computerwoche.de

Archiv

Wie schütze ich mein SAN vor Attacken?

31.03.2005
Von Frank Bunn
Die verstärkte Akzeptanz der Speichervernetzung - auch über das Internet - macht jetzt auch SANs anfällig für Hacker-Angriffe, Datenmanipulation und -missbrauch.

Am Anfang war die reine Kommunikationsfähigkeit. Sie war das oberste Gebot, als vor etwa 20 Jahren die ersten LANs mit dem TCP/IP-Protokoll den kommerziellen Siegeszug antraten. Die Vernetzung wurde denkbar einfach; jeder Teilnehmer konnte plötzlich mit jedem anderen im LAN kommunizieren und Daten austauschen. Kurze Zeit später wurde das World Wide Web ebenfalls auf Basis von TCP/IP etabliert, und die elektronische Kommunikation zwischen Teilnehmern, die sich oftmals überhaupt nicht kannten, wurde nun sogar über die Kontinente hinweg möglich. Von Barrieren und Einschränkungen wollten zu dieser Zeit nur die wenigsten etwas wissen.

Längst ist bekannt, wie sich diese Erfolgsgeschichte leider auch weiterentwickelt hat: Hacker-Angriffe, Viren, Trojaner, Würmer, Denial-of-Service-Attacken und dergleichen machen das Internet auch zum Ort krimineller Handlungen. Die Kosten durch Netzzusammenbrüche und Virenverseuchungen schädigen die Volkswirtschaft in Milliardenhöhe. Mit Riesenaufwand und Abwehrmaßnahmen wie Firewalls, Virenscannern und Intrusion-Detection-Systemen versucht die Industrie nun verstärkt, des Problems Herr zu werden.

Ein ähnlicher Siegeszug bezüglich der Vernetzung und Kommunikation hat seit kurzem auch den Speichermarkt erfasst. Hier lösen zunehmend NAS (Network Attached Storage)- und SAN (Storage Area Network)-Lösungen die traditionell direkt am Server angeschlossenen Speichersysteme ab. Im SAN-Bereich dominiert derzeit das Fibre-Channel-Protokoll, doch das Übertragungsverfahren iSCSI findet verstärkt Beachtung und ist besonders attraktiv für kleinere Unternehmen. Als Trägerprotokoll für Speicherdaten über Weitverkehrsverbindungen gewinnt TCP/IP ebenso an Bedeutung. Mit FCIP (Fibre Channel over IP) oder iFCP (Internet Fibre Channel Protocol) stehen heute sinnvolle Möglichkeiten zur Verfügung, um Server und Speichersysteme aus Katastrophenschutzgründen über große Entfernungen zu verbinden. Durch die verstärkte Akzeptanz der Speichervernetzung steht einem "Storage-Internet" bald nichts mehr im Wege.

Doch der Dornröschenschlaf, den sich die IT-Industrie in Sachen Sicherheit anfänglich erlaubt hat, darf sich in der Speichervernetzung nicht noch einmal wiederholen. Zu groß ist die Gefahr, dass die in den Datenspeichern liegenden Unternehmensinformationen direkt angezapft, zerstört, manipuliert oder missbräuchlich verwendet werden.

So wundert es nicht, dass Sicherheit mittlerweile auf der Agenda der IT-Verantwortlichen nach oben gerückt ist. Bei einer Umfrage der Gartner Group nannten IT-Chefs 2004 den Kampf gegen Sicherheitsverletzung und Geschäftsunterbrechungen als wichtigstes Thema - 2003 hatte es noch auf Rang zwölf gelegen.

An dieser Entwicklung haben auch die neuen gesetzlichen und regulativen Verordnungen, gerne mit dem englischen Fachbegriff Compliance beschrieben, ihren maßgeblichen Anteil. So kommt die Richtlinie Basel II zwar aus der Finanzwelt, sie beeinflusst aber nahezu alle Unternehmen bei der Kreditbeschaffung.

Druck von den Banken

Diese müssen nämlich, um ein gutes Rating und günstige Kredite zu bekommen, gegenüber den Banken unter anderem nachweisen, dass sie ein funktionierendes operatives Risiko-Management implementiert haben. Hierzu zählt neben der Überlebensfähigkeit der IT im Katastrophenfall auch die Robustheit gegen Sicherheitsverletzungen von innen und außen.

Storage Area Networks werden mit Hilfe von Fibre-Channel-Switches aufgebaut, die als intelligente Schalteinheiten Server und Speicher miteinander verbinden. Angelehnt an die virtuellen LANs (VLANs) im LAN-Switch findet sich im FC-Switch eine ähnliche Funktionalität mit dem Namen "Zoning". Sie definiert voneinander abgrenzte Teilnehmergruppen, die auf Basis von physikalischen Port-Nummern (Hard-Zoning) oder aufgrund der Adressinformationen im Datenfeld (Soft-Zoning) gebildet werden. Server einer Zone können normalerweise nicht auf Speichersysteme einer anderen Zone zugreifen. Ursprünglich war Zoning aber weniger als Sicherheitsmaßnahme gegen Attacken gedacht, sondern vielmehr um das sehr "egoistische" Verhalten vieler Betriebssysteme unter Kontrolle zu halten. Nicht wenige Betriebssysteme haben/hatten nämlich die unangenehme Eigenschaft, fremde Plattenbereiche im SAN rigoros als ihre eigenen zu kennzeichnen und sie mit einem neuen Initialisierungsmuster zu überschreiben. Deshalb war es zwingend erforderlich, heterogene Server- und Speicherbereiche strikt voneinander abzutrennen, um nicht versehentlich Datenzerstörungen zu riskieren.

Unterstützt wird Zoning oftmals noch durch die LUN-Security der Disk Arrays. Eine LUN (Logical Unit Number) ist eine logische Platteneinheit in einem intelligenten Festplattensubsystem. Unter LUN-Security fallen die Begriffe LUN-Binding und LUN-Masking. Beide Verfahren sollen verhindern, dass unberechtigte Teilnehmer im SAN Zugriff auf die LUNs erhalten. LUN-Binding erlaubt die Adressierung der LUNs nur über bestimmte Netzeingänge des Plattensystems. LUN-Masking definiert darüber hinaus noch Zugriffstabellen, in denen die World-Wide-Name-Adressen der zugriffsberechtigten Server hinterlegt sein müssen.

Komplexere Verwaltung

So wichtig diese Funktionen für eine funktionierende SAN-Infrastruktur und für ein Grundmaß an Sicherheit auch sind, so erhöhen sie andererseits aber auch die Komplexität, wenn es beispielsweise um die dynamische Speicherprovisionierung (Storage on Demand) im SAN geht. Liegen freie Plattenkapazitäten eines Speicherpools nämlich in einer anderen Zone, so muss zuerst der FC-Switch umkonfiguriert werden. Weiterhin sind die LUN-Zugriffstabellen anzupassen, sonst kann ein Server die neuen Speicherbereiche nicht nutzen.

Sicheres SAN-Management

Alle Verwaltungsfunktionen im SAN dürfen nur von vertrauenswürdigen Instanzen ausgeführt werden. Eines der größten Sicherheitsrisiken sind deshalb die vielen Zugangspunkte für das Management der Speicher- und Netzkomponenten. Sind diese nur unzureichend abgesichert, hat man Angreifern von innen und außen Tür und Tor geöffnet. Bei den Kontrollpfaden für das SAN-Management unterscheidet man zwei verschiedene Technologien: Out-of-Band-Verfahren mittels SNMP über LAN-Verbindungen oder In-Band-Konzepte über das operative FC-Netzwerk selbst. Grundsätzlich wird das Out-of-Band-Verfahren als wesentlich unsicherer angesehen, da mehr Nutzer über IP-Wissen verfügen und somit über die teilweise noch sehr unsicheren SNMP-Protokolle Zutritt erlangen können. Eine weitere Schwachstelle liegt im größeren Konfigurationsaufwand und der Gefahr von unbeabsichtigten Fehlern, die Angreifer ausnutzen können.

Das Security Framework

Sicherheit im SAN unterschei- det sich nicht grundsätzlich von den Sicherheitstechniken in anderen Netzen. Viele jahrzehntelange Erfahrungen aus dem LAN- und WAN-Bereich konnten hier einfließen, und so setzt die Speicherindustrie zunehmend auf die gleichen Sicherheits- protokolle wie IPsec, SSL, TLS, SSH, PKI, um nur einige zu nennen. Ergänzt werden diese Standards noch durch das FC-spezifische Security-Protokoll (FC-SP), welches von dem Standardisierungsgremium ANSI/ T11.3 im Juni 2004 verabschiedet wurde.

Es ist jedoch ein Trugschluss, zu glauben, Sicherheit lasse sich alleine durch den Einsatz von Technik schaffen. Die SNIA (Storage Networking Industry Association) gibt an, dass ein funktionierendes Sicherheitskonzept zu mindestens 80 Prozent auf einer sauberen Organisation und einer konsequenten Betriebsführung beruht. Die eigentliche Sicherheitstechnik macht demzufolge nur 20 Prozent des Security-Konzeptes aus. Hierbei definiert die SNIA fünf wichtige Bestandteile eines Security Frameworks: Authentifizierung, Autorisierung (Zugriffskontrolle), Accounting/Auditing, Datenintegrität sowie Vertraulichkeit.

Die Authentifizierung prüft, ob es sich um einen bekannten und zugelassenen Administrator oder Anwender handelt. Hier greifen Techniken wie Passwortschutz, Zertifikate und biometrische Überprüfungen. Die Autorisierung geht noch einen Schritt weiter. Neben der Überprüfung der gültigen Berechtigung werden auf Objektebene verschiedene Rechte vergeben. So darf etwa ein Administrator die Zonen des Switches umkonfigurieren, während ein anderer nur bestimmte Performance-Reports drucken kann.

Accounting und Auditing zeichnen alle Management-Aktivitäten historisch auf und werten sie aus. Dies dient vor allem dem lückenlosen Nachweis sämtlicher Zugriffe auf die Speicherkomponenten im SAN und ist in vielen Industriezweigen heute zu einer wichtigen Sicherheits- und Compliance-Anforderung geworden. Die Datenintegrität bedeutet den Nachweis, dass Daten unverfälscht übertragen und abgespeichert werden. Die Vertraulichkeit wird durch diverse Verschlüsselungsverfahren wie DES, Triple DES, AES oder Blowfish garantiert. Nur die Sender und Empfänger, die im Besitz der Private und Public Keys sind, können die übertragenen Daten entschlüsseln und verstehen. (kk)