Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
1
Безопасность хранения данных Владимир Иванов
2
Краткое содержание Технологии хранения данных и новые угрозы Возможные направления атак Методы противодействия угрозам
3
Новые угрозы в сетях хранения данных
4
Технологии сетей хранения Сети хранения в основном используют протокол Fibre Channel –данные хранятся централизованно, в системах хранения, доступны в виде блоков –выделенная сеть создает иллюзию безопасности –администраторы безопасности не подозревают или не интересуются FC- сетями
5
Новые угрозы и проблемы безопасности Сети хранения становятся все больше, количество подключений растет, снижается доверие к сети и устройствам –Подключение удаленных ЦОД через FCIP, CWDM/DWDM Традиционные проблемы безопасности, существовавшие в IP-сетях актуальны и в FC SAN –WWN spoofing, E-Port replication, MitM- attacks во многом сходны со своими «родственниками» в IP
6
Новые угрозы и проблемы безопасности Архитектура сетей Fibre Channel обеспечивает доступ к служебной информации для любых устройств Администраторы систем и сетей хранения не имеют опыта в области информационной безопасности Управление устройствами в сети хранения осуществляется по тому же каналу, что и передача данных (in-band) Протоколы аутентификации устройств (стек FCSP) окончательно не разработаны
7
Атаки в сетях Fibre Channel
8
Session Hijacking В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence) –последовательности определяются Seq_ID, каждый пакет в рамках последовательности определяется Seq_CNT –Seq_ID остается постоянным, Seq_CNT увеличивается на единицу в каждом пакете Может быть применимо для подмены in-band сессии управления, например, дисковым массивом
9
MitM Attack В сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается средствами Fabric Name Server –FNS расположен по известному адресу 0xfffffc, запрос на регистрацию не аутентифицируется
10
WWN Spoofing WWN используется для аутентификации узлов как при организации zoning, так и для LUN masking ПО драйверов позволяет изменить WWN
11
E-Port Replication Взаимодействие коммутаторов в FC- сети осуществляется через E-port Аутентификация при подключении коммутаторов не производится –атакующий может объявить себя коммутатором FC –«коммутатор» может управлять маршрутизацией в фабрике –«коммутатор» может изменять политики zoning –«коммутатор» может объявлять о существовании новых узлов
12
Сценарий атаки
13
Атака через сеть хранения
14
Методы противодействия
15
Аутентификация Аутентификация устройств в сети хранения: протокол FCSP –Обеспечивает аутентификацию устройств (host-to-switch и switch-to- switch, host-to-host) в сети хранения Fibre Channel –Реализация FCSP DH-CHAP поддерживается рядом производителей FC-коммутаторов и FC-HBA –Аутентификация устройств интегрируется в общую платформу аутентификации (RADIUS)
16
Авторизация –Ближайший этап – использование PKI для аутентификации устройств (FCAP)
17
Авторизация Сейчас используются WWN Использовать: –port-based zone –hardware zoning –port locking –VSAN (Cisco-only)
18
Конфиденциальность Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи данных в силу агрегации информации в одной точке В настоящий момент стек FC не предусматривает никаких средств криптозащиты –ведется, но не закончена, разработка стека протоколов FCSec Для FCIP и iSCSI применим IPSec Рекомендуется защищать не только среду передачи, но и сами данные в процессе хранения
19
Вопросы?
Еще похожие презентации в нашем архиве:
