Безопасность управления сетями SAN
Доступ к консоли управления сетью SAN, является одной из основных целей при атаках на SAN. Повышение рисков, создается при использовании незашифрованных протоколов, при управлении с консоли, использование простых имен пользователей и паролей, работа через не сегментированные сети. Администраторы сетей, должны использовать сложные механизмы аутентификации и авторизации для обеспечения безопасности управления SAN. Осуществление данных решений, необходимо для обеспечения функций управления сетями SAN, при этом нужно учитывать потребности бизнеса, доступности управления и производительности в сети.
Аутентификация требуется не только для управления коммутаторами, она также требуется для установки ISL соединений. В процессе установки ISL соединения, между коммутаторами происходит обмен важной информацией (например, конфигурацией зон), которая может быть утрачена, при подключении стороннего коммутатора в сеть. Это может привести к потере работоспособности сети и утрате информации.
Если на оптическом коммутаторе отключена аутентификация, то коммутатор предоставляет доступ к конфигурации каждому подключенному к нему устройству. Хотя это способствует легкости в управлении, это также вносит серьезный недостаток в безопасности сети. В данном разделе описывается аутентификация и авторизация на оптических коммутаторах.

Аутентификация на коммутаторе
В качестве основных протоколов аутентификации используются:
◆ DH-CHAP (Diffie-Hellman Challenge Handshake Authentication Protocol)
◆ FCAP (Fibre Channel Authentication Protocol)
◆ FCPAP (Fibre Channel Password Authentication Protocol)
Спецификация протокола Fibre Channel Security Protocol (FC-SP), предоставляет возможность осуществления аутентификации при подключениях, между узлами и коммутаторами, а также при межкоммутаторных соединениях. Аутентификация в FC-SP, может основываться на ключе, сертификате или пароле.
DH-CHAP позволяет осуществлять аутентификацию между коммутаторами Fibre Channel, и может использоваться между узлами, системами хранения данных и коммутаторами. В основном, он основан на протоколе CHAP, в который добавлен опциональный алгоритм использования общего ключа DH.
Аутентификация поддерживает два типа аутентификаций:
◆ Аутентификация инициатора
◆ Аутентификация таргета
Для того, чтобы инициатор прошел аутентификацию через DH-CHAP, он должен иметь уникальное имя, которое привязано к ключу, который можно получить с централизованного RADIUS или TACACS сервера. Для обеспечения дополнительной безопасности при передаче данных, после авторизации, может быть использован опциональный алгоритм DH, для генерации ключа сессии, который работает в соединении с Security Association Management Protocol.
Remote Authentication Dial In User Service (RADIUS) – представляет собой протокол, обеспечения безопасности в сетях с обычными коммутаторами и маршрутизаторами. Для аутентификации и авторизации через различные компоненты сети, профили пользователей хранятся в единой базе данных, которая доступна всем компонентам сети. Это позволяет осуществлять локальную и централизованную аутентификацию через сервера RADIUS или TACACS.
Использование цифровых сертификатов, позволяет создавать подключения между таргетами и инициаторами на основе сертификатов, полученных через централизованный центр сертификатов (Certificate Authority). Сертификаты, которые генерируются CA, обеспечивают доверительные отношения между узлами, при помощи использования публичной и частной пары ключей, которая может быть использована совместно с сертификатами, полученными через протокол FCAP. Для функционирования открытых ключей, служба Certificate Authorities, может быть отключена, если ее работа не требуется другим сервисам, таким как LDAP. После успешной аутентификации, общий ключ сессии может быть рассчитан на основе обмена случайными числами (эти числа используются один раз), переданными в группе параметров DH, а также хеш-значених.
При использовании аутентификации на основе пароля, протокол устанавливает безопасное соединение, без знания пароля, и запрашивает его у других узлов сети. Это означает, что протокол, достаточно устойчив к подборам пароля. Узлы могут использовать эти доступы, для аутентификации на других узлах, при использовании протокола FCPAP. Схема основывается на протоколе Secure Remote Password Protocol (SRP). Протокол аутентификации использует группу случайных чисел, а для проверки аутентификации, также использует группу случайных чисел вместе с хэш-функцией и паролем.
В спецификацию протокола аутентификации FC-GS-4, входит стандарт Common Transport Authentication (CT), который предназначен для управления входящими соединениями.
Такие же механизмы аутентификации, применяются и сетях iSCSI SAN, которые также включают такие алгоритмы защиты, как MD5 CHAP, SRP и iSCSI Kerberos. В дополнение к этим механизмам, каналы управления могут использовать протоколы шифрования данных, например SSH и SSL.
Производители коммутаторов FC и IP, используют различные из вышеперечисленных механизмов аутентификации или объединяют несколько механизмов, для повышения безопасности интерфейсов управления.
При подключении нового коммутатора в защищенную сеть, механизм аутентификации, идентифицирует его, перед тем как разрешить ему получить доступ в сеть. При правильной настройке, эти механизмы должны производить аутентификацию и авторизацию новых устройств, подключаемых к сети. Поскольку каждый производитель коммутационного оборудования использует свои собственные механизмы защиты, зачастую необходимо вмешательство администратора, для подключения оборудования к сети, в которой используется оборудование от различных производителей.

Авторизация для управления
Защита систем управления должна включать авторизацию и аутентификацию, а также записывать производимые в ней действиях, для последующего аудита. Аутентификация и авторизация в сетях управления, должны сопровождаться соответствующими политиками и правилами. Рекомендуется применять двух уровневую аутентификацию, при которой сеть управления отделена от других сетей. Разделение по уровням доступов к ресурсам, должно обеспечиваться при помощи ACL и Role Based Access Control (RBAC), где каждый уровень доступа и выполняемые оператором функции, контролируются, и быть отслеженными.
Ни один пользователь, не должен иметь полных прав на управление всем оборудованием сети SAN.