1 / 19

Безопасность хранения данных

Безопасность хранения данных. Владимир Иванов ivlad@amt.ru. Краткое содержание. Технологии хранения данных и новые угрозы Возможные направления атак Методы противодействия угрозам. Новые угрозы в сетях хранения данных. Технологии сетей хранения.

satin
Download Presentation

Безопасность хранения данных

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Безопасность хранения данных Владимир Иванов ivlad@amt.ru

  2. Краткое содержание • Технологии хранения данных и новые угрозы • Возможные направления атак • Методы противодействия угрозам

  3. Новые угрозы в сетях хранения данных

  4. Технологии сетей хранения • Сети хранения в основном используют протокол Fibre Channel • данные хранятся централизованно, в системах хранения, доступны в виде блоков • выделенная сеть создает иллюзию безопасности • администраторы безопасности не подозревают или не интересуются FC-сетями

  5. Новые угрозы и проблемы безопасности • Сети хранения становятся все больше, количество подключений растет, снижается доверие к сети и устройствам • Подключение удаленных ЦОД через FCIP, CWDM/DWDM • Традиционные проблемы безопасности, существовавшие в IP-сетях актуальны и в FC SAN • WWN spoofing, E-Port replication, MitM-attacks во многом сходны со своими «родственниками» в IP

  6. Новые угрозы и проблемы безопасности • Архитектура сетей Fibre Channel обеспечивает доступ к служебной информации для любых устройств • Администраторы систем и сетей хранения не имеют опыта в области информационной безопасности • Управление устройствами в сети хранения осуществляется по тому же каналу, что и передача данных (in-band) • Протоколы аутентификации устройств (стек FCSP) окончательно не разработаны

  7. Атаки в сетях Fibre Channel

  8. Session Hijacking • В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence) • последовательности определяются Seq_ID, каждый пакет в рамках последовательности определяется Seq_CNT • Seq_ID остается постоянным, Seq_CNT увеличивается на единицу в каждом пакете • Может быть применимо для подмены in-band сессии управления, например, дисковым массивом

  9. MitM Attack • В сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается средствами Fabric Name Server • FNS расположен по известному адресу 0xfffffc, запрос на регистрацию не аутентифицируется

  10. WWN Spoofing • WWN используется для аутентификации узлов как при организации zoning, так и дляLUN masking • ПО драйверов позволяет изменить WWN

  11. E-Port Replication • Взаимодействие коммутаторов в FC-сети осуществляется через E-port • Аутентификация при подключении коммутаторов не производится • атакующий может объявить себя коммутатором FC • «коммутатор» может управлять маршрутизацией в фабрике • «коммутатор» может изменять политики zoning • «коммутатор» может объявлять о существовании новых узлов

  12. Сценарий атаки

  13. Атака через сеть хранения

  14. Методы противодействия

  15. Аутентификация • Аутентификация устройств в сети хранения: протокол FCSP • Обеспечивает аутентификацию устройств (host-to-switch и switch-to-switch, host-to-host) в сети хранения Fibre Channel • Реализация FCSP DH-CHAP поддерживается рядом производителей FC-коммутаторов и FC-HBA • Аутентификация устройств интегрируется в общую платформу аутентификации (RADIUS)

  16. Авторизация • Ближайший этап – использование PKI для аутентификации устройств (FCAP)

  17. Авторизация • Сейчас используются WWN • Использовать: • port-based zone • hardware zoning • port locking • VSAN (Cisco-only)

  18. Конфиденциальность • Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи данных в силу агрегации информации в одной точке • В настоящий момент стек FC не предусматривает никаких средств криптозащиты • ведется, но не закончена, разработка стека протоколов FCSec • Для FCIP и iSCSI применим IPSec • Рекомендуется защищать не только среду передачи, но и сами данные в процессе хранения

  19. Вопросы?

More Related