Home » Seguridad en una SAN Brocade I – Políticas SCC, DCC y AUTH

Seguridad en una SAN Brocade I – Políticas SCC, DCC y AUTH

En la administración de una red de fibra para almacenamiento más que medidas de seguridad de caracter preventivo son una práctica habitual el zoneado del switch ( o fabric) y el enmascaramiento de lunes (lun masking) desde la cabina en la provisión rutinaria de almacenamiento. Adiccionalmente, se puede añadir niveles de seguridad en la SAN con funcionalidades que proporcionan los fabricantes de switches de fibra. Ejemplos para tecnología Brocade son las políticas de control de las conexiones entre switches ( Switch Connection Control  – SCC)  y de control de dispositivos ( Device Connection Control – DCC). Lo que nos permiten hacer estas los políticas es restringir que switches y dispositivos se conectarán a la fabric.

SCC – Proteje las conexiónes inesperadas entre switches, se trata de verificar cada vez que se intenta realizar una conexión entre switches (ISL)  contra un listado de switches definido por la política.

DCC –   Proteje la conexiónes inesperadas entre dispositivos (HBAs de servidores, librerías, drives, VTLs, cabinas) con switches, se trata de verificar cada vez que se intenta realizar una conexión de un dispositivo de fibre  contra un listado de dispositivos definido por la política.

La aplicación de estas políticas pueden considerarse interesante en muchos casos, por ejemplo, si el parcheo de fibra y sus cambios es ajeno al personal de administración de la SAN, si se quiere minimizar el fallo humano, o evitar un intento de acceso no deseado de un equipo o un analizador de tráfico, …

La  SAN, al estar aislada sin acceso externo por otras redes es considerada segura, no necesitando medidas de protección especiales en apariencia. Pero si alguien consigue la contraseña de administración de alguno de los servidores conectado a la SAN, puede introducir driver de la HBAs modificados (o ni eso) para una  práctica de hack que es "wwn spoofing", es decir, modificar la HBA de un servidor con el wwn de otra que le permita tener acceso al recurso de almacenamiento  … y a sus datos. Recordemos que el sentido del hackering puede ser robar, corromper o destrozar el núcleo de información de la compañía. y … ¿ ésto lo evitaría DCC ? Si, ya que es una aplicación de "port locking" ( o "port binding") que es la asociación de un puerto a un wwn.

Para añadir un nivel mayor de seguridad se pueden usar protocolos de autenticación como DH-CHAP que pertenece a los protocolos FC-SP (Fibre Channel Security Protocols) definidos por la T11 y asegura mediante par de claves asociadas a wwn la negociación entre conexiones de forma segura. Aparte del "wwn spoofing" existen otras técnicas de hack en la fabric tales como "S_ID spoofing", " M-I-T-M attack" donde la aplicación de protocolos FC-SP  son eficaces para evitar cualquier riesgo de intrusión.

Para la tecnología Brocade está la política AUTH que implementa la autenticación entre switches y dispositivos a través de DH-CHAP / FCAP.

Otros puntos a revisar son las políticas de administración de contraseñas en los servidores de acceso a la SAN, en grandes compañías suelen haber muchos servidores que no son de produción con acceso a la SAN cuyas políticas de claves de administrador no suelen ser seguras y además son servidores que pueden estar fuera de las políticas restrictivas de la seguridad perimetral impuesta en el entorno de producción, y como podemos suponer ponen en grave compromiso el almacenamiento.
También es interesante para controlar este tipo de ataques la monitorización de las conexiones y desconexiones en la fabric, reinicios de servidores inesperados y wwn duplicados, además de tener procedimentados las acciones correspondientes para identificar lo más rápidamente la intrusión y aislarla. Hay muchos temas referentes a la seguridad como las virtual fabric, NPIV, interfaces de administración, políticas de distribución en la fabric,  que son muy interesantes su revisión. 

¿ Es vuestra SAN segura ? y … ¿ estás preparado para una intrusión?

No Responses to “Seguridad en una SAN Brocade I – Políticas SCC, DCC y AUTH”

  1. That is a really good tip especially to those
    fresh to the blogosphere. Brief but very accurate info… Thanks for sharing this one.
    A must read article!

  2. Cam balkon dice:

    Hi, I do believe thiss is a great website. I stumbledupon it 😉 I’m
    going to return once again since i have saved as a favorite it.
    Money and freedom is the best way to change, mayy yyou be
    rich and continue to help other people.

  3. Quality content is the important to interest the viewers to pay
    a quick visit the site, that’s what this site is providing.

  4. buy seo dice:

    Hello! I’m at work browsing your blog from my new iphone 4!
    Just wanted to say I love reading through your blog and look
    forward to all your posts! Carry on the fantastic work!

  5. Great site. Plenty of useful info here. I’m
    sending it to a few pals ans additionally sharing in delicious.
    And certainly, thank you to your effort!

  6. bedava bahis dice:

    Whoa! This blog looks exactyly like my oldd one!
    It’s on a entirely different topic bbut it has
    pretty much the same page layout annd design. Outstanding choice
    of colors!

  7. Link exchange is nothing else however it is simply placung thhe otger
    person’s wweb site link on your page att proper place and other person will also do same in support
    of you.

  8. buy seo dice:

    Wow! At last I got a weblog from where I be capable of truly take useful
    facts concerning my study and knowledge.

  9. buy seo dice:

    Heya i am for the first time here. I found this board and I in finding It really
    useful & it helped me out a lot. I am hoping to give one thing back and
    aid others such as you helped me.

  10. WilliamNuh dice:

    Здесь хорошие
    http://deryxyzenoqe.tk/sitemap.xml

    А вам где нравится?

  11. Hi, i learn your blog occasionally and i personal the same one and i used to be just wondering for those who get plenty of spam feedback? If thats the case how do you prevent it, any plugin or something you possibly can recommend? Im getting so much these days it is driving me mad so any help could be very much appreciated. Anyway, in my language, there are not a lot good source like this.

  12. Seguridad en una SAN Brocade I – Políticas SCC, DCC y
    AUTH | Almacenamiento Abierto http://agenbolajempol.com

  13. more.. dice:

    more..

    Fallo al enviar el comentario

  14. Hello. I have checked your almacenamientoabierto.com and i see you’ve got some duplicate content so probably it is the
    reason that you don’t rank high in google. But
    you can fix this issue fast. There is a tool that creates content like human, just
    search in google: miftolo’s tools

  15. Google dice:

    Google

    The data talked about within the write-up are a number of the best out there.

  16. I used to be suggested this web site by my cousin. I am now
    not certain whether this put up is written via him as
    no one else know such special approximately my difficulty.

    You’re amazing! Thank you!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *