挡在iSCSI SAN系统的大门之外?本文中将会推荐5种解决办法。提醒读者注意的是，这些办法虽然都能起到维护IP SAN系统安全的作用，但各自都存在一定的优缺点。建议用户在实施时仔细斟酌，只要使用得当，可大幅提升存储网络的安全性能。

1、合理利用访问控制表(简称ACL)。

网络管理员可通过设置访问控制表，限制IP SAN系统安全中数据文件对不同访问者的开放权限。目前市面上大多数主流的存储系统都可支持基于IP地址的访问控制表，不过，稍微厉害一点的黑客就能够轻松地破解这道安全防线。

另一个办法就是使用iSCSI客户机的引发器名称(initiator name)。与光纤系统的全球名称(WORLD WIDE NAME，简称WWN，全球统一的64位无符号的名称标识符)、以太网的媒体访问控制(简称MAC)地址一样，引发器名称指的是每台iSCSI主机总线适配器(HBA)或软件引发器(software initiator)分配到的全球唯一的名称标识。

不过，它的缺点也与WWN、MAC地址一样，很容易被制服，特别是对于基于软件的iSCSI驱动器而言。访问控制表，与光纤系统的逻辑单元屏蔽(LUN masking)技术一样，其首要任务只是为了隔离客户端的存储资源，而非构筑强有力的安全防范屏障。

2、使用行业标准的用户身份验证机制。

诸如问询-握手身份验证协议(Challenge-Handshake Authentication Protocol，CHAP)之类的身份验证协议，将会通过匹配用户名和登陆密码，来识别用户的身份。密码不需要以纯文本的形式在网络中传输，从而避免了掉包和被拦截的情况发生。所以，该协议赢得了许多网络管理员的信任。

不过，值得一提的是，这些IP SAN系统安全密码必须存放在连接节点的终端，有时候甚至以纯文本文件的形式保存。远程身份验证拨入用户服务(Remote Authentication Dial-In User Service，RADIUS)协议能够将密码从iSCSI目标设备上转移到中央授权服务器上，对终端进行认证、授权和统计，即使如此，网络黑客仍然可以通过伪设置的办法，侵入客户端。

作者: saintdragon 时间: 2010-10-23 17:43
不是5种方法吗？咋只给出了2种？

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)