| Атаки на сети SAN |
|
Атаки на сети SAN
Атаки на сети SAN, принципиально схожи на с атаками на сети IP. Такие атаки нацелены на аутентификацию, авторизацию, для получения конфиденциальных данных или порчи и изменения существующих данных. Алгоритмы в сетях iSCSI SAN и Fibre Channel SAN, имеют аналогичные недостатки безопасности, включая существенные недостатки при аутентификации и авторизации. Примеры в данном разделе описывают основные атаки на системы безопасности SAN. Они включают следующие атаки: ◆ “Спуфинг (Прослушивание)” ◆ “Спуфинг (Модификация/Фабрикация)” ◆ “Отказ сервиса (Крушение)” Некоторые другие атаки, например: загрязнение сервисов Fibre Channel Name Server/iSNS, захват сессии, подмена зон, репликация данных через порты E_Port и F_Port, подмена масок LUN, спуфинг iSCSI Qualifier Name (IQN), снифинг имен CHAP, спуфинг хэша CHAP и атаки на сервисы управления сетью SAN, также могут привести к потере информации. Эти нападения могут либо предоставить злоумышленнику необходимую информацию для последующего нападения, либо доступ к данным. В большинстве случаев сбоев в системах безопасности, используется комбинации атак. Информация по компонентам и механизмам защиты от атак находится в разделе “Архитектуры, механизмы и компоненты безопасности сетей SAN”. Спуфинг (Прослушивание) С помощью спуфинга можно получить доступ к данным без авторизации. Различные методы спуфинга включают в себя прослушивание, снифинг, взлом сессий, перехват данных, копирование и мониторинг. На рисунке 2 показан пример спуфинга сети Fibre Channel SAN. Подобные методы спуфинга могут применяться и в сетях iSCSI SAN. В данном примере, таблицы сервера имен модифицируются через неавторизированную сессию. Данная атака требует знания пароля на оптический коммутатор, который также можно получить, при помощи спуфинга внутренней сети, если используются SNMPv1 или telnet, для управления коммутатором. В таблицы маршрутизации помещаются адреса Source ID (S_ID) и World Wide Names (WWN) Node C. Данные виды атак, можно избежать при помощи устройств защиты от неавторизованных и не аутентифицированных сессий в сети Fibre Channel или iSNS. (Более подробная информация находится в разделе “Архитектуры, механизмы и компоненты безопасности сетей SAN”).  Рисунок 2. Спуфинг в сетях SAN Спуфинг (Модификация/Фабрикация) Спуфинг можно использовать для получения несанкционированного доступа к данным компании или другого пользователя. Адреса WWN, в сети Fibre Channel SAN, используются для идентификации узлов, также как в сетях iSCSI SAN, используются имена iSCSI Qualified Name (IQN). Без применения механизмов защиты, оба идентификатора достаточно просто подменить. Некоторые методы позволяют изменять части информации «на лету» и изменения можно вносить при помощи стандартные адаптеры (HBA), при помощи утилит смены идентификатора узла. На рисунке 3, показан пример спуфинг атаки на сети Fibre Channel или iSCSI SAN. В данном примере, модифицируется адрес WWN адаптера FC HBA, для подмены адреса WWN другого HBA, который имеет доступ на массив. Такие же действия можно производить в сетях iSCSI SAN, для подмены значения IQN, который можно исправить при помощи утилит на адаптере HBA. Данные схемы атак, также можно предотвратить при помощи использования соответствующих механизмов и схем обеспечения безопасности. (Более подробная информация находится в разделе “Архитектуры, механизмы и компоненты безопасности сетей SAN”.)  Рисунок 3. Спуфинг в сетях SAN Отказ сервиса (Крушение) Атаки denial-of-service (DoS), нацелены на отказ сервисов, при помощи которых пользователи авторизуются для доступа к данным. Ограничения протоколов FC и iSCSI SAN, могут быть использованы для остановки работоспособности сети. Например, сетевой интерфейс может создавать нежелательный трафика или могут быть созданы конфликты в сети, что не сможет обработать сеть SAN, тем самым предотвращая доступ к данным. На рисунке 4, показан пример DoS атак на сеть SAN. В данном примере, хакер может атаковать соединение между двумя узлами сети, после спуфинг атаки. Атаки производятся на открытые порты (PDISC), с целью замены сервисной информации сервиса FC. В результате, прекращает работу сервис, обеспечивающий обмен информации между узлами останавливается и прерывается соединение. Другие атаки DoS также может предшествовать кражам или уничтожениям данных. К примеру, в сети iSCSI SAN с двумя именами узлов iSCSI, одним авторизованным, а другой используется для спуфинга, оба они могут получить доступ на один LUN дискового массива. Некоторые массивы могут остановить авторизованную сессию и разрешить доступ неавторизованному узлу, ошибочно решив, что он представляет второй порт узла. Некоторые массивы не позволяют нескольким узлам одновременно иметь доступ к одному LUN, используемому при атаках DoS. Без надлежащих мер предосторожности, ничего не подозревающий администратор, может выбрать для устранения проблем перезагрузку узлов, тем самым оставив доступ чтение и запись поддельному узлу на время, требуемого для повторной инициализации.  Рисунок 4. DoS атаки на сеть SAN
|