امن کردن اطلاعات با استفاده از Challenge Handshake Authentication Protocol
ما هم اکنون در جهانی داینامیک زندگی می کنیم که استفاده از مفاهیمی همانند iSCSI NAS, SAN یا virtual SANها بسیار رایج بوده و ایجاد امنیت برای کانکشن به volumeهای آنها نیز از اهمیت فوق العاده ای برخوردار است. روشهای متعددی برای امن کردن کانکشن به والیوم ها وجود دارد. در این مقاله به بررسی یکی از آنها تحت عنوان Challenge Handshake Authentication Protocol می پردازیم.
Challenge Handshake Authentication Protocol یا به اختصار CHAP ، یک نتورک لاگین پروتکل است که از یک مکانیزم چالشی-بازخوردی استفاده می کند. شما می توانید با استفاده از احراز هویت CHAP دسترسی iSCSI به والیوم ها و اسنپ شاتهای هاستها با یوزر و پسورد محدود کنید. استفاده از CHAP مدیریت کنترل دسترسی را تسهیل می کنید زیرا اعمال محدودیت را با استفاده از نامها و پسوردها انجام می دهد نه با استفاده از IP یا نامهای آغازین iSCSI .
پروتکل iSCSI از دو لول از CHAP پشتیبانی می کند: initiator authentication و target authentication .
Initiator authentication
(iSCSI initiator (host با استفاده از (iSCSI target (volume or snapshot احراز هویت می شود. زمانی که initiator اقدام به متصل شدن به یک target می کند (چه به صورت دستی یا خودکار)، یک یوزر و پسورد به target ارائه می کند. در بعضی از پیاده سازی ها به جای پسورد از secret استفاده می شود. target بررسی می کند که آیا یوزر و پسورد ارائه شده با رکورد موجود در کنترل دسترسی والیوم سازگاری دارد یا خیر.
Target authentication
هر iSCSI target معرفی شده توسط گروه به وسیله iSCSI initiator احراز هویت می شود. زمانیکه یک initiator اقدام به متصل شدن به یک target می کند، target اقدام به ارائه یک یوزر و پسورد به initiator می کند. Initiator یوزر و پسورد را با اطلاعات موجود خود مقایسه می کند. اگر یکی باشند، با توجه به الگوریتم hash استفاده شده، initiator می تواند به target متصل شود. در سمت گروه نیز، target authentication همیشه فعال است، هرچند هر زمان که لازم باشد می توانید نام اکانت و پسورد را تغییر دهید. پیکربندی iSCSI initiator مشخص می کند که آیا target authentication اعمال شده است یا خیر.
در محیط تست از یک جفت سرور Dell R630 استفاده شد. یکی با استفاده از VMWare ESXI 6.5 و دیگری با ویندوز سرور ۲۰۱۶ کانفیگ شدند. از StartWind Virtual SAN نیز به عنوان نمونه از virtual iSCSI storage استفاده شد.
در ادامه مقاله به ۳ بخش تقسیم می شود:
- کانفیگ CHAP در ESXi
- کانفیگ CHAP در Hyper-V
- کانفیگ CHAP در StartWind VSAN
کانفیگ CHAP در ESXi
قبل از انجام تنظیمات CHAP در محیط ESXi ابتدا باید کانفیگ سرورهای اضافه شده به کلاستر و تنظیمات iSCSI storage برای ایجاد کانکشن را انجام داده باشید.
برای کانفیگ CHAP در سرور ESXi مراحل زیر را دنبال کنید:
- vSphere Client را اجرا کرده و سرور ESXI مد نظر را انتخاب کنید.
- به تب Configuration وارد شده و Storage Adapters در قسمت Storage را باز کنید.
- یک storage adapter موجود در لیست iSCSI Software Adapter را انتخاب کرده و به Properties رفته و Edit Authentication را انتخاب کنید.
- Unidirectional CHAP را انتخاب کنید.
- CHAP Name و Secret را مشخص کنید.
توجه: اگر پیش از این CHAP دوطرفه تنظیم شده باشد، یک bidirectional CHAP Name و Secret نیز باید تنظیم شود.
OK را بزنید.
کانفیگ CHAP در Hyper-V
آماده سازی محیط Hyper-V بسیار شبیه ESXi است، پیکربندی سرورها و iSCSI storage را انجام دهید.
برای کانفیگ CHAP مراحل زیر را انجام دهید:
- iSCSI initiator را اجرا کنید: Start>Administrative Tools>iSCSI Initiator.
- Target مدنظر را انتخاب کرده و connect را بزنید.
- Multi-path را فعال کرده و Advanced را باز کنید.
- Enable CHAP log on را انتخاب کرده Name و Target secret را مشخص کنید.
OK را بزنید.
کانفیگ CHAP در یک HA Device در StarWind VSAN
قبل از کانفیگ کردن CHAP برای HA Device در StartWind، ابتدا باید فضای ذخیره سازی فیزیکی که قرار است برای StarWind Device استفاده شود را آماده کنید، StarWind VSAN را نصب کرده، HA Device را کانفیگ کرده و سپس مراحل زیر را دنبال کنید:
- StarWind Management Console را اجرا کرده و اولین نود StarWind HA partner را متصل کنید.
- بر HA Device واقع در the CHAP Permission کلیک راست کرده و Add permission را کلیک کنید.
- Authentication Type را انتخاب کنید.
- مقادیر device value را مشخص کنید: CHAP name ، local secret.
در صورت نیاز Mutual CHAP authentication را به جهت اطمینان از افزایش امنیت iSCSI انتخاب کنید.
- به دومین نود HA partner متصل شوید.
- بر HA device کلیک راست کنید و Change Partner Authentication Settings را باز کنید.
- CHAP را به عنوان یک روش احراز هویت انتخاب کرده و Local Name و Secret را برای سرور اول تنظیم کنید.
Local Name و Local Secret را برای اتصال به کلاینت نود تنظیم کنید.