Bundesamt für Sicherheit in der Informationstechnik

M 4.447 Sicherstellung der Integrität der SAN-Fabric

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Integrität der SAN -Fabric bedeutet in dieser Maßnahme, dass lediglich die geplanten und vom Betreiber vorgesehenen Komponenten in einer SAN -Fabric in Betrieb sind und nicht ein unachtsamer Mitarbeiter oder vorsätzlich handelnder Angreifer Komponenten in die SAN -Fabric einbringt und dadurch die SAN -Fabric im Betrieb stört oder einen Datenabfluss ermöglicht. Um die Integrität der SAN -Fabric sicherzustellen, sollten Protokolle mit zusätzlichen Sicherheitsmerkmalen eingesetzt werden, die in dieser Maßnahme beschrieben werden.

Das American National Standards Institute (ANSI) hat in diesem Zusammenhang einen Standard entwickelt, der verschiedene Protokolle zur Erhöhung der Sicherheit in Fibre-Channel-Netzen beschreibt.

Fibre Channel Secure Protocol (FC-SP)

FC-SP beschreibt mögliche Architekturen für die sichere Authentisierung zwischen zwei Switches, Endgerät und Switch sowie zwischen zwei Endgeräten. Mithilfe der in FC-SP P beschriebenen Protokolle kann ein Switch neue Endgeräte am SAN entweder lokal authentisieren oder über einen zentral installierten Server, indem häufig auf eine bereits vorhandene Authentisierungsinfrastruktur zurückgegriffen wird.

Dem Anwender stehen drei verschiedene Protokolle zur Verfügung, mit deren Hilfe sich Authentisierungsmechanismen in einem Fibre-Channel- SAN umsetzen lassen:

  • Diffie Hellman Challenge Handshake Authentication Protocol (DH-CHAP):
    DH-CHAP bietet die bidirektionale, passwortbasierte Authentisierung (CHAP) zusätzlich gesichert per Diffie-Hellmann-Verfahren zum Schlüsselaustausch.
  • Fibre Channel Authentication Protocol (FCAP):
    FCAP realisiert die beiderseitige Authentisierung von FC-Komponenten auf der Basis digitaler Zertifikate.
  • Fibre Channel Password Authentication Protocol (FCPAP):
    FCPAP stellt ein passwortbasiertes Verfahren dar, das sich das Secure Remote Password (SRP) zunutze macht.

Die Möglichkeiten dieser Protokolle sollten zur gegenseitigen Authentisierung der Komponenten genutzt werden. Durch den Einsatz dieser Protokolle kann sichergestellt werden, dass keine Komponenten der FC -Fabric beitreten können, ohne über die entsprechenden Zertifikate oder Passwörter zu verfügen. Die Konfiguration der Fabric kann damit weder gelesen noch manipuliert werden.

Selbst bei erfolgreichem physischen Anschluss fremder Komponenten an die SAN -Fabric besteht in der Folge kein Zugang, der beispielsweise das Mitlesen des Datenverkehrs ermöglichen würde. WWN -Spoofing bleibt auf diesem Weg erfolglos.

Prüffragen:

  • Wird die Sicherstellung der Integrität der SAN-Fabric durch den Einsatz von Protokollen mit zusätzlichen Sicherheitsmerkmalen unterstützt?

  • Werden beim Einsatz der Protokolle DH-CHAP, FCAP und FCPAP die Sicherheitseigenschaften dieser Protokolle berücksichtigt und entsprechende Konfigurationen verwendet?

Stand: 14. EL Stand 2014