|
Netzwerk- und SAN-Security gehören zusammen
Date: Wednesday 4 April 2007
Author: Klaus Lenssen und Ulrich Hamm, Cisco Systems Deutschland
 Bis vor kurzem drehte sich im Zusammenhang mit SANs (Storage Area Networks) die Diskussion hauptsächlich um Performance, Portdichte und Anschlussart. Sicherheit hatte nur geringe Priorität. Weil inzwischen aber viele Speichernetze den abgeschirmten Bereich ihres Rechenzentrums verlassen und immer mehr Speicherdaten per Internet-Protokoll (IP) über LAN- und WAN-Verbindungen laufen, gewinnt das Thema SAN-Security an Brisanz. Darüber hinaus dürfen Netzwerk- und Speichernetzsicherheit in Zeiten von Basel II nicht länger unabhängig voneinander betrachtet werden. Gefragt ist ein ganzheitlicher Ansatz, der sich durchgängig als Ende-zu-Ende-Lösung für die gesamte Infrastruktur implementieren lässt.
 Hartnäckig hält sich der Mythos, Daten im SAN seien per se sicherer als im LAN oder WAN. Zwar sorgen Wurmbefall, Trojaner-Angriffe oder Denial-of-Service-Attacken (DoS) auf Speichernetze seltener für Schlagzeilen, doch dürfte das eher an der noch vergleichsweise geringen Verbreitung von Speichernetzen liegen. Tatsache ist, dass jeder unsichere Server mit Verbindung zu einem SAN sämtliche Speichergeräte und alle anderen mit dem SAN verbundenen Hosts gefährdet. Hinzu kommt, dass Unternehmen zunehmend die Reichweite ihrer Speichernetze kostengünstig bis zu entfernten Niederlassungen ausdehnen. Ohne große Infrastrukturinvestitionen lassen sich zum Beispiel entlegene SAN-Inseln mit FCIP (Fibre-Channel-over-IP) an eine zentrale Disaster-Recovery-Lösung mit permanentem Backup anbinden. Noch günstiger ist der Speicherdatentransport per IP mit dem Protokoll iSCSI (Internet Small Computer System Interface, auch SCSI-over-IP). Damit können Hosts und Server direkt über die eingebaute Ethernet-Karte an das SAN angeschlossen werden. Sämtliche verfügbaren Speicherkapazitäten lassen sich somit unternehmensweit konsolidieren. Das verbessert die Stabilität der unterstützten Geschäftsprozesse und verringert die Investitions- und Managementkosten für die Unternehmensressource Speicher nachhaltig.
Immer mehr Speicherdaten, die bisher ausschließlich über spezielle SAN-Verbindungen, also Fibre Channel, liefen und daher meistens unverschlüsselt blieben, fließen nun via LAN und WAN – und werden somit angreifbar. Kundendaten beispielsweise können abgehört werden, wenn sie über weite Strecken in eine entfernte Backup-Datenbank repliziert werden. Die zunehmende Verflechtung mit IP-Netzwerken birgt für vormals separate Speichernetze neue Gefahren, denen viele der bisher praktizierten Schutzmaßnahmen nur wenig entgegenzusetzen haben. Die häufigste Form des Angriffs auf ein SAN sind Spoofing-Angriffe. Hierbei werden unterschiedliche Erkennungsmerkmale der erlaubten Teilnehmer, beispielsweise Node- oder Portname oder Source Port ID erschlichen und für die missbräuchliche Nutzung der SAN-Fabric verwendet. Eine andere Variante sind die Denial-of-Service-Angriffe (DoS), die eine massive Störung des SANs zum Ziel haben, beispielsweise durch die Flutung des Managementports der SAN-Switches.
Fabric und Target Security
Es gibt eine Reihe spezifischer Bedrohungen für Speichernetze, aber auch Schutzmaßnahmen, die im Folgenden beschrieben werden. Nicht autorisierte Zugriffe auf eine Switched Fabric und daran angeschaltete Speichersysteme – so genannte Targets – bedrohen Anwendungsdaten sowohl direkt als auch mittelbar. Sie können zum Beispiel die Integrität der logischen Gerätezuordnung stören. Daher sind flexibel steuerbare Kontrollmöglichkeiten für die Kommunikation innerhalb einer Fabric notwendig. Darauf zielt Fibre Channel Zoning ab: Generell beschreibt das Verfahren die Unterteilung eines Speichernetzwerks in mehrere Bereiche, in denen eine Verbindung erlaubt wird. Diese Bereiche können sich auch überlappen. Komponenten, die verschiedenen Zonen angehören, können sich gegenseitig nicht „sehen". Ein Nachteil von Zoning ist, dass damit keine logische Unterteilung der Fabrics vorgenommen werden kann, da die Fabric Services wie beispielsweise Name Service nicht mehrmals vorhanden sind. Eine logische Unterteilung, um zum Beispiel Komponenten nach funktionellen Gesichtspunkten zu isolieren, kann nur mit virtuellen SANs (VSAN) erreicht werden. So können die Datenbestände verschiedener Kundenunternehmen in einem gemeinsamen Rechenzentrum sicher gegeneinander abgeschottet werden.
Zu unterscheiden ist zwischen hardware- und softwarebasiertem Zoning. Beim Hard-Zoning wendet jeder Switch eine eigene Zugriffsliste (Access Control List = ACL) auf jeden transportierten Datenblock (Fibre Channel Frame) an. Soft-Zoning arbeitet mit den Informationen die im Name Service registriert sind. Der jeweilige FC-Name-Service eines SAN führt für jeden FC-Switch eine Liste mit all denjenigen Port IDs, die mit dem Switch mindestens eine Zone gemeinsam haben. Daraus wird bereits ersichtlich, dass Soft-Zoning keinen großen Schutz bieten kann, da ein Zugriff möglich ist, wenn die Adressen bekannt sind. Die verschiedenen Hersteller haben dabei unterschiedliche Implementierungen. Es sollte darauf geachtet werden, dass immer Hardware Enforced Zoning unterstützt ist. Es ist auch wichtig, dass neben Port- und WWN-Zoning weitere Zoning-Optionen zur Verfügung stehen, beispielsweise LUN-Zoning oder Zoning basierend auf der I/O Operation. Damit können Zones eingerichtet werden, in denen nur ein lesender Zugriff erlaubt ist. Dies erhöht die Sicherheit der Anwendungen und Daten zusätzlich. Typischerweise teilt sich ein Disk Array in mehrere logische Geräte auf; ihm sind daher entsprechend viele Logical Unit Numbers (LUNs) zugeordnet. LUN-Zoning nutzt diese Tatsache aus, um den Zugriff auch innerhalb eines einzelnen Plattensystems differenziert zu steuern.
Eine weitere wichtige Sicherheitsfunktion sind VSANs: Damit werden auf demselben physikalischen Speichernetz mehrere logische Fabrics eingerichtet. Ein Switch kann dabei mehreren virtuellen SAN-Umgebungen angehören. Weil die virtuellen Teilnetze auf Portebene dennoch sauber voneinander getrennt sind, bleiben mögliche Instabilitäten auf das jeweils betroffene Teilnetz beschränkt, zum Beispiel nach einem DoS-Angriff. Ein Überschwappen auf das gesamte SAN ist ausgeschlossen.
SAN Fabric Security Protocol
Ursprünglich verfügte Fibre Channel nur über rudimentäre, aus heutiger Sicht völlig ungenügende Authentifizierungsmechanismen. Zur Geräteidentifikation wurden Passwörter zumeist unverschlüsselt übertragen. Spätestens wenn das SAN die schützende Grenze eines Rechenzentrums überschreitet, haben Hacker leichtes Spiel. Deshalb hat das Technical Committee T11.3 der INCITS (International Committee for Information Technology Standards) den neuen Standard FC-SP (Fibre Channel Secure Protocol) erarbeitet. FC-SP liefert eine Architektur für sichere Authentifizierung zwischen zwei Switches, Gerät und Switch sowie zwischen zwei Geräten. Das Verfahren stützt sich auf das Challenge Handshake Authentication Protocol (CHAP). Die häufig zu lesende Erweiterung CHAP-DH ist eine Referenz auf die Namen der Erfinder des hierfür genutzten Krypto-Algorithmus, Diffie und Hellman. CHAP-DH bietet als Standardauthentisierungsprotokoll für FC-SP die bi-direktionale, Passwort-basierte Authentisierung (CHAP) zusätzlich gesichert per Diffie-Hellmann-Verfahren. Hierdurch wird die Anfälligkeit von CHAP gegen Wörterbuchangriffe minimiert. Mit FC-SP kann ein Switch neue Geräte am SAN entweder lokal authentifizieren oder über einen zentral installierten Server, zum Beispiel auf Basis von RADIUS (Remote Authentication Dial-In User Service) oder TACACS+. Da beide Varianten in der Netzwerkwelt sehr verbreitet sind, können Unternehmen mit FC-SP oftmals auf eine vorhandene Authentifizierungsinfrastruktur zurückgreifen.
Storage-over-IP
Besondere Herausforderungen bringt der angesprochene Trend zu Storage-over-IP mit sich. Üblicherweise werden multiprotokollfähige Switches wie die MDS 9000er Serie von Cisco sowohl für SAN-to-SAN-Erweiterungen per FCIP eingesetzt als auch zur Anbindung von Server via iSCSI. Einem solchen Server (einem iSCSI-Initiator) gegenüber erscheint ein FC-Speichergerät als iSCSI-Target; umgekehrt präsentiert sich der Server dem SAN-Switch als ein FC-Host. Dies wird wie folgt realisiert: entweder durch dynamisches oder durch statisches Mapping. Die dynamische Variante bietet mehr Flexibilität, doch gelten hier Beschränkungen in Bezug auf VSANs, und unter Sicherheitsaspekten müssen gewisse Mindestvoraussetzungen erfüllt sein. Beispielsweise sollte das Zoning immer den IQN (iSCSI Qualified Name) des iSCSI-Initiatoren einschließen (so genanntes Symbolic Name Zoning).
Sicherer ist in jedem Fall statisches Mapping. Zum einen herrschen hier keinerlei Einschränkungen beim Einsatz von VSANs, zum anderen lassen sich Zugriffsbefugnisse für iSCSI-Initiatoren auf FC-Geräte per ACL exakt definieren, und zwar auf Basis von IQNs, IP-Adressen oder einer Kombination aus beidem.
Vertraulichkeit, Integrität und Management-Security
iSCSI und FCIP unterstützen sowohl Authentisierung als auch Autorisierung, übertragen Speicherdaten jedoch unverschlüsselt. Sie können auf ihrem Weg durch das IP-Netzwerk eventuell ausgespäht oder manipuliert werden. Verschlüsselung per IPsec müssen auf der einen Seite die SAN-Switches übernehmen. Auf der Clientseite kann entweder ein VPN Softwareclient oder ein VPN-Gateway vor den Servern eingesetzt werden. SAN-Switches bieten hardwarebasierte Verschlüsselung für IP Sec (IP Security) an. IP Sec ist ein Framework offener Standards, die auf der IP-Ebene ansetzen und sich zum Beispiel im Umfeld virtueller privater Netzwerke (VPN) tausendfach bewähren. Vertraulichkeit gewährleistet IP Sec dadurch, dass Datenpakete vom Sender verschlüsselt werden, zum Beispiel gemäß AES (Advanced Encryption Standard) oder per 3DES (Triple Data Encryption Standard). Integrität – die Unversehrtheit der übertragenen Daten – garantiert IP Sec mittels einer signierten Prüfsumme im Authentication Header (AH), die auch die Authentizität, das heißt die Eindeutigkeit des Absenders und Empfängers garantiert. Verschleierungsversuchen durch Spoofing wird so ein Riegel vorgeschoben. IP Sec liefert ein weiteres Beispiel dafür, wie Speicherdaten von vorhandenen Sicherheitsfeatures eines IP-Netzwerkes profitieren können.
Die Gefahren einer böswilligen Ausnutzung der Managementanbindungen eines SAN werden oftmals unterschätzt. Umso wichtiger ist es, die zentrale Account-Managementinfrastruktur auf Basis von RADIUS oder TACAS+ vom IP-Netzwerk auf das SAN auszuweiten. Per Cisco AAA (Authentication, Authorization and Accounting) lassen sich damit alle Managementzugriffe durch rollenbasierte Rechtezuordnung steuern. Administratoren können so unterschiedliche Rollen und damit Zugriffsrechte zugewiesen werden. Ein Administrator kann beispielsweise nur „lesen", während andere auch Änderungen vornehmen können. Diese Rechte können auf Teilbereiche eines SAN beschränkt werden, sodass sehr feine Rechteverwaltung möglich ist. Unerlaubte Zugriffe auf Managementinterfaces lassen sich zudem durch ACLs unterbinden. Für das Compliance-Mangement wichtig ist die automatische Protokolierung sämtlicher Änderungskommandos und die regelmäßige Sicherung der Konfiguration der Switches einer Fabric. Im Falle eines Falles lässt sich ein früherer Zustand sehr schnell wiederherstellen oder Konfigurationen und Logdaten für eine forensische Analyse einsehen.
Fazit
Für das SAN steht eine Reihe von Schutzmechanismen zu Verfügung, mit denen ein auf den Bedarf eines Unternehmens zugeschnittenes Sicherheitskonzept realisiert werden kann, das die Speichersysteme integriert. Insbesondere der Transport von Speicherdaten über das Internet-Protokoll ermöglicht den Einsatz aller Sicherungstechniken, die in LAN und WAN zum Einsatz kommen. Der Schutz des SAN ist wichtig, da es als Bestandteil der gesamten IT-Infrastruktur allen rechtlichen Anforderungen unterliegt. Das Bundeskabinett hat am 15. Februar eine Gesetzesvorlage abgesegnet, wonach Basel II ab 2007 auch in Deutschland gelten soll. Das heißt nichts anderes, als dass das Sicherheitsniveau des Speichernetzes künftig mit entscheidet über die Kreditwürdigkeit eines Unternehmens.
Fibre Channel Fabric kurz gefasst
Die meisten Speichernetze basieren heutzutage auf dem Fibre-Channel-Standard (FC); Übertragungsgeschwindigkeiten von 4 Gigabit pro Sekunde sind inzwischen die Regel. Als Übertragungsmedium kommen in der Regel Glasfaserkabel zum Einsatz obwohl auch Kupfer im Standard definiert ist. Die leistungsfähigste und ausfallsicherste Topologie für FC ist die Switched Fabric, deren Herzstück ein FC-Switch bildet, auch Director genannt. Über diesen Switch lassen sich beliebige Punkt-zu-Punkt-Verbindungen zwischen sämtlichen Endgeräten wie Server, Plattensysteme und Bandbibliotheken schalten. Zudem können in einen Server mehrere Host Bus Adapter (HBA) eingebaut werden, um durch parallele Anbindung an das SAN die Bandbreite nach oben zu skalieren (Multi-Pathing). Bei Verwendung von mehreren Pfaden zwischen Server und Speichersystem können die Speicherdaten stets den am wenigsten ausgelasteten Pfad nutzen (Multi-Pathing). Das kommt der Gesamtperformance der Fabric zugute. Zusätzliche Ausfallsicherheit erreicht man, indem zwei unabhängige Fabrics zu einer redundanten dualen Switched Fabric zusammengeschaltet werden.
|
