امن کردن ارتباط iSCSI

امن کردن ارتباط iSCSI

مجازی سازی

رایانش ابری

یک از انواع پروتکل های ارتباط با ذخیره ساز iSCSI می باشد. iSCSI مخفف Internet Small Computer System Interface می باشد ، یکی از معدود پروتکل هایی می باشد که هم بر روی SAN موجود است و هم بر روی NAS. اما دغدغه ای که برای ادمین های مجازی سازی پیش می آید ، امنیت پایین این پروتکل می باشد.در این مطلب آموزشی راهکار هایی را آموزش می دهیم که بتوانید این پروتکل را به نحو احسنت امن کنیم.

به صورت کلی می توان راه های محافظت از ارتباط iSCSI با ذخیره ساز را به سه دسته تقسیم کرد .

  • استفاده ازیک vSS و یا vDS مجزا برای جداسازی فیزیکی ترافیک iSCSI
  • استفاده از CHAP
  • استفاده از Header & Data Digest

 

استفاده از سوییچ مجزا برای جداسازی ترافیک :

یکی از Best Practice های پیاده سازی iSCSI بر روی محیط مجازی سازی  ، استفاده از یک سوییچ مجزا برای ترافیک iSCSI می باشد.

با استفاده از این تکنیک می توانید نه تنها سوییچ این ترافیک را جدا کنید بلکه می توانید Uplink های مربوط به این ترافیک را از مابقی ترافیک ها جدا سازی کنید.

Untitled

یکی از دلایل مهمی که اینکار را یکی از الزامات قرار می دهد ، Plain بودن ترافیک iSCSI می باشد که به همین دلیل نباید با ترافیک دیگری ترکیب شود زیرا به راحتی می توان آنرا Sniff کرد.

 

استفاده از CHAP

این مدل از امن سازی با استفاده از یک Authentication صورت می پذیرد. CHAP انواع مختلفی دارد که در ادامه به آنها می پردازیم .

CHAP (Challenge Handshake Authentication Protocol) یک لایه امنیتی ما بین Initiator  یا سرور های ما و Target یا ذخیره ساز ایجاد می کند.

شکل زیر نحوه روشن کردن این پروتکل را نشان می دهد.
Untitled2

پس از اینکه مراحل بالا را انجام می دهید ، وقت آن می رسد تا مدل CHAP را مشخص کنید.

 

Untitled3

 

None : در این مدل هیچ Authentication ای بین سرور و Host صورت نمی گیرد.

Uni Directional CHAP if required by target : در این مدل Authentication فقط در صورتی انجام می شود که ذخیره ساز آن را درخواست کند ، یعنی به صورت کلی Authentication خاموش نمی باشد.

Use unidirectional CHAP unless prohibited by target : در این مدل Authentication به صورت کلی انجام می شود مگر اینکه یک ذخیره ساز این عملیات را رد کند (یعنی نخواهد Authenticate کند).

Use unidirectional CHAP : بدون در نظر گرفتن تنظیمات ذخیره ساز ، این Authentication همیشه  توسط سرور انجام می شود.

Use bidirectional CHAP : هم سرور هم ذخیره ساز باید به صورت موفقیت آمیز با هم Authenticate کنم تا ارتباط برقرار شود.

 

روش بعدی روشی است که در بیشتر مواقع سرعت این ارتباط را تا حدی کاهش می دهد ،برای همین در بیشتر مواقع از آن استفاده نمی شود.

 

Header & Data Digest : دو مدل پیشرفته تر برای امن کردن ارتباط iSCSI وجود دارد که Integrity هر Packet را چک می کند. نحوه کارکرد آن مانند لایه Transport شبکه می باشد. در این مرحله Header دیتا مورد بررسی قرار می گیرد تا از صحت و دست نخوردن آن اطمینان حاصل شود.

این عملیات نیاز به Digest یا هضم دارد بدین معنی که نتایج این Checksum باید توسط واحی پردازش شود که این پردازش بار CPU دارد و باعث کاهش سرعت پردازش CPU می گردد. تنها در یک مورد این اتفاق باعث کاهش سرعت نمی شود وآن CPU های Nehalem هستند . این CPU دارای قابلیتی هستند که تمام این کار را بر روی Host منتقل می کند و دستورالعمل هایی دارد که این کار را بسیار ساده می کند.

استفاده این مدل امن کردن زمانی است که امنیت برای ما بسیار اهمیت داشته باشد و مقدار بار CPU یا تعداد تراکنش ها زیاد نباشد.

در شکل زیر نحوه فعال کردن این قابلیت ها را می توانید مشاهده کنید.

12

13

 

Prohibited :  از Checksum استفاده نشود.

Discouraged : ذخیره ساز از Checksum ها استفاده می کند ولی سرور علاقه مند است در صورت امکان آنها را Disable کند.

Preffered :  ذخیره ساز از Checksum ها استفاده می کند ولی سرور علاقه مند است در صورت امکان آنها را Enable کند.

Required : در تمام حالات از Checksum استفاده شود.

نظرات