'

Безопасность хранения данных

Понравилась презентация – покажи это...





Слайд 0

Безопасность хранения данных Владимир Иванов ivlad@amt.ru


Слайд 1

Краткое содержание Технологии хранения данных и новые угрозы Возможные направления атак Методы противодействия угрозам


Слайд 2

Новые угрозы в сетях хранения данных


Слайд 3

Технологии сетей хранения Сети хранения в основном используют протокол Fibre Channel данные хранятся централизованно, в системах хранения, доступны в виде блоков выделенная сеть создает иллюзию безопасности администраторы безопасности не подозревают или не интересуются FC-сетями


Слайд 4

Новые угрозы и проблемы безопасности Сети хранения становятся все больше, количество подключений растет, снижается доверие к сети и устройствам Подключение удаленных ЦОД через FCIP, CWDM/DWDM Традиционные проблемы безопасности, существовавшие в IP-сетях актуальны и в FC SAN WWN spoofing, E-Port replication, MitM-attacks во многом сходны со своими «родственниками» в IP


Слайд 5

Новые угрозы и проблемы безопасности Архитектура сетей Fibre Channel обеспечивает доступ к служебной информации для любых устройств Администраторы систем и сетей хранения не имеют опыта в области информационной безопасности Управление устройствами в сети хранения осуществляется по тому же каналу, что и передача данных (in-band) Протоколы аутентификации устройств (стек FCSP) окончательно не разработаны


Слайд 6

Атаки в сетях Fibre Channel


Слайд 7

Session Hijacking В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence) последовательности определяются Seq_ID, каждый пакет в рамках последовательности определяется Seq_CNT Seq_ID остается постоянным, Seq_CNT увеличивается на единицу в каждом пакете Может быть применимо для подмены in-band сессии управления, например, дисковым массивом


Слайд 8

MitM Attack В сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается средствами Fabric Name Server FNS расположен по известному адресу 0xfffffc, запрос на регистрацию не аутентифицируется


Слайд 9

WWN Spoofing WWN используется для аутентификации узлов как при организации zoning, так и для LUN masking ПО драйверов позволяет изменить WWN


Слайд 10

E-Port Replication Взаимодействие коммутаторов в FC-сети осуществляется через E-port Аутентификация при подключении коммутаторов не производится атакующий может объявить себя коммутатором FC «коммутатор» может управлять маршрутизацией в фабрике «коммутатор» может изменять политики zoning «коммутатор» может объявлять о существовании новых узлов


Слайд 11

Сценарий атаки


Слайд 12

Атака через сеть хранения


Слайд 13

Методы противодействия


Слайд 14

Аутентификация Аутентификация устройств в сети хранения: протокол FCSP Обеспечивает аутентификацию устройств (host-to-switch и switch-to-switch, host-to-host) в сети хранения Fibre Channel Реализация FCSP DH-CHAP поддерживается рядом производителей FC-коммутаторов и FC-HBA Аутентификация устройств интегрируется в общую платформу аутентификации (RADIUS)


Слайд 15

Авторизация Ближайший этап – использование PKI для аутентификации устройств (FCAP)


Слайд 16

Авторизация Сейчас используются WWN Использовать: port-based zone hardware zoning port locking VSAN (Cisco-only)


Слайд 17

Конфиденциальность Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи данных в силу агрегации информации в одной точке В настоящий момент стек FC не предусматривает никаких средств криптозащиты ведется, но не закончена, разработка стека протоколов FCSec Для FCIP и iSCSI применим IPSec Рекомендуется защищать не только среду передачи, но и сами данные в процессе хранения


Слайд 18

Вопросы?


×

HTML:





Ссылка: