Слайд 2Краткое содержание
Технологии хранения данных и новые угрозы
Возможные направления атак
Методы противодействия угрозам
![Краткое содержание Технологии хранения данных и новые угрозы Возможные направления атак Методы противодействия угрозам](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-1.jpg)
Слайд 3Новые угрозы в сетях хранения данных
![Новые угрозы в сетях хранения данных](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-2.jpg)
Слайд 4Технологии сетей хранения
Сети хранения в основном используют протокол Fibre Channel
данные хранятся централизованно,
![Технологии сетей хранения Сети хранения в основном используют протокол Fibre Channel данные](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-3.jpg)
в системах хранения, доступны в виде блоков
выделенная сеть создает иллюзию безопасности
администраторы безопасности не подозревают или не интересуются FC-сетями
Слайд 5Новые угрозы и проблемы безопасности
Сети хранения становятся все больше, количество подключений растет,
![Новые угрозы и проблемы безопасности Сети хранения становятся все больше, количество подключений](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-4.jpg)
снижается доверие к сети и устройствам
Подключение удаленных ЦОД через FCIP, CWDM/DWDM
Традиционные проблемы безопасности, существовавшие в IP-сетях актуальны и в FC SAN
WWN spoofing, E-Port replication, MitM-attacks во многом сходны со своими «родственниками» в IP
Слайд 6Новые угрозы и проблемы безопасности
Архитектура сетей Fibre Channel обеспечивает доступ к служебной
![Новые угрозы и проблемы безопасности Архитектура сетей Fibre Channel обеспечивает доступ к](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-5.jpg)
информации для любых устройств
Администраторы систем и сетей хранения не имеют опыта в области информационной безопасности
Управление устройствами в сети хранения осуществляется по тому же каналу, что и передача данных (in-band)
Протоколы аутентификации устройств (стек FCSP) окончательно не разработаны
Слайд 8Session Hijacking
В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence)
последовательности определяются
![Session Hijacking В сети FC взаимодействие между узлами осуществляется посредством последовательностей (sequence)](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-7.jpg)
Seq_ID, каждый пакет в рамках последовательности определяется Seq_CNT
Seq_ID остается постоянным, Seq_CNT увеличивается на единицу в каждом пакете
Может быть применимо для подмены in-band сессии управления, например, дисковым массивом
Слайд 9MitM Attack
В сети FC соответствие между 64-bit WWN и 24-bit FCID устанавливается
![MitM Attack В сети FC соответствие между 64-bit WWN и 24-bit FCID](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-8.jpg)
средствами Fabric Name Server
FNS расположен по известному адресу 0xfffffc, запрос на регистрацию не аутентифицируется
Слайд 10WWN Spoofing
WWN используется для аутентификации узлов как при организации zoning, так и
![WWN Spoofing WWN используется для аутентификации узлов как при организации zoning, так](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-9.jpg)
для LUN masking
ПО драйверов позволяет изменить WWN
Слайд 11E-Port Replication
Взаимодействие коммутаторов в FC-сети осуществляется через E-port
Аутентификация при подключении коммутаторов не
![E-Port Replication Взаимодействие коммутаторов в FC-сети осуществляется через E-port Аутентификация при подключении](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-10.jpg)
производится
атакующий может объявить себя коммутатором FC
«коммутатор» может управлять маршрутизацией в фабрике
«коммутатор» может изменять политики zoning
«коммутатор» может объявлять о существовании новых узлов
Слайд 15Аутентификация
Аутентификация устройств в сети хранения: протокол FCSP
Обеспечивает аутентификацию устройств (host-to-switch и switch-to-switch,
![Аутентификация Аутентификация устройств в сети хранения: протокол FCSP Обеспечивает аутентификацию устройств (host-to-switch](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-14.jpg)
host-to-host) в сети хранения Fibre Channel
Реализация FCSP DH-CHAP поддерживается рядом производителей FC-коммутаторов и FC-HBA
Аутентификация устройств интегрируется в общую платформу аутентификации (RADIUS)
Слайд 16Авторизация
Ближайший этап – использование PKI для аутентификации устройств (FCAP)
![Авторизация Ближайший этап – использование PKI для аутентификации устройств (FCAP)](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-15.jpg)
Слайд 17Авторизация
Сейчас используются WWN
Использовать:
port-based zone
hardware zoning
port locking
VSAN (Cisco-only)
![Авторизация Сейчас используются WWN Использовать: port-based zone hardware zoning port locking VSAN (Cisco-only)](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-16.jpg)
Слайд 18Конфиденциальность
Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей передачи
![Конфиденциальность Проблема конфиденциальности для сетей хранения стоит более остро, чем для сетей](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/424325/slide-17.jpg)
данных в силу агрегации информации в одной точке
В настоящий момент стек FC не предусматривает никаких средств криптозащиты
ведется, но не закончена, разработка стека протоколов FCSec
Для FCIP и iSCSI применим IPSec
Рекомендуется защищать не только среду передачи, но и сами данные в процессе хранения