萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 高手有五招 教你提高IP SAN安全性

高手有五招 教你提高IP SAN安全性

  如何才能將網絡黑客阻擋在iSCSI SAN系統的大門之外?本文中將會推薦5種解決辦法。提醒讀者注意的是,這些辦法雖然都能起到維護IP SAN系統安全的作用,但各自都存在一定的優缺點。建議用戶在實施時仔細斟酌,只要使用得當,可大幅提升存儲網絡的安全性能。

  1、合理利用訪問控制表(簡稱ACL)。

  網絡管理員可通過設置訪問控制表,限制IP SAN系統中數據文件對不同訪問者的開放權限。目前市面上大多數主流的存儲系統都可支持基於IP地址的訪問控制表,不過,稍微厲害一點的黑客就能夠輕松地破解這道安全防線。另一個辦法就是使用iSCSI客戶機的引發器名稱(initiator name)。與光纖系統的全球名稱(WORLD WIDE NAME,簡稱WWN,全球統一的64位無符號的名稱標識符)、以太網的媒體訪問控制(簡稱Mac)地址一樣,引發器名稱指的是每台iSCSI主機總線適配器(HBA)或軟件引發器(software initiator)分配到的全球唯一的名稱標識。不過,它的缺點也與WWN、MAC地址一樣,很容易被制服,特別是對於基於軟件的iSCSI驅動器而言。訪問控制表,與光纖系統的邏輯單元屏蔽(LUN masking)技術一樣,其首要任務只是為了隔離客戶端的存儲資源,而非構築強有力的安全防范屏障。

  2、使用行業標准的用戶身份驗證機制。

  諸如問詢-握手身份驗證協議(Challenge-Handshake Authentication Protocol,CHAP)之類的身份驗證協議,將會通過匹配用戶名和登陸密碼,來識別用戶的身份。密碼不需要以純文本的形式在網絡中傳輸,從而避免了掉包和被攔截的情況發生,所以,該協議贏得了許多網絡管理員的信任。不過,值得一提的是,這些密碼必須存放在連接節點的終端,有時候甚至以純文本文件的形式保存。遠程身份驗證撥入用戶服務(Remote Authentication Dial-In User Service,RADIUS)協議能夠將密碼從iSCSI目標設備上轉移到中央授權服務器上,對終端進行認證、授權和統計,即使如此,網絡黑客仍然可以通過偽設置的辦法,侵入客戶端。

  3、保護好管理界面。

  通過分析歷年來企業級光纖系統遭受攻擊的案例,會得到一個重要的結論:保護好存儲設備的管理界面是極其必要的。無論SAN的防范如何嚴密,網絡黑客只要使用一個管理應用程序,就能夠重新分配存儲器的賦值,更改、偷竊甚至摧毀數據文件。因此,用戶應該將管理界面隔離在安全的局域網內,設置復雜的登錄密碼來保護管理員帳戶;並且與存儲產品供應商們確認一下,其設定的默認後門帳戶並非使用常見的匿名登錄密碼。基於角色的安全技術和作業帳戶(activity accounting)機制,都是非常有效的反偵破工具;如果用戶現有的存儲系統可支持這些技術的話,建議不妨加以利用。

  4、對網絡傳輸的數據包進行加密。

  IP security(IPsec)是一種用於加密和驗證IP信息包的標准協議。IPSec提供了兩種加密通訊手段:①IPSec Tunnel:整個IP封裝在IPSec報文,提供IPSec-gateway之間的通訊;②IPSec Transport:對IP包內的數據進行加密,使用原來的源地址和目的地址。Transport模式只能加密每個信息包的數據部分(即:有效載荷),對文件頭不作任何處理;Tunnel模式會將信息包的數據部分和文件頭一並進行加密,在不要求修改已配備好的設備和應用的前提下,讓網絡黑客無法看到實際的通訊源地址和目的地址,並且能夠提供專用網絡通過Internet加密傳輸的通道。因此,絕大多數用戶均選擇使用Tunnel模式。用戶需要在接收端設置一台支持IPsec協議的解密設備,對封裝的信息包進行解密。記住,如果接收端與發送端並非共用一個密鑰的話,IPsec協議將無法發揮作用。為了確保網絡的安全,存儲供應貨和咨詢顧問們都建議用戶使用IPsec協議來加密iSCSI系統中所有傳輸的數據。不過,值得注意的是,IPsec雖然不失為一種強大的安全保護技術,卻會嚴重地干擾網絡系統的性能。有鑒於此,如非必要的話,盡量少用IPsec軟件。

  5、加密閒置數據。

  加密磁盤上存放的數據,也是非常必要的。問題是,加密任務應該是在客戶端(如:加密的文件系統)、網絡(如:加密解決方案),還是在存儲系統上完成呢?許多用戶都趨向於第一種選擇——大多數企業級操作系統(包括Windows和Linux在內),都嵌入了強大的基於文件系統的加密技術,何況在數據被傳送到網絡之前實施加密,可以確保它在線上傳輸時都處於加密狀態。當然,如果實行加密處理大大加重了CPU的負荷的話,你可以考慮將加密任務放到網絡中——或是交由基於磁盤陣列的加密設備——來處理,只不過效果會差一點兒,部分防護屏蔽有可能會失效。提醒用戶注意的是:千萬要保管好你的密鑰,否則,恐怕連你自己也無法訪問那些加密的數據了。

  Ping命令,大家都比較熟悉,它常被用來測試局域網的連通狀態。“Ping+IP地址是大家最常用的一種命令格式,但大家是否注意過Ping命令中的IP地址呢?這裡面可是有很多學問和講究的,下面筆者就為大家介紹一下隱藏在Ping命令中的這些秘密。

  “.0可以有條件省略

  大家常用“ping 127.0.0.1命令在本機上做回路測試,用來驗證本機的TCP/IP協議簇是否被正確安裝。但你發現了嗎?使用“ping 127.1這個命令也能得到同樣的測試結果(如圖),其實“ping 127.1和“ping 127.0.0.1這兩條命令是一樣的,都是在進行回路測試。

  為什麼會這樣呢?這就是Ping命令應用中IP地址的使用技巧。大家都知道,IP地址由32位二進制數字組成,為了方便大家記憶,將每8位二進制數字換算成十進制數字,因此就形成了容易記憶的由四部分十進制數字組成的IP地址(如127.0.0.1)。由於,Windows操作系統具有自動填充 “.0的功能,因此我就可將“127.0.0.1變為“127.1。

  但是,這個“.0的省略是有條件限制的,並不能任意省略。在Ping命令的應用中,只能將在IP地址的最後一部分十進制數字前出現的一個或多個“.0省略,如把“ping 127.0.0.1命令改寫成“ping 127.1。

  如果這一個或多個 “.0沒有緊挨著最後一部分的十進制數字,而是在其他位置,則這個“.0不能省略,如“ping 202.0.96.1就不能寫成“ping 202.96.1。這是因為“ping 202.96.1返回的結果是“202.96.0.1的應答信息,而不是“202.0.96.1的應答信息。

  數字串代替IP地址

  在Ping命令中,還可以使用數字串代替IP地址,你相信嗎?運行“ping 3658906394命令,你會看到“218.22.123.26這個IP地址的返回信息。

  為什麼會這樣呢?其實,“3658906394就是IP地址“218.22.123.26的另一種表示形式。當然,也可按同樣的方法Ping其他的IP地址。

  字符串是如何轉換而來的呢?其實並不復雜,以“218.22.123.26這個IP地址為例,IP地址轉換成數字串方法如下:先將 “218.22.123.26轉換為十六進制“DA.16.7B.1A,然後去掉小數點後,變為“DA167B1A,最後將這個十六進制數轉換為十進制“3658906394,那麼“218.22.123.26就變為“3658906394了。其他IP地址轉換為數字串也是使用同樣的方法。

  提示:在某些局域網環境中,使用“Ping+數字串命令可能會失敗,出現提示信息“Unknown host數字串,這是因為該數字串被解析成主機名了,而不是IP地址。

  因此,掌握了上述技巧後,網管在進行網絡測試或維護時,可以熟練運用“省略方式,減輕Ping命令的字符輸入量,提高工作效率。同時,使用數字串代替IP地址也可迷惑好奇心強的普通用戶,以免他們胡亂設置。

  寬帶用戶應提高網絡安全意識,並采取強化系統、限制開放端口、關閉共享等相應的技術防范措施,以防止黑客侵入計算機,減少或避免因帳號被盜用而產生的經濟損失。

  1、公共場所上網、下機前,務必重起電腦

  相信現在網吧電腦都100%安裝了還原系統,重起電腦基本可以杜絕菜鳥級別的盜號手段。

  2、上網過程中,堅決不打開別人發你的不明鏈接

  記得有一次,正跟玩魔力的朋 友QQ聊天。他莫名其妙的讓我去某網址看照片。我正猶豫的時候,他緊接著發過來一句“千萬別開那網頁,有病毒!我電腦已經感染了……

  上網,不要浏覽亂七八糟的網站,尤其是現在的一些賣虛擬財產的網站,廣告價格特別便宜,其實就是引人上當。如果你上網感覺不明原因的電腦運行慢了,立刻重起電腦。

  3、不要隨便陷入“網戀

  “網戀騙號,損失的不只是物質財富,還有感情。網絡,只是一個虛擬的世界,不要過於想入非非。賬號盡量不要告訴別人,特別是異性,除非你絕對相信他!

  4、賬號、密碼錯位輸入

  比如你的賬號是“ABcdEFG,你輸入的時候先輸入“cd,再用鼠標把光標移動盜最前面輸入“AB,再用鼠標把光標移動到最後輸入“EFG。這種方法可以讓大多數木馬失效。

copyright © 萬盛學電腦網 all rights reserved