Обнаружение устройств iSCSI
Для открытия сессии iSCSI, инициатор должен знать IP адрес, номер порта TCP и iSCSI имя таргета. Преимущество механизма обнаружения таргетов iSCSI, заключается в том, что требует небольших накладных расходов в небольших топологиях и масштабируется до топологий промышленных предприятий.
Команда SendTargets
Инициатор логируется на iSCSI таргет, с целью обнаружения устройств, и запрашивает список WWUI адресов доступных устройств, посылая различные команды
SendTargets. Все iSCSI таргеты, должны поддерживать команду
SendTargets.
Протокол iSNS
Протокол iSNS разработан для облегчения автоматического обнаружения, управления, конфигурирования устройств iSCSI и Fibre Channel устройств в сетях TCP/IP. iSNS предоставляет возможность использования сервисов, совместимых с Fibre Channel, по обнаружению и управлению устройствами в IP сетях, и по функциональности приближает IP сети к сетям SAN. iSNS также облегчает интеграцию сетей IP и Fibre Channel networks, при помощи возможности эмулирования сервисов Fibre Channel fabric, сервисов управления устройствами iSCSI и Fibre Channel. Тем самым iSNS работает в любых сетях хранения данных, содержащих устройства iSCSI и Fibre Channel.
Сервис SLP
Таргеты iSCSI регистрируются в SLP, набором сервисных URL. Один адрес URL соответствует таргету, к которому можно получить доступ. Инициатор обнаруживает таргеты при помощи запросов к сервису SLP. Таргеты, которые не поддерживают SLP, либо находятся под контролем сервиса управления, могут быть зарегистрированы промежуточным сервисом.
Список
Списки позволяют проверять целостность незашифрованных данных, после того как целостность данных была проверена на уровне протокола передачи данных и охватывает весь путь коммуникации, включая все элементы, которые могут изменить PDU сетевого уровня, таких как маршрутизаторы, коммутаторы и прокси.
Дополнительный заголовок и списки помогают защитить целостность заголовка и данных. Списки размещаются после заголовка и данных PDU. Данные списки также используются этапе логина. Разделение заголовка списков и данных списков, используется при маршрутизации iSCSI, когда изменяется только заголовок передаваемого пакета.
Восстановление ошибок iSCSI
iSCSI поддерживает три уровня восстановления ошибок:
◆ Уровень 0 подразумевает восстановление на уровне сессии.
◆ Уровень 1, использует уровень 0. Восстанавливает ошибки списков.
◆ Уровень 2, использует уровень 1. Восстанавливает соединение.
Самым основным видом восстановления, является восстановление на уровне сессии. Во время восстановления сессии, в которой обнаружен любой род ошибок, прерывается вся сессия iSCSI. Все TCP соединения между инициатором и таргетом закрываются, и все SCSI соединения закрываются со статусом ошибки. Далее осуществляется создание новой сессии iSCSI и создание новых соединений TCP.
Первый уровень восстановления ошибок стартует, когда драйвер iSCSI устройства обнаруживает ошибку в списке и пакет должен быть отброшен. Команда, данные которой были потеряны, завершится с соответствующим кодом ошибки.
Восстановление соединения стартует, когда разрывается соединение TCP. При обнаружении обрыва TCP соединения, iSCSI драйвер завершить все команды, которые отправлялись после команды, на которой произошел сбой или попытаться отправить SCSI команды через другое TCP соединение. Если необходимо, драйвер iSCSI может установить новое соединение TCP и может информировать таргет о пересылке SCSI команд через другое TCP соединение.
Безопасность iSCSI
Исторически сложилось, что в обычных системах хранения данных шифрование не применяется. Обычно дисковые массивы напрямую подключаются к узлу, либо через Storage Area
Network (SAN) и полностью отделены от внешних сетей. Передача данных SCSI через сети IP, требует конфиденциальности передаваемых данных. iSCSI должен поддерживать возможность предотвращение активных атак (таких как замена идентификатора, вставка сообщений, их изменение) и пассивных атак (таких, как перехват пакетов, с целью анализа данных передающихся через сеть). Хотя технически это возможно, сеть iSCSI не должна быть настроена без обеспечения шифрования данных. Без шифрования пакетов, iSCSI может использоваться только в конкретных случаях, например, когда все оборудование установлено в одном помещении и угрозы безопасности нет.
Механизм шифрования
В шифровании данных iSCSI участвуют инициатор, таргет и конечные точки IP соединения. В ситуации, когда одно соединение iSCSI использую множество таргетов и инициаторов, требуется использовать конечные точки. Для обеспечения такой iSCSI конфигурации, используются два независимых механизма обеспечения безопасности:
◆ Входящие соединения требуют аутентификации на уровне соединения iSCSI (осуществляется путем обмена iSCSI пакетов с логинами PDU.)
◆ Защита пакетов (целостности, аутентификации и конфиденциальности данных) происходит с использованием IPsec на уровне IP.
Эти два механизма безопасности, дополняют друг друга. Аутентификация входящих соединений инициатора и таргета iSCSI, а также IPsec обеспечивает шифрование передаваемых данных.
Методы аутентификации
Могут использоваться следующие методы аутентификации:
CHAP (Challenge Handshake
Authentication Protocol)
Аутентификация Challenge-Handshake Authentication Protocol (CHAP) периодически идентифицирует участников соединения, используя тройную аутентификацию. CHAP используется во время установки соединения и может быть повторена в любое время, после установки соединения. CHAP обеспечивает защиту от атак воспроизведения в совокупности с помощью постепенного изменения идентификатора и использования переменных промежутков времени между запросами. Повторное использование запросов на аутентификацию ограничивает время на атаку. Аутентификатор контролирует частоту и периодичность запросов. Этот метод авторизации зависит от "секрета" известного только передающим данные узлам. Данный "секрет" не передается через соединение.
SRP (Secure Remote Password)
Этот механизм предназначен для защиты соединений, с использованием пароля, установленного пользователем, и используется при устранении проблем безопасности, которые традиционно ассоциируются с многоразовыми паролями. Данная система также обеспечивает механизм обмена ключами в процессе аутентификации, позволяя обеспечить требуемые уровни защиты (защиту конфиденциальности и/или защиту целостности) во время сессии обмена данными. Для данного механизма защиты не требуется серверов для хранения ключей и сертификатов, а также ключи доступов не хранятся долгое время.
KRB5 (Kerberos V5)
Kerberos определяет основные средства проверки (такие, как пользователя рабочей станции или сервере сети) в незащищенной сети. Это достигается, не полагаясь на аутентификацию операционной системы, либо на списки доверительных IP адресов узлов. Kerberos выполняет аутентификацию при помощи сторонней службы аутентификации, с использованием шифрования с общим ключом.
SPKM1 & 2 (Simple Public Key GSS-API Mechanisim)
Этот механизм обеспечивает аутентификацию, создание ключей, целостность данных и конфиденциальность данных в режиме он-лайн распределения публичных ключей. SPKM может быть использован в качестве замены любого приложения, которое использует сервисы, делающие запросы к GSS-API (например, любое приложение, которое уже использует Kerberos GSS-API для обеспечения безопасности).
