نماد سایتنماد سایت بلاگ ایران هاست

امن کردن اطلاعات با استفاده از Challenge Handshake Authentication Protocol

امن کردن اطلاعات با استفاده از Challenge Handshake Authentication Protocolامن کردن اطلاعات با استفاده از Challenge Handshake Authentication Protocol

امن کردن اطلاعات با استفاده از Challenge Handshake Authentication Protocol

فهرست این مقاله ( با کلیک روی هر عنوان به آن قسمت منتقل می شوید) پنهان

ما هم اکنون در جهانی داینامیک زندگی می کنیم که استفاده از مفاهیمی همانند iSCSI NAS, SAN یا virtual SANها بسیار رایج بوده و ایجاد امنیت برای کانکشن به volumeهای آنها نیز از اهمیت فوق العاده ای برخوردار است. روشهای متعددی برای امن کردن کانکشن به والیوم ها وجود دارد. در این مقاله به بررسی یکی از آنها تحت عنوان Challenge Handshake Authentication Protocol می پردازیم.

Challenge Handshake Authentication Protocol یا به اختصار CHAP ، یک نتورک لاگین پروتکل است که از یک مکانیزم چالشی-بازخوردی استفاده می کند. شما می توانید با استفاده از احراز هویت CHAP دسترسی iSCSI به والیوم ها و اسنپ شاتهای هاستها با یوزر و پسورد محدود کنید. استفاده از CHAP مدیریت کنترل دسترسی را تسهیل می کنید زیرا اعمال محدودیت را با استفاده از نامها و پسوردها انجام می دهد نه با استفاده از IP یا نامهای آغازین iSCSI .

پروتکل iSCSI از دو لول از CHAP پشتیبانی می کند: initiator authentication و target authentication .

Initiator authentication

(iSCSI initiator (host با استفاده از (iSCSI target (volume or snapshot احراز هویت می شود. زمانی که initiator اقدام به متصل شدن به یک target می کند (چه به صورت دستی یا خودکار)، یک یوزر و پسورد به target ارائه می کند. در بعضی از پیاده سازی ها به جای پسورد از secret استفاده می شود. target بررسی می کند که آیا یوزر و پسورد ارائه شده با رکورد موجود در کنترل دسترسی والیوم سازگاری دارد یا خیر.

Target authentication

هر iSCSI target معرفی شده توسط گروه به وسیله iSCSI initiator احراز هویت می شود. زمانیکه یک initiator اقدام به متصل شدن به یک target می کند، target اقدام به ارائه یک یوزر و پسورد به initiator می کند. Initiator یوزر و پسورد را با اطلاعات موجود خود مقایسه می کند. اگر یکی باشند، با توجه به الگوریتم hash استفاده شده، initiator می تواند به target متصل شود. در سمت گروه نیز، target authentication همیشه فعال است، هرچند هر زمان که لازم باشد می توانید نام اکانت و پسورد را تغییر دهید. پیکربندی iSCSI initiator مشخص می کند که آیا target authentication اعمال شده است یا خیر.

در محیط تست از یک جفت سرور Dell R630 استفاده شد. یکی با استفاده از VMWare ESXI 6.5 و دیگری با ویندوز سرور ۲۰۱۶ کانفیگ شدند. از StartWind Virtual SAN نیز به عنوان نمونه از virtual iSCSI storage استفاده شد.

در ادامه مقاله به ۳ بخش تقسیم می شود:

کانفیگ CHAP در ESXi

قبل از انجام تنظیمات CHAP در محیط  ESXi ابتدا باید کانفیگ سرورهای اضافه شده به کلاستر و تنظیمات iSCSI storage برای ایجاد کانکشن را انجام داده باشید.

برای کانفیگ CHAP در سرور ESXi مراحل زیر را دنبال کنید:

توجه: اگر پیش از این CHAP دوطرفه تنظیم شده باشد، یک bidirectional CHAP Name و Secret نیز باید تنظیم شود.

OK را بزنید.

کانفیگ CHAP در Hyper-V

آماده سازی محیط Hyper-V بسیار شبیه ESXi است، پیکربندی سرورها و iSCSI storage را انجام دهید.

برای کانفیگ CHAP مراحل زیر را انجام دهید:

OK را بزنید.

کانفیگ CHAP در یک HA Device در StarWind VSAN

قبل از کانفیگ کردن CHAP برای HA Device در StartWind، ابتدا باید فضای ذخیره سازی فیزیکی که قرار است برای StarWind Device استفاده شود را آماده کنید، StarWind VSAN را نصب کرده، HA Device را کانفیگ کرده و سپس مراحل زیر را دنبال کنید:

در صورت نیاز Mutual CHAP authentication را به جهت اطمینان از افزایش امنیت iSCSI انتخاب کنید.

Local Name و Local Secret را برای اتصال به کلاینت نود تنظیم کنید.

خروج از نسخه موبایل