- 1、本文档共14页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
项目11 配置ISCSI传输的安全性
2
CHAP介绍
CHAP原理
CHAP验证过程
注意事项
CHAP介绍
挑战握手后验证协议(challenge hannd authentication protocol,CHAP),是通过3次握手机制与远程节点建立一条可信连接。在iSCSI客户端需要连接网络存储的iSCSI逻辑硬盘时,客户端会向服务端发起iSCSI连接请求,双方通过协商后将采用CHAP进行身份验证,验证报文将使用MD5进行加密后发送。
3
CHAP原理
通过三次数据交换进行认证,如图所示:
第一阶段:挑战
第二阶段:回应
第三阶段:接受或拒绝
4
CHAP验证过程
1.挑战阶级
服务端收到客户端的CHAP验证请求后,服务端会向客户端发送一段随机的报文,并加上用户名user1,这个过程称为“挑战”。如图17-3所示,Server向Client发送的挑战报文包含:挑战分组类型标识符(01)、标识该挑战分组的序列号(ID)、随机数、挑战方的用户名(这里为user1)。服务端发送的挑战报文数据将会保留在存储服务器数据库中。
5
CHAP验证过程
2.回应阶级
当Client收到Server的挑战报文后,将从中提取出Server发送过来的用户名,然后在后台数据库中查找用户名为user1的记录,并获取对应的密码,这里为passowrd。再将用户名、密码、报文ID和随机报文用MD5加密算法进行加密,并获得密文的哈希值。最后把这个哈希值放到CHAP回应报文中发送给服务端,回应报文。
6
CHAP验证过程
3.接受/拒绝阶级
服务端收到客户端的回应报文后,同样去提取报文中的用户名,查找本地数据库中对应的密码、保留报文ID和随机报文,并用MD5加密算法加密,最终获得该密文的哈希值。服务器将自己的哈希值和客户端报文的哈希值进行比较,如果相同则表示验证成功,将返回ACK(验证成功)如果比对失败,表示验证失败,将返回NAK(验证失败)
7
注意事项
单向chap服务端配置时要注意参数选用user_id 和password,否则会出现在验证时会发现无法连接。
8
注意事项
同时单向chap客户端配置时要注意修改配置文件的位置,否则会提示无法连接到目标存储
9
项目背景
公司部署了iSCSI虚拟磁盘之后有效解决了公司业务服务器存储空间的统一分配与管理问题,但是LUN卷和存储之间的连接没有配置身份验证,存在安全隐患,为防止内部员工伪造公司服务器IP或IQN来连接并使用LUN卷,公司希望能加强服务器和存储连接的安全性。
10
网络拓扑
11
项目分析
在IP SAN的连接中,可以有以下几种方式来提高服务端与客户端连接的安全性:
(1)要求客户端尽量避免使用IP地址,而是使用IQN、MAC或计算机ID等作为客户端标识;
(2)启用身份验证。
SQN和计算机ID具有唯一性特征,相对而言,IP地址较不容易被员工获取;而启用身份验证后的安全性更高。iSCSI基于CHAP协议进行身份验证。因此,为提高iSCSI传输的安全性,本项目中将演示如何基于CHAP协议来实现iSCSI传输的安全性,具体涉及以下工作任务:
(1)在网络存储服务器和客户端上配置验证服务;
(2)在应用服务器上连接LUN磁盘。
12
课后练习
1.配置存储服务器,使其提供一个iSCSI有服务磁盘名为.example:server.同时要符合下列要求:
服务端口为3260,使用iscsi_store作为其后端卷其大小为3G
2.配置客户端使其能连接在服务端上提供的.example:server并符合以下要求:
块设备iSCSI上包含一个大小2100MiB的分区,并格式化为ext4
给该ISCSI磁盘配置双向chap认证。
此分区挂载在/mnt/data上同时在系统启动的期间自动加载
13
Thanks
您可能关注的文档
- 看影视,学财经看影视,学财经9.2如何投资股票.pptx
- 员工培训与开发3.1.2管理者培训管理者培训难题.ppt
- 云安全技术与应用高可用web服务构建、云安全技术与应用7.5.2高可用web服务构建3.ppt
- 云安全技术与应用云安全技术与应用7.4.1安全组2.ppt
- 云存储技术应用存储安全管理NAS安全实施方案.ppt
- 云服务技术及应用模块2第4部分网络云服务-04虚拟专用网络VPN模块2第4部分网络云服务-04虚拟专用网络VPNv1.3.pptx
- 运动解剖生理学知识点1-3:人体的标准解剖学姿势及方位术语知识点1-3:人体的标准解剖学姿势及方位术语.ppt
- 运动鞋设计与制作网球鞋造型设计与表现08网球鞋3D鞋带制作.pptx
- 运动鞋设计与制作网球鞋造型设计与表现17网球鞋3D网页渲染制作.pptx
- 运输安全管理1.1认识道路运输及企业1概述.ppt
文档评论(0)