當(dāng)然,選擇這種方式的時候,用來連接iSCSI磁盤陣列的網(wǎng)絡(luò)交換機(jī)最好是與外界隔離的�。這樣安全問題就不那么突出了。不帶安全帽,就離建筑工地遠(yuǎn)點(diǎn)唄,最好待在自己家里。板磚破窗而入的事件雖然也有可能發(fā)生�,但畢竟比在建筑工地周圍安全多了��。
二���、iSCSI Initiator和Target通訊認(rèn)證
這種方式是在iSCSI通訊的兩端做文章�����。Initiator就是主機(jī)端�,Target是磁盤陣列端。目前市面上的iSCSI產(chǎn)品�,一般都會在產(chǎn)品介紹中注明支持CHAP����、SRP、Kerberos�����、SPKM等等認(rèn)證方式���。這些都屬于此類“安全帽”��。這些看似詭異的英文縮寫所對應(yīng)的��,都是傳統(tǒng)網(wǎng)絡(luò)中非常成熟��,應(yīng)用非常廣泛的認(rèn)證保護(hù)技術(shù)��。
與傳統(tǒng)網(wǎng)絡(luò)認(rèn)證技術(shù)一樣���,它們的意義就在于防止非授權(quán)的用戶訪問。
記得當(dāng)初我做網(wǎng)絡(luò)管理員的時候�,就曾經(jīng)“利用職權(quán)之便”��,為關(guān)系好的同事創(chuàng)造方便��。我讓他們可以使用更大的服務(wù)器空間�,還可以就近使用本來為領(lǐng)導(dǎo)們預(yù)備的打印機(jī)����。有一個同事居然追求我喜歡的女孩兒,我一生氣�,刪除了他在所有打印服務(wù)器上的帳號,逼著他只能抱著電腦跑到走廊盡頭���,去使用那臺唯一沒接服務(wù)器的老式打印機(jī)�。
在iSCSI技術(shù)中�,打印服務(wù)器變成了iSCSI磁盤陣列。如果想使用磁盤陣列�����,必須先有訪問這臺磁盤陣列的權(quán)限�����,訪問的時候還要通過那些七七八八的認(rèn)證���。為了防止冒名頂替�,認(rèn)證的過程還會動用一下加密技術(shù)。
總之����,如果管理員不想讓你使用�����,雖然網(wǎng)線連著��,你也沒法使用���。用計算機(jī)術(shù)語說�����,就是iSCSI Target只與授權(quán)的Initiator建立連接���。
當(dāng)然,設(shè)置權(quán)限的那個管理員也是安全的重要關(guān)口���,幸好天下還是好人多���。其實(shí)我后來也改邪歸正了����,因?yàn)槟莻€女孩發(fā)現(xiàn)我的劣行之后�����,義無反顧的嫁給了我的同事�。值得我反省啊�����!
三����、IP防火墻和VPN
有了用戶認(rèn)證,情況當(dāng)然好很多�。但是實(shí)際應(yīng)用中,還是免不了出現(xiàn)漏洞���。別的不說��,相信設(shè)置空白口令這件事就會讓很多管理員頭疼���。反正我做管理員的時候����,就為此頭疼不已�。很多同事嫌口令難記,干脆留空�����,或者隨手設(shè)成111111之類���。這種口令實(shí)在令人著急,稍微耐心一點(diǎn)的黑客����,手工都可以試出來,更何況眼下各種字典攻擊程序滿天飛���。
對iSCSI磁盤陣列來說���,情況也是一樣。如果僅靠用戶認(rèn)證不能解決問題,就需要借鑒傳統(tǒng)IP網(wǎng)絡(luò)的辦法�����,在內(nèi)網(wǎng)和外網(wǎng)之間架設(shè)防火墻�����,阻擊外面那些有充分精力和耐心的“嘗試者”�。如果iSCSI磁盤陣列(Target)和主機(jī)(Initiator)需要跨廣域網(wǎng)連接,最好使兩者以VPN互連���。
總之就是一個目的��,不讓iSCSI磁盤陣列使用公網(wǎng)的IP地址�����。這樣���,那些Internet上時刻閃耀著的燈塔(安全漏洞嗅探器),就無法照耀到這里了��。
四��、非應(yīng)答技術(shù)
一般情況下,有了防火墻和VPN���,再加上用戶認(rèn)證機(jī)制�����,磁盤陣列中的數(shù)據(jù)就基本安全了��,除非你碰到一個熟悉各種協(xié)議格式的高手����。
這種高手在實(shí)際生活中是存在的�����,而且為數(shù)比你想象的要多�。我碰到過一些路由器和交換機(jī)廠商的高級研發(fā)工程師�,他們談笑間就可以截獲一個IP包,如探囊取物一般打開�����。這時���,你的用戶名���、密碼�、地址����、身高、體重�����、銀行帳號����、女朋友姓名等等重要信息,就都一覽無遺了���。
第一次見到這種情形的時候��,我不由得倒吸一口涼氣���,欽佩之余便發(fā)誓也練就此番功夫。后來經(jīng)過數(shù)日堅苦卓絕的打魚曬網(wǎng)����,終于模糊的了解到一些手段���。原來,網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包不僅可以截下來看���,甚至還可以插入�、改動和刪除����。依靠這些手段,那些良心大大壞了的網(wǎng)絡(luò)高手�,便可以隔著防火墻冒充合法主機(jī),干一些無恥勾當(dāng)����。
那我們的iSCSI設(shè)備碰到這種情況怎么辦?沒關(guān)系����,iSCSI技術(shù)的一大好處���,就是它站在巨人的肩膀上�。這個巨人就是發(fā)展已久的以太網(wǎng)技術(shù)。在以太網(wǎng)技術(shù)中的非應(yīng)答技術(shù)�,就是專門用來對方這種邪惡高手的。
五�、IPsec加密
非應(yīng)答技術(shù)的采用,已經(jīng)接近九陰真經(jīng)的第九重了�,如果說用戶認(rèn)證是頂不錯的安全帽,那非應(yīng)答技術(shù)就應(yīng)該算全護(hù)甲的90式坦克���。但安全的話題本身就是道高一尺魔高一丈���。板磚雖然砸不動坦克,但是反坦克炮彈就是另外一回事了���。
那么�,有沒有比防應(yīng)答技術(shù)更結(jié)實(shí)的防御呢�����?當(dāng)然有啦��,從以太網(wǎng)技術(shù)里找嘛����。IPsec加密就可算一個����。IPsec不僅能防止邪惡高手們修改網(wǎng)絡(luò)數(shù)據(jù)包�,甚至還能防止數(shù)據(jù)包被截獲?����;蛘邷?zhǔn)確點(diǎn)說����,是截獲下來的數(shù)據(jù)包沒有任何意義。
這就好比兩個聾人在談戀愛����,任你隔墻有耳,也聽不到只言片語�����。頂多是一些無意義的“咿咿呀呀”���,根本無法解讀其中風(fēng)情�����。
最后說兩點(diǎn):
首先一點(diǎn)是��,安全與性能是魚與熊掌的關(guān)系�。用戶應(yīng)該在安全與性能之間尋找平衡�,不應(yīng)該一味過分強(qiáng)調(diào)其中一方。
第二點(diǎn)是���,沒有絕對的安全��。網(wǎng)絡(luò)領(lǐng)域中對“安全”的定義是……我忘了����,大概意思是說�����,如果攻克保護(hù)過程花費(fèi)的代價大于攻克之后獲得的利益���,系統(tǒng)就是安全的����。
本文版權(quán)歸作者及DoSTOR所有����,如需轉(zhuǎn)載請聯(lián)系:editor@dostor.com
