Sécurité d'un SAN

Sécurité d'un SAN - Stockage/Sauvegarde - Windows & Software

Marsh Posté le 23-01-2006 à 14:41:25    

Voila, je suis en stage en entreprise, je bosse sur un projet de SAN mais un soucis de sécurité me tracasse : mon SAN serait relier à des serveurs grace à une interface FC, le soucis étant qu'ils s'agit de serveurs présents autant sur le réseau que sur la DMZ : ma peur est donc que des flux arrivant par la DMZ puisse infiltrer mon SAN puis resortir sur mon réseau pleinement sécurisé...  
Comment se passe ce coté sécuritaire d'un SAN, est-ce que dans son fonctionnement même, cette éventualité n'est pas possible ???
Si vous avez des témoignages ou des expériences sur le sujet...merci

Reply

Marsh Posté le 23-01-2006 à 14:41:25   

Reply

Marsh Posté le 23-01-2006 à 15:27:21    

up

Reply

Marsh Posté le 23-01-2006 à 15:50:48    

C'est quand même tres étrange de relier un SAN sur une DMZ.

Reply

Marsh Posté le 23-01-2006 à 16:00:55    

c'est du au fait qu'il faille sauvegarder les données de l'intranet, disponible également de l'extérieur, donc situé en DMZ...

Reply

Marsh Posté le 23-01-2006 à 16:08:23    

le plus sécurisé serait quand même de mettre une sauvegardé autonome sur la dmz, et plus de communication avec ton san.

Reply

Marsh Posté le 23-01-2006 à 16:09:11    

si sur ton switch SAN, tu définis ton zoning correctement, il ne devrait pas y avoir de problèmes.
Après, il faut veiller aussi à pas se planter dans l'attribution des volumes aux serveurs.
Mais si ta config est bonne, un attaquant qui prend le controle d'une machine ne peut pas accéder à d'autres volumes.

Reply

Marsh Posté le 23-01-2006 à 16:15:55    

tu veux parler d'un VSAN ou simplement d'un paramètrage sur les switch ???

Reply

Marsh Posté le 23-01-2006 à 16:56:32    

non, sans forcement aller jusqu'à un vsan.
Tu défini le zoning sur le switch, et c'est suffisant.
Apres, il faut pas se planter dans la conf lors de l'attribution du volume.
Une machine ne peux voir que les volumes qui lui sont associés, et c'est pas elle qui gere l'association, c'est le 'disque'

Reply

Marsh Posté le 23-01-2006 à 17:42:03    

MarmoteESC a écrit :

Voila, je suis en stage en entreprise, je bosse sur un projet de SAN mais un soucis de sécurité me tracasse : mon SAN serait relier à des serveurs grace à une interface FC, le soucis étant qu'ils s'agit de serveurs présents autant sur le réseau que sur la DMZ : ma peur est donc que des flux arrivant par la DMZ puisse infiltrer mon SAN puis resortir sur mon réseau pleinement sécurisé...  
Comment se passe ce coté sécuritaire d'un SAN, est-ce que dans son fonctionnement même, cette éventualité n'est pas possible ???
Si vous avez des témoignages ou des expériences sur le sujet...merci


 
Euh... quel est le risque ? la dmz est faite au niveau reseau nan ? le SAN c'est du SCSI sur FC je vois pas bien comment un flux reseau peut etre transmis sur du SCSI ?!

Reply

Marsh Posté le 24-01-2006 à 08:37:57    

en fait ce qui m'interrogais, c'est le fait que les commandes iSCSI (SCSI sur IP) sont donc encapsulés sur IP, donc si une attaque vise un autre éléments du réseau, passant par la DMZ, elle atteindra son but étant donné que les paquets ne seront pas décapsulés jusqu'au iSCSI non ???  
 

Citation :

Euh... quel est le risque ? la dmz est faite au niveau reseau nan ? le SAN c'est du SCSI sur FC je vois pas bien comment un flux reseau peut etre transmis sur du SCSI ?!


 
Oui mais la DMZ bénéficie de règles moins strictes auniveau d'un firewall, c'est d'ailleurs pour ça qu'il est logiquement écarté du réseau sécurisé, raison pour laquelle je voudrais évité le transit indirect entre ces 2 ( à travers la SAN...)
Concrètement, je me demande comment évolue une trame pirate lorsqu'elle se trouve face à un SAN... si les paquets sont désencapsulés jusqu'en iSCSI automatiquement, il n'y a aucun risque en effet, mais avant d'arriver à cela, il y a la couche IP, et peut être se voit-elle "redirigée" vers sa destination :S


Message édité par MarmoteESC le 24-01-2006 à 08:40:29
Reply

Marsh Posté le 24-01-2006 à 08:37:57   

Reply

Marsh Posté le 24-01-2006 à 09:32:53    

revise le SAN ...

Reply

Marsh Posté le 24-01-2006 à 09:43:52    

cad ???qu'est ce qui va pas dans mon résonnement ???

Reply

Marsh Posté le 24-01-2006 à 09:48:55    

en fait c'est simplement une histoire de config d'un point de vue destination sur le disque comme tu disais ???  
En fait je cherchais aussi des infos sur le protocole FC, car malgré des recherches sur le net, je n'ai pas trouvé comment fonctionne ce protocole  (adressage, vérification...)...

Reply

Marsh Posté le 24-01-2006 à 11:01:03    

up

Reply

Marsh Posté le 24-01-2006 à 11:19:45    

FC != iSCSI ...
je connais pas torp iSCSI, mais si c'est comme le FC (et ca doit etre le cas) c'est un réseau totalement indépendant du réseau TCP/IP.
Il ne faut pas confondre un SAN et un NAS ...

Reply

Marsh Posté le 24-01-2006 à 11:29:39    

ah oui ça j'ai compris, je connais la différence entre une NAS et un SAN !!!
et même si FC != iSCSI, comment fonctionne ces protocoles en détails, car le principe du iSCSI est de stocker les commandes SCSI sur l'IP, donc dans le principe de désencapsulation, ton système lit en premier ta couche 3 (IP) que tes commandes SCSI situé plus haut... car même si c'est un réseau bien distinct du LAN, il existe bien des protocole de "routage" pour diriger les infos...je sais que concernant FC, apparamment toute les instructions sont descendus sur la trame, ceci afin d'éviter les désencapsulations et donc de laisser davantage de ressources systèmes pour les perf de stockage...

Reply

Marsh Posté le 24-01-2006 à 11:49:16    

pour l'iSCSI, je sais pas, mais pour le FC, les cartes et les disques sont configurés en zones. Des disques et des cartes sur des zones différentes ne se voient pas.
Maintenant, si t'as une baie de stockage enorme, elle sera dans toutes les zone. Et la, c'est au niveau de la baie que tu fais les restrictions, en faisant une association carte/volume que l'host ne PEUT PAS modifier

Reply

Marsh Posté le 24-01-2006 à 11:57:15    

Merci pour cette infos, donc je peux sauvegarder mes serveurs de mon LAN et de ma DMZ dans le même SAN, de manière sécurisé, si je config bien mon switch en gros...
par contre je me demande comment ça fonctionne en FC...  
Et quand tu parlais de volumes, je suppose que tu parlais de volume logique et non physique ? à moins que ça puisse se paramètrer dans les 2 cas ???

Reply

Marsh Posté le 24-01-2006 à 12:43:48    

cest du iSCSI ou un SAN sur FC que tu as ?
 
marque / model de ta baie de disque ?


Message édité par brainbugs le 24-01-2006 à 12:53:26
Reply

Marsh Posté le 24-01-2006 à 12:52:48    

Sinon, si c'est bien du iSCSI sur Ethernet (donc pas de SAN quoique  :pt1cable:  )  par defaut le port utilisé est 3260.
Et dans la conf de tes iniateurs et/ou carte tu as de toute facon un LAN ip de configuré. Donc à toi eventuellement, de definir une pseudo DMZ-NAS-SAN-iscsi ne permettant l'acces qu'au port 3260 sur ton plan IP.


Message édité par brainbugs le 24-01-2006 à 12:53:07
Reply

Marsh Posté le 24-01-2006 à 13:27:13    

et bien je n'ai pas de référence à te donne car ce n'est qu'un audit pour l'instant, sinon j'aurais chercher directement sur l'interface, je suis pas du genre à demander des trucs qui peuvent trouver une réponse sur le 3ème lien de google.fr t'inquiète...
Pour le iSCSI, justement si il peut intervenir dans un SAN
http://www.computerworld.com/hardw [...] 62,00.html
...c'est la le truc bizarre...il tourne sur IP, dc sur TCP/IP, donc un adressage et c'est pour ça que ça me laissait perplexe sur cette histoire de sécurité...
Ta solution me parait plausible je pense...  
PS : bien que iSCSI tourne sur IP, il existe des équipements spécifiques également, visant à améliorer les perf... mais cela fait parti des technologies SAN, sinon pourquoi aurait-on inventé un protocole qui ne serait router que sur une LAN normal, IP existe déjà, mais iSCSI est tout de même optimisé...

Message cité 1 fois
Message édité par MarmoteESC le 24-01-2006 à 13:59:37
Reply

Marsh Posté le 24-01-2006 à 13:33:26    

En plus les restrictions de port ça se fait sur un firewall, et le soucis justement c'est qu'entre ma DMZ et mon SAN, il n'y aurait pas le passage dans un firewall....

Reply

Marsh Posté le 24-01-2006 à 13:43:28    

si vous ne voyez pas trop ce que je veux dire, voici ce qui me laisse perplexe...
 
http://itc.ua/img/ko/2002/26/iscsi_pic_4.gif
 
Sans firewall, entre ma SAN et ma DMZ, un intrus pourra se faufiler vers un IP qui ne se situe pas sur la SAN, provenant de la DMZ où les règles sont moins strictes, sans se soucier des paquets iSCSI

Reply

Marsh Posté le 24-01-2006 à 14:37:45    

up

Reply

Marsh Posté le 24-01-2006 à 15:59:15    

up

Reply

Marsh Posté le 24-01-2006 à 16:19:04    

MarmoteESC a écrit :

et bien je n'ai pas de référence à te donne car ce n'est qu'un audit pour l'instant, sinon j'aurais chercher directement sur l'interface, je suis pas du genre à demander des trucs qui peuvent trouver une réponse sur le 3ème lien de google.fr t'inquiète...
Pour le iSCSI, justement si il peut intervenir dans un SAN
http://www.computerworld.com/hardw [...] 62,00.html
...c'est la le truc bizarre...il tourne sur IP, dc sur TCP/IP, donc un adressage et c'est pour ça que ça me laissait perplexe sur cette histoire de sécurité...
Ta solution me parait plausible je pense...  
PS : bien que iSCSI tourne sur IP, il existe des équipements spécifiques également, visant à améliorer les perf... mais cela fait parti des technologies SAN, sinon pourquoi aurait-on inventé un protocole qui ne serait router que sur une LAN normal, IP existe déjà, mais iSCSI est tout de même optimisé...


 
 
quel est ta crainte ? le snif ? le DoF ?

Reply

Marsh Posté le 25-01-2006 à 08:34:34    

pas forcément, ma crainte est tout simplement l'intrusion, le but étant de sécurisé au maximum un réseau d'entreprise...

Reply

Marsh Posté le 25-01-2006 à 10:39:11    

up

Reply

Marsh Posté le 25-01-2006 à 10:47:52    

Citation :

si sur ton switch SAN, tu définis ton zoning correctement, il ne devrait pas y avoir de problèmes.
Après, il faut veiller aussi à pas se planter dans l'attribution des volumes aux serveurs.
Mais si ta config est bonne, un attaquant qui prend le controle d'une machine ne peut pas accéder à d'autres volumes.


 
En fait si ce type d'équipement existe pour du iSCSI ce serait parfait, mais il en existe peu je crois, étant donné qu'à la base le iSCSI tourne surde l'équipements ethernet standard...
Connaissez vous des références possibles

Reply

Marsh Posté le 25-01-2006 à 15:32:08    

up

Reply

Marsh Posté le 25-01-2006 à 18:40:11    

MarmoteESC a écrit :

pas forcément, ma crainte est tout simplement l'intrusion, le but étant de sécurisé au maximum un réseau d'entreprise...


 
 
Enfin.. decrypter une trame IP pour sortir du scsi...  :heink:

Reply

Marsh Posté le 25-01-2006 à 23:17:00    

si tu veux vraiment sécurisé a fond ton san, il n'y as que la solution que je te proposait au début, ne pas faire de sauvegarde de ce qu'il y a dans la dmz ... mais avectoutes les solutions proposés(qui répondent à ton chaier des charges pas comme la mienne), je me demande, tu serais pas un peu parano ?

Reply

Marsh Posté le 26-01-2006 à 08:33:46    

Etant donné les couts engendrés (FC possible, switcj, serveur), je voulais tout centraliser, même les sauvegardes de la DMZ, mais au pire je vais créer un NAS sur la DMZ et tout cela relier sur bande (SAN + NAS ) car le projet veut également sauvegarder sur support lent par derrière...
Je pense pas être parano, c'est simplement que j'ai en charge un réseau avec 2000 users + intranet + pls BDD, donc il vaut mieux faire quelque chose de sécurisé au maximum, c'est une solution professionnelle que l'on me demande, il est judicieux de prévoir tous les cas de figure possible...

Reply

Marsh Posté le 26-01-2006 à 10:21:06    

je sais que c'est pour une solution professionel. on est en train d'étudire la mise en place d'un serveur applicatif dans notre dmz, et nous on part plus dans l'optique de le désolidarisé de la sauvegarde centralisé ( donc avoir une sauvegarde autonome) pour être sur qu'il y ai le moins de communication entre notre dmz et le lan

Reply

Marsh Posté le 26-01-2006 à 11:29:45    

MarmoteESC a écrit :

Etant donné les couts engendrés (FC possible, switcj, serveur), je voulais tout centraliser, même les sauvegardes de la DMZ, mais au pire je vais créer un NAS sur la DMZ et tout cela relier sur bande (SAN + NAS ) car le projet veut également sauvegarder sur support lent par derrière...
Je pense pas être parano, c'est simplement que j'ai en charge un réseau avec 2000 users + intranet + pls BDD, donc il vaut mieux faire quelque chose de sécurisé au maximum, c'est une solution professionnelle que l'on me demande, il est judicieux de prévoir tous les cas de figure possible...


 
Audit/ conseil/ professionnlisme != forum.
 
 

Reply

Marsh Posté le 26-01-2006 à 11:53:54    

if conseil != need,
Audit/ conseil/ professionnlisme != forum
Else fonction(asking)........
 
 
 


Message édité par MarmoteESC le 26-01-2006 à 11:57:49
Reply

Marsh Posté le 26-01-2006 à 11:57:03    

le forum de dévellopement n'est pas à cette adresse ! ;)

Reply

Marsh Posté le 26-01-2006 à 13:15:19    

dsl, simplement certaines réactions me dépassent sur ce forum !!!

Reply

Marsh Posté le 26-01-2006 à 16:15:33    

MarmoteESC a écrit :

dsl, simplement certaines réactions me dépassent sur ce forum !!!


 
Qu'st ce qui te depasse ? tu demandes des conseils pour monter une solution hyper hi tech sur un forum. En plus tu me parais deja un peu à la ramasse concernant ces techno, et en plus un poil parano.
 
Donc je te conseille de t'attacher les services d'une boite spécialisée afin de determiner tes reels besoins, et te rediger un cahier des charges precis.  
 
Ensuite à avec ce CCTP tu pourras lancer une consultation et obtenir des reponses concretes et argumentées.
 
rien de plus.

Reply

Marsh Posté le 26-01-2006 à 16:58:25    

Citation :

forum n. m.  Endroit virtuel sur un réseau où plusieurs utilisateurs peuvent converser, et dans lequel tout un chacun peut déposer ses avis et informations, plus ou moins librement.


 
Dans la mesure où mes recherches s'estompent, je trouve judicieux de poser mes interrogations ici, si jamais des admin ont déjà eu à faire à ce type de systèmes, et le fait que ce soit hi tech n'a rien à voir... t'as jamais vu des proprio de porsche sur des forums auto non ?... et ben c'est pareil !!!
Mais bon, j'ai déjà recueilli pas mal d'infos grace à ce topic, merci à tout ceux qui ont laissé des post valables........


Message édité par MarmoteESC le 26-01-2006 à 16:59:05
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed