Verkkotallennuksen tietoturva

Panu Hotti 2005

Johdanto

Verkkotalletuksella tarkoitetaan järjestelmää, jossa tallennusmedia, yleensä kiintolevy, ei ole fyysisesti suoraan yhteydessä sitä käyttävään tietokoneeseen, vaan tallennus suoritetaan tietoverkon yli. Tämä aiheuttaa luonnollisesti omat tietoturvariskinsä.

Tässä työssä vertaillaan tietoturvaominaisuuksia erilaisissa etälevynkäyttöjärjestelmissä, jotka yleensä jaetaan toteutusfilosofian perusteella kahteen ryhmään, NAS- ja SAN-järjestelmiin. Käsiteltyjä teknologioita ovat NFS, CIFS/SMB, Fibre Channel, AoE ja iSCSI. Eri teknologiat kuvataan yleisellä tasolla menemättä teknisiin yksityiskohtiin, paitsi kun se on tietoturvallisuusnäkökulmasta välttämätöntä. Järjestelmiä vertaillaan niiden tietoturvallisuuden ja sovellusalueiden suhteen. Mikäli jonkin järjestelmän tietoturvaa on mahdollista parantaa järjestelmän ulkopuolisilla järjestelyillä, tähän otetaan myös kantaa.

Termejä ja lyhenteitä

DAS
Direct Attached Storage: Suoraan tietokoneeseen kytketty tietovarasto, esimerkiksi kiintolevy.
SCSI
Small Computer System Interface: Eräs PC-rinnakkaisväylästandardi oheislaitteiden, kuten kiintolevyjen kytkemiseen tietokoneeseen.
ATA
Advanced Technology Attachment: Eräs PC-väylästandardi. Jotkut varhaiset versiot ATA:sta tunnetaan myös nimella IDE (Integrated Drive Electronics). Standardin sarjaväyläversion (SATA, Serial ATA) julkaisun jälkeen rinnakkaisväyläversiot on uudelleennimetty nimellä P-ATA (Parallel ATA).
CHAP
Challenge Handshake Authentication Protocol: RFC 1994:ssä kuvattu autentikointimenetelmä. Esimerkiksi Internet-operaattori voi käyttää CHAP:ia asiakkaan tunnistamiseen yhteyden muodostamisen jälkeen. "Aitous" varmistetaan kolmitiekättelyllä satunnaisin väliajoin myös yhteyden aikana.

Käytettyjä verkkotalletusjärjestelmiä

NAS

NAS (Network Attached Storage) tarkoittaa yksinkertaisesti verkon yli jaettua tietovarastoa. Käytännössä tämä tarkoittaa, että on olemassa verkkoon kytketty tietokone, joka ajaa NAS-serveriä, ja johon asiakaskoneet ottavat yhteyttä client-ohjelmien avulla. Useinmiten NAS-client toimii käyttöjärjestelmän tasolla ja jaettu levytila näyttäytyy käyttäjille ja sovelluksille hakemistona tai loogisena levyasemana. NAS-protokollat toimivat tiedostopohjaisesti, ts. asiakkaan ja palvelimen välillä siirretään vain kokonaisia tiedostoja.

Yleisiä NAS-protokollia ovat mm. NFS ja CIFS/SMB(Samba). (1),(W1)
  • NFS? Tämä ja seuraavan alaluvun linkitetyt sivut valitettavasti puuttuvat tästä kopioidusta versiosta.
  • CIFS ja SMB?
Näitä kahta on tarkasteltu myöhemmässä tutkielmassa (2008).

SAN

SAN (Storage Area Network) on ainostaan etätallennuskäyttöön pyhitetty lähiverkko. SAN-protokollat toimivat blokkipohjaisesti, eli SAN-levyä käsitellään asiakkaan näkökulmasta kuten DAS-levyäkin; Käyttöjärjestelmä siirtää levylle ja levyltä yksittäisiä määrämittäisia bittilohkoja. SAN-järjestelmät evät ole levynjakojärjestelmiä vaan nimenomaan etätallennusjärjestelmiä; SAN-protokolla ei ota kantaa siihen, kuinka moni käyttäjä kerrallaan käsittelee mitäkin tiedostoa. Tämä on tiedostojärjestelmän tehtävä. Useimmissa SAN-järjestelmissä kullakin asiakkaalla onkin ikioma levy tai levynosa palvelinkoneella.

Oman tallennusverkon käytöllä on useita etuja lähiverkkoratkaisuihin verrattuna. Tällöin protokollat ja käytetyt laitteet voidaan suunnitella ainoastaan etätallennusta ajatellen. Lisäksi voidaan olla varmoja siitä, että muu verkkoliikenne ei pääse viemään kaistaa tai sotkemaan muuten tallennusverkon toimintaa. Näin ollen SAN-järjestelmät ovat varsin suorituskykyisiä ja luotettavia. Toisaalta SAN-järjestelmät ovat myös NAS-ratkaisuja merkittävästi kalliimpia.

SAN-protokollia ovat esimerkiksi valokuituprotokolla Fibre Channel sekä Ethernet-pohjainen AOE ja TCP/IP:tä käyttävä iSCSI. (1),(W2)
  • Fibre Channel?
  • ATA Over Ethernet?
  • iSCSI?

Järjestelmien vertailua

das-nas-san.jpg
Eroavaisuudet: DAS, NAS ja SAN (9)
Suurin periaatteellinen ero SAN- ja NAS-järjestelmien välillä tietoturvankin kannalta on se, että SAN on tehty toimimaan nimenomaan tarkoitukseen pyhitetyssä lähiverkossa, kun taas NAS ei periaatteessa välitä alla olevasta verkkoarkkitehtuurista. Näin ollen SAN-protokollissa on hyvin vähän sisäänrakennettuja tietoturvaominaisuuksia. Usein ainut tällainen on yksinkertainen (ja hyvin heikosti suojattu) käyttäjän autentikointi. Koska tallennusverkkoon pääsee ainoastaan siihen kytketyiltä asiakaskoneilta, riittää sen turvaamiseen ulkopuolisia hyökkäyksiä vastaan asiakaskoneiden suojaaminen. Tallennusverkon sisäinen turvallisuus toteutetaan yleensä SAN-protokollaa ylemmän tason ohjelmilla, kuten Fibre Channel -protokollan optionaaliset autentikointiprotokollat FCAP (Fibre Channel Authentication Protocol) ja FCPAP (Fibre Channel Password Authentication Protocol). Nykyset NAS-protokollat poikkeavat tässä suhteessa SAN-järjestelmistä ja sisältävät tyypillisesti sisäänrakennetun vahvan autentikointiprotokollan. Yhteistä kaikille tässä käsitellylle etätallennusprotokollille on, että varsinaista siirrettävää dataa ei salata. Tämä on toisaalta ymmärrettävää, johtuen siirrettävän datan suuresta määrästä ja salauksen aiheuttamasta ylimääräisestä prosessorikuormasta, mutta altistaa toisaalta järjestelmän salakuuntelulle.

Yksi turvallisuuden osa-alue, jossa SAN-järjestelmät ovat lähes yksiselitteisesti NAS-järjestelmiä parempia, on luotettavuus. Muun verkon toimintahäiriöt eivät vaikuta tallennusjärjestelmän toimintaan, koska se toimii omassa verkossaan. Lisäksi esimerkiksi laitteistohäiriöihin voidaan varautua jo verkkoa rakennettaessa. Esimerkiksi Fibre Channel -verkot ovat tyypillisesti kahdennettuja, ts. kaikkia verkkokomponentteja on kaksi rinnakkain, joten yhden vaurioituminen ei vaikuta verkon toimintaan. Tämä tosin luonnollisesti nostaa tallennusverkon hintaa. Uudet SAN-protokollat, esitellyistä iSCSI ja AoE, tosin eivät välttämättä vaadi omaa dedikoitua verkkoaan, vaan ne voidaan rakentaa olemassa olevaan lähiverkkoon. Tällöin ei tietenkään saavuteta erillisen tallennusverkon etuja, mutta toisaalta kustannukset jäävät murto-osaan erillisen tallennusverkon käytöstä.

Järjestelmävalinta tulisikin tehdä aina tapauskohtaisesti, sillä eräs toteutustapa sopii hyvin yhteen kohteeseen, mutta toisaalla paras ratkaisu voikin olla jokin muu. Esimerkiksi Fibre Channel -järjestelmät ovat paras ratkaisu toimintakriittisiin kohteisiin luotettavuuden ja kehittyneen diagnostiikan ansiosta, mutta toisaalta FC:n loppuhinta on hyvin korkea. Rahalla saa laatua ja luotettavuutta, mutta yleensä ei ole järkevää maksaa ominaisuuksista, joita ei tarvitse tai edes tule tarvitsemaan. Siispä käyttötarpeet tulee pohtia etukäteen ja tehdä valinta tarpeiden ja kustannusten kompromissina. Hankintahinnassa säästetyt rahat voi joutua myöhemmin käyttämään ylläpitoon ja korjailuun moninkertaisina, mikäli säästöt on tehty väärässä paikassa. (8)

Verkkotalletuksen tietoturvan parantaminen

Dedikoidussa SAN-verkossa tärkeimmässä asemassa on asiakaskoneiden suojaaminen. Mikäli asiakaskoneiden tietoturva on kunnossa, koko verkko on turvassa ulkopuolisilta hyökkäyksiltä. Verkon sisäiselle turvallisuudelle olleellisinta on luotettava pääsynvalvonta. SAN-protokollat eivät oletuksena tarjoa mitenkään kovin vahvoja autentikointitapoja, mutta optionaalisia ratkaisuja, joko protokollaan sisäänrakennettuina, sen päällä tai käyttöjärjestelmän tasossa, on olemassa lukuisia. Näistä tulee valita kuhunkin käyttökohteeseen, protokollaan ja toteutukseen sopivat.

Kuten mainittua, esitellyt protokollat eivät kryptaa siirtämäänsä dataa, joten avoimessa internetissä tai epäluotettavissa lähiverkoissa saattaa olla syytä suojata etätallennusyhteys joko kryptaamalla siirrettävät tiedostot tai suojaamalla itse tiedonsiirto esimerkiksi IPsecin tai SSH-tunneloinnin avulla.

Lähteet

Wikipedia, opiskelijan ylin ystävä

-- Main.TomiSalmi - 18 Sep 2009
Topic attachments
I Attachment Action Size Date Who Comment
das-nas-san.jpgjpg das-nas-san.jpg manage 27.7 K 15 Nov 2009 - 18:19 UnknownUser  
Print version |  PDF  | History: r8 < r7 < r6 < r5 | 
Topic revision: r8 - 31 Oct 2012 - 10:39:35 - JukkaKoskinen
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback