iSCSI-Sicherheit

CHAP (Challenge Handshake Authentication-Protokoll) ist die Basissicherheitsstufe. CHAP ist ein Protokoll, mit dem der Peer einer Verbindung authentifiziert wird. Es basiert auf den Peers, die einen geheimen Schlüssel (ein Sicherheitsschlüssel ähnlich einem Kennwort) gemeinsam verwenden.

Es gibt zwei Arten der CHAP-Authentifizierung:

• One-way CHAP authentication. Bei dieser Sicherheitsstufe wird der Initiator nur durch das iSCSI-Ziel authentifiziert. Der geheime Schlüssel wird lediglich für das Ziel festgelegt. Alle Initiatoren, die auf das Ziel zugreifen möchten, müssen zum Starten einer Anmeldesitzung bei dem Ziel denselben geheimen Schlüssel verwenden.
  
  
• Mutual CHAP authentication. Bei dieser Sicherheitsstufe authentifizieren sich der Initiator und das iSCSI-Ziel gegenseitig. Für jedes Ziel und jeden Initiator im SAN wird ein separater geheimer Schlüssel festgelegt.
  
  

	Vorsicht
	Es sollte mindestens die unidirektionale CHAP-Authentifizierung zwischen iSCSI-Initiatoren und Zielen verwendet werden.

RADIUS (Remote Authentication Dial-In User Service) ist ein Standard für die Verwaltung der Benutzerauthentifizierung und Benutzerüberprüfung. Im Gegensatz zu CHAP erfolgt die Authentifizierung mit RADIUS nicht zwischen Peers, sondern zwischen einem RADIUS-Server und einem Client. Wenn ein Benutzer (ein iSCSI-Initiator) auf die Ressourcen eines Clients (ein iSCSI-Ziel) zugreifen möchte, sendet der Client eine Benutzerverbindungsanforderung an den RADIUS-Server. Der RADIUS-Server authentifiziert den Benutzer und gibt anschließend alle Konfigurationsdaten zurück, die der Client zur Bereitstellung des Diensts für den Benutzer benötigt. Die Authentifizierung von Transaktionen zwischen dem Client und dem RADIUS-Server erfolgt ebenfalls mithilfe eines gemeinsamen geheimen Schlüssels.

Wenn Sie diese Sicherheitsstufe verwenden möchten, muss in Ihrem Netzwerk ein RADIUS-Server ausgeführt werden, oder Sie müssen einen solchen Server bereitstellen.

IPsec (Internet Protocol Security) ist ein Protokoll, das die Authentifizierung und Datenverschlüsselung auf der IP-Paketebene erzwingt. IPsec kann zusammen mit der CHAP- oder RADIUS-Authentifizierung verwendet werden, um zusätzliche Sicherheit zu gewährleisten.

Wenn Sie IPsec aktivieren, werden alle bei Datenübertragungen gesendeten IP-Pakete verschlüsselt und authentifiziert. Für alle IP-Portale wird ein gemeinsamer Schlüssel festgelegt. Dies ermöglicht es allen Peers, sich gegenseitig zu authentifizieren und eine Paketverschlüsselung auszuhandeln. Weitere Informationen finden Sie im Thema zu IPsec (https://go.microsoft.com/fwlink/?linkid=93520, möglicherweise in englischer Sprache).