那些遇到过的问题

SMB 是否比 iSCSI 更安全地连接到 NAS?

haz*_*mat 7 iscsi ntfs veeam refs ransomware

最近,我们的一个客户接受了另一家(第三方)IT 审计公司的 IT 网络审计。结果通常很好,尽管他们指出我们在 Windows Server 上使用 iSCSI 客户端作为连接到 NAS 的方式,而不是在 NAS 上创建 SMB 共享。他们认为这是一个坏主意:

“[也] iSCSI 和勒索软件攻击存在安全风险,可以对 iSCSI 磁盘进行非法加密,导致数据无法读取。从安全角度来看,建议停用这种数据共享方法并采用共享方法。”

他们这是什么意思?它是否指的是 iSCSI 在比 SMB(应用程序)更低的 OSI 层(会话)上运行,并且 iSCSI 磁盘以与本地附加磁盘相同的方式呈现给应用程序层,因此更容易妥协?

如果是这样,那是正确的吗?

我不是安全取证专家,尽管我们的工作通常是取证性质的。我的理解是,勒索软件攻击给定 Win 计算机可访问的 SMB 共享上的数据的可能性与攻击 iSCSI 磁盘的可能性一样。

我的理解是正确的,还是我错过了什么?

问题的附加上下文

  1. CHAP 密码是在 iSCSI 服务器上设置的,所以我认为他们提出的观点与安装了 iSCSI 客户端的 Win Server 的妥协有关。

  2. 只连接了一个 iSCSI 客户端,并且采用了非常强大的“网络卫生”来确保此密码不会在任何时候输入到网络内外的任何其他服务器或机器中。

  3. 通常,我们倾向于坚持使用 iSCSI 使 NAS 磁盘可用于 Windows Server 我们发现,当 Windows 处理文件系统时,我们在 DACL 中的高级访问控制条目 (ACE) 方面没有任何问题。例如,过去 QNAP 的实施在 ACE 排序方面存在问题,这可能会出现问题。我们还发现了在子对象上设置 CONTAINER_INHERIT_ACE 的错误(与 QNAP 通信,但直到今天仍未解决)。这一点与这个问题并不严格相关,但为我们为什么更喜欢 iSCSI 提供了一些背景信息。

  4. 与我的上述观点相反,在这个特定客户的情况下,有问题的 iSCSI 附加磁盘使用 ReFS 进行格式化,因为它被用作 Veeam 备份存储。尽管在技术上没有要求,但出于性能原因,Veeam 建议使用 ReFS 而不是 NTFS,因此我们倾向于选择此选项。(这是一篇解释 ReFS 与 NTFS 备份的好文章。)这些收益只有在我们使用 iSCSI 时才有可能,如果我们将 NAS 移到 SMB,则无法实现。

  5. 我已经阅读了一些关于这个主题的内容,并没有找到任何支持证据表明 iSCSI 比通过网络共享连接更容易受到勒索软件的影响,但我仍然持开放态度。

Joh*_*ald 8

任何在线可写磁盘都可能被恶意软件或用户破坏。通过假设他们找不到文件共享来低估他们是错误的。

始终测试重要数据的最后一道防线,冷离线备份。在这种情况下,重要数据可能包括备份本身!考虑使备份存档无法更改的可能方法。可移动媒体(磁带)、具有仅用于备份的凭据的不可变云存储、将 NAS 专用于备份并且不连接任何其他东西、防火墙除备份软件端口外的所有内容、禁用文件共享。

另一个控制是允许列出软件,显着限制运行未知的东西。

您提供的上下文表明您已经考虑过这一点,说明您对协议的使用很好。考虑比这个问题更高的层次,并在回复中包括业务连续性计划中存在的保护措施。

  • 上次备份还原测试是什么时候,是否满足恢复点和恢复时间目标?
  • 有没有人证明冷备份不在线且易受攻击,例如通过红队演习?
  • 您上一次遇到勒索软件问题是什么时候,您采取了哪些措施来改进技术或流程控制?

bat*_*a09 7

在没有集群文件系统但有多个启动器的情况下使用 iSCSI 漏洞的问题不谈,我几乎找不到任何明确的原因,为什么文件共享协议在勒索软件方面比 iSCSI 更安全。您可以使用 CHAP 来加强身份验证,并使用 IPSec 来保护网络上的数据传输。以下是有关 iSCSI 原因的全面阅读:https : //www.starwindsoftware.com/blog/complete-an-infrastructure-project-for-your-organization-with-iscsi-san

否则,这更多是备份服务器整体安全性的问题,例如将其与主生产环境、域外以及具有单独帐户(不是域管理员)等分开。无论如何,如果您设法将勒索软件发送到备份服务器,那么如果您使用例如 SMB 共享作为备份存储库 ( https://helpcenter.veeam.com/docs/backup/vsphere/ smb_share.html?ver=100 ) 或 iSCSI 存储。

Bar*_*958 5

是的,与块(iSCSI、FC、FCoE 等)相比,任何文件级网络数据访问协议都更安全,因为无法使用“网络重定向器”损坏卷,这对于配置不当的集群来说非常容易或任何本地文件系统(EXT3/4、ReFS、XFS 等)。整个故事都很好地涵盖在这里:

https://forums.starwindsoftware.com/viewtopic.php?f=5&t=1392

  • 如果攻击者偶尔会破坏集群文件系统配置(这很容易),他的加密实际上会以不可恢复的方式破坏数据。 (3认同)
  • https://en.m.wikipedia.org/wiki/Network_redirector (2认同)

归档时间:

查看次数:

1422 次

最近记录:

5 年,4 月 前
相关归档
崩溃的硬盘数据检索 10
NTFS:如何找到文件占用的扇区? 8
无法发现 iSCSI 目标 8
媒体服务器的最佳文件系统? 5
System.Security.AccessControl.PropagationFlags Powershell 等效 GUI 使用? 4
iSCSI 存储问题 2
Veeam 备份 iSCSI 驱动器 2
如何在 Windows Server 2012 中激活重复数据删除? 1
EFI 与 MBR - 在 8TB 上安装 Windows Server 2008 R2 或 2012 1
多个网络是否需要VLAN分离? 1
难疑归档
权限被拒绝(公钥)。从本地 Ubuntu 到 Amazon EC2 服务器的 SSH 227
如何在 bash 中创建 UUID? 185
你如何回答yum自动安装的yes 158
单播、任播、广播和多播流量之间有什么区别? 116
OpenSSH:internal-sftp 和 sftp-server 之间的区别 115
Windows 服务器多久需要重启一次? 79
在 Ubuntu 上自动安装 postfix 74
向现有 SSH 公钥添加注释 69
Ubuntu 在登录时显示“有 1 个僵尸进程” 58
如何实时监控Windows日志文件? 58