Abbildungsverzeichnis... IV. Tabellenverzeichnis... VII. Abkürzungsverzeichnis... IX. 1 Einleitung und Übersicht Motivation...

Transkript

1 Inhalt Inhalt... I Abbildungsverzeichnis... IV Tabellenverzeichnis... VII Abkürzungsverzeichnis... IX 1 Einleitung und Übersicht Motivation Zielsetzung Kapitelübersicht Abgrenzung der Aufgabenstellung Grundlagen Speichernetze SAN-Storage Aufbau Komponenten IO-Pfad des Fibre Channel Datenübertragung Link und Fabric Services [Spe2008] Segmentierung / Zugriffsteuerung NAS-Storage Aufbau [BSI2014] Komponenten IO-Pfad des NAS Datenübertragung [Int22012] Helferprotokolle und Helferdienste Segmentierung / Zugriffssteuerung Speicherarchitekturen in DMZen [VMWa2014] Referenzarchitektur 0 - Typische DMZ Referenzarchitektur 1 - DMZ mit separaten Backend-Switchen und Storage Referenzarchitektur 2 - DMZ mit separaten Backend-Switchen und zentralem Storage Referenzarchitektur 3 - DMZ mit zentralen Backend-Switchen und Storage.. 34 Inhalt I

2 4 Identifikation der Gefährdungen und Risiken und Definition der Gegenmaßnahmen Gefährdungen für das Zielobjekt Server Virtual Machine Escape Überbuchung von Speicherressourcen Fehler im Bandbreitenmanagement Unautorisiertes Mitlesen oder Stören des Virtualisierungsnetzes durch unzureichende Trennung von Mandanten und internen Netzen Gefährdungen für das Zielobjekt Ethernet-Switch MAC Flooding MAC Spoofing Spanning Tree Angriffe IP Session Hijacking Double-Encapsulated 802.1Q / Nested VLAN Attack ARP Spoofing Gefährdungen für das Zielobjekt FC-Switch FC Session Hijacking Name Server Pollution Reconfigure Fabric Attacke E-Port Replication Gefährdungen für das Zielobjekt Speicher im Ethernet Ausnutzen von "offenen" 802.1Q Trunks IP Address Spoofing Gefährdungen für das Zielobjekt Speicher im Fibre Channel WWN-Spoofing Risikobewertung der einzelnen Gefährdungen Risikobewertung für das Zielobjekt Server Virtual Machine Escape Überbuchung von Speicherressourcen Fehler im Bandbreitenmanagement Unautorisiertes Mitlesen oder Stören des Virtualisierungsnetzes durch unzureichende Trennung von Mandanten und internen Netzen Risikobewertung für das Zielobjekt Ethernet Switch MAC Flooding MAC Spoofing Spanning Tree Angriffe IP Session Hijacking Double-Encapsulated 802.1Q / Nested VLAN Attack ARP Spoofing II Inhalt

3 5.3 Risikobewertung für das Zielobjekt FC Switch FC Session Hijacking Name Server Pollution Reconfigure Fabric Attack E-Port Replication Risikobewertung für das Zielobjekt Speicher im Ethernet Ausnutzen von "offenen" 802.1Q Trunks IP-Address Spoofing Risikobewertung für das Zielobjekt Speicher im Fibre Channel WWN Spoofing Zusammenfassende Bewertung der unterschiedlichen Konzepte Referenzkonfigurationen zur Speicheranbindung für höchste Sicherheitsanforderungen Lösung für NAS Lösung für SAN Ergebnisse und Ausblick Ergebnisse Ausblick Index Literatur Selbstständigkeitserklärung Inhalt III

4 Abbildungsverzeichnis Abbildung 1: Computersabotage und Datenveränderung in Deutschland (BKA) [CoSa_2013] Abbildung 2: Blockdiagramm - Storage Area Network in einer Switched Fabric Abbildung 3: IO-Pfad des Fibre Channel Abbildung 4: Datenübertragung bei Fibre Channel Abbildung 5: Fibre-Channel-Frame-Format [Spe2008] Abbildung 6: Blockdiagramm - Network Attached Storage Abbildung 7: I/O-Pfad des NAS mit SCSI Abbildung 8: Kerntransportprotokolle [Int22012] S Abbildung 9: OSI Sicht NAS-Protokollstack [Int22012] S Abbildung 10: Funktionsweise TCP-Verbindung [Int22012] S Abbildung 11: TCP - Protocol Informationen Abbildung 12: Typische DMZ Abbildung 13: DMZ mit separaten Backend-Switchen und Storage Abbildung 14: DMZ mit separaten Backend-Switchen und zentralem Storage Abbildung 15: DMZ mit zentralen Backend-Switchen und Storage Abbildung 16: Virtualisierungsarchitektur von VMWare [AvGt_2009] Abbildung 17: Virtuelle Festplatten [vssp_5_1] Abbildung 18: Netzwerkverbindungen virtueller Maschinen und der Service-Konsole beim VMWare ESXi [VVNC_2007] Abbildung 19: MAC-Flooding [SHAS_2012] IV Abbildungsverzeichnis

5 Abbildung 20: Aufbau von dynamischen VLANs[VLan_2013] Abbildung 21: Funktionales Blockschaltbild IEEE802.1x [IERa_2014] Abbildung 22: MAC Spoofing [L2AM_2012] Abbildung 23: Hierarchische Netztopologie vor und nach SPT-Angriff Abbildung 24: Angriffsszenario des IP Session Hijacking Abbildung 25: Nested VLAN Attacke [CSSE2011] Abbildung 26: Zuordnung des Access VLAN Abbildung 27: Zuordnung des Trunk VLAN Abbildung 28: Inhalt eines ARP Reply [LANS_2004] Abbildung 29: ARP Spoofing Attacke [ARP_2010] Abbildung 30: Verbindung der zwei VLANs der beiden physischen Switche [VL_G_2014] Abbildung 31: FC Session Hijacking Abbildung 32: Fibre Channel Security Protocol Frame [ISMH_2004] S Abbildung 33: Name Server Pollution Angriff Abbildung 34: Switch und Host Authentifikation mit DH-CHAP [DHCh_2014] Abbildung 35: vsan [vsan_2014] Abbildung 36: Zoning [NOSA_2014] Abbildung 37: E-Ports Replication Attacke Abbildung 38: Entfernung nicht notwendiger VLANs Abbildung 39: IP Address Spoofing [IPSp_2014] Abbildung 40: Netapp vfiler [vfil_2009] Abbildung 41: Die Funktionsweise von Kerberos Abbildungsverzeichnis V

6 Abbildung 42: WWN Spoofing Abbildung 44: Sicherheitsarchitektur NAS Abbildung 45: Sicherheitsarchitektur SAN VI Abbildungsverzeichnis

7 Tabellenverzeichnis Tabelle 1: Gartner Umsätze für Speichernetze nach Protokollen (in Mio. Dollar) [Ga2012] Tabelle 2: Schutzbedarf unterschiedlicher Anwendungen [SuSz_2014] Tabelle 2: Auswirkungs-Wahrscheinlichkeits-Matrix Tabelle 5: Vorlage Risikobewertung Tabelle 6: Risikobewertung - Virtual Machine Escape Tabelle 7: Risikobewertung - Überbuchung von Speicherressourcen Tabelle 8: Risikobewertung - Fehler im Bandbreitenmanagement Tabelle 9: Risikobewertung - Unautorisiertes Mitlesen oder Stören des Virtualisierungsnetzes durch unzureichende Trennung von Mandanten und internen Netzen im Bereich NAS Tabelle 10: Risikobewertung MAC Flooding Tabelle 11: Risikobewertung - MAC Spoofing Tabelle 12: Risikobewertung - Spanning Tree Angriffe Tabelle 13: Risikobewertung - IP Session Hijacking Tabelle 14: Risikobewertung - Double-Encapsulated 802.1Q / Nested VLAN Attack Tabelle 15: Risikobewertung - ARP Spoofing Tabelle 16: Risikobewertung - FC Session Hijacking Tabelle 17: Risikobewertung - Name Server Pollution Tabelle 18: Risikobewertung - Reconfigure Fabric Attack Tabelle 19: Risikobewertung - E-Port Replication Tabellenverzeichnis VII

8 Tabelle 20: Risikobewertung - Ausnutzen von "offenen" 802.1Q Trunks Tabelle 21: Risikobewertung IP-Address Spoofing Tabelle 22: Risikobewertung - WWN Spoofing Tabelle 23: Zusammenfassende Risikobewertung vor Maßnahmenumsetzung Tabelle 24: Gegenüberstellung NAS / SAN im OSI Modell [FC_2014] Tabelle 25: Zusammenfassende Risikobewertung nach Umsetzung der Muss - Maßnahmen Tabelle 26: Zusammenfassende Risikobewertung nach Umsetzung der Kann - Maßnahmen Tabelle 27: Zusammengefasste Maßnahmen im Bereich NAS Tabelle 28: Zusammengefasste Maßnahmen im Bereich SAN VIII Tabellenverzeichnis

9 Abkürzungsverzeichnis ARP CIFS CPU DAS DH-CHAP DNS DoE DoS DMZ DHCP ESP FC FCAP FCPAP FCsec FC-SP iscsi HBA IOPS I/O-Pfad IP IPsec K-Fall LUN MAC MITM NAS NFS OSI PCI RAID RADIUS Address Resolution Protocol Common Internet File System Central Processing Unit Direct Attached Storage Diffie-Hellman Challenge Handshake Authentication Protocol Domain Name Service Data over Ethernet Denial of Service Demilitarisierte Zone Dynamic Host Configuration Protocol Encapsulation Security Payload Fibre Channel Fibre Channel Authentication Protocol Fibre Channel Password Authentication Protocol Fibre Channel Security Fibre Channel Security Protocols Internet SCSI Host Bus Adapter Input/output operations Per Second Input/Output-Pfad Internet Protocol IP Security Katastrophenfall Logical Unit Number Media Access Control Man-In-The-Middle Network Attached Storage Network File System Open Systems Interconnection Model Peripheral Component Interface Redundant Array of Independent Disks / Redundant Array of Inexpensive Disks Remote Authentication Dial-In User Service Abkürzungsverzeichnis IX

10 RSCN SAN SAS (S)ATA SCSI SMB SPT TCP UDP VM vfiler VMFS vsan WWN WWNN WWPN Registered State Change Notifications Storage Area Network Serial Attached SCSI (Serial) Advanced Technology Attachment Small Computer System Interface Server Message Block Spanning Tree Protocol Transmission Control Protocol User Datagram Protocol Virtuelle Maschine Virtual Filer Virtual Machine File System Virtual Storage Area Network Word Wide Name World Wide Node Name Word Wide Port Name X Abkürzungsverzeichnis

11 1 Einleitung und Übersicht In der einleitenden Übersicht soll erläutert werden aus welcher Motivation heraus diese Arbeit entstanden ist und welches Ziel verfolgt wird. Zudem erfolgt eine Kapitelübersicht, aus der hervorgeht welcher und warum dieser Inhalt präsentiert werden soll. 1.1 Motivation In den letzten Jahren haben viele Unternehmen die Virtualisierung von IT-Anwendungen und IT-Infrastrukturen 1 vorangetrieben, um damit die Grundlage für eine bedarfsgerechte IT zu schaffen. Die Virtualisierung von Serversystemen spielt dabei eine zentrale Rolle, denn sie ermöglicht unter anderem [Bitk2009] - effiziente Ressourcennutzung, - erhöhte Verfügbarkeit, - Skalierbarkeit, - schnelle Bereitstellung von IT Services, - hohe Flexibilität/ Dynamik, - vereinfachten Betrieb. Spezielle Herausforderungen bestehen bei dem Aufbau von Virtualisierungsumgebungen im Bereich von DMZen 2 und der damit verbundenen Integration der Speichernetze 3. Es besteht die Möglichkeit, dass durch eine nicht an die Virtualisierung angepasste Segmentierung des Speichernetzes Gefährdungen entstehen. Es kann beispielsweise dazu kommen, dass virtuelle IT-Systeme den Zugriff auf, von ihnen benötigte, Ressourcen verlieren, wenn sie zwischen Virtualisierungsservern verschoben werden. Die Verfügbarkeit der von ihnen bereitgestellten Dienste ist damit gefährdet. Andererseits kann eine ungeeignete Planung der Speichernetzintegration dazu führen, dass zu weitreichende Zugriffsmöglichkeiten auf die Speichernetze eingeräumt werden. Dies kann die Vertraulichkeit von in diesen Speichernetzen abgelegten Informationen gefährden. [BSI2011] 1 Virtualisierung bezeichnet in der Informatik die Erzeugung von virtuellen (nicht physikalischen) Instanzen, wie z.b. emulierter Hardware, Betriebssystemen etc. 2 Eine DMZ ist ein durch Firewalls abgetrennter Netzwerk-Sicherheitsbereich mit eingeschränkten Zugriffsmöglichkeiten. 3 Ein Speichernetz ist ein Netzwerk zur Anbindung von Speicherressourcen an Serversysteme. Abkürzungsverzeichnis 11

12 Zudem hat die Anzahl der Angriffe aus dem Internet in den letzten Jahren stetig zugenommen. Die Delikte, die Datenveränderung und Computersabotage betreffen, haben sich in den letzten vier Jahren mehr als verfünffacht. Computersabotage beschreibt hierbei, im Sinne des deutschen Strafrechts, dass stören einer Datenverarbeitungsanlage, die für einen anderen von wesentlicher Bedeutung ist. Datenveränderung, Computersabotage 303a,303b StGB Abbildung 1: Computersabotage und Datenveränderung in Deutschland (BKA) [CoSa_2013] Neben dem monetären Schaden der durch Computersabotage und Datenveränderung entsteht, sind die Folgeschäden, wie Imageverlust, schwer zu quantifizieren. Da die Virtualisierung im Bereich von demilitarisierten Netzwerken, die direkt an das Internet grenzen, immer mehr zur Normalität wird, besteht auch ein immer größerer Bedarf für IT-Sicherheitsbeauftragte die Risiken und Auswirkungen, die mit dieser Praxis einhergehen, zu verstehen. Die Arbeit ist aus der Motivation entstanden, unter vorgegebenen Rahmenbedingungen, unterschiedliche Speicherlösungen bezüglich Ihrer Integrationsmöglichkeiten und der damit verbundenen Risiken zu vergleichen und zu bewerten. 12 Abkürzungsverzeichnis

13 1.2 Zielsetzung Die vorliegende Arbeit befasst sich im Rahmen der Aufgabenstellung mit der Gegenüberstellung verschiedener Speichernetze, die in Virtualisierungsumgebungen für x Serversysteme eingesetzt werden. Es werden unterschiedliche Integrationskonzepte für Speicherinfrastrukturen gegenübergestellt und unter anderem betrachtet welche Risiken vorhanden sind und welche Maßnahmen hinsichtlich der Authentifizierung und der Verschlüsselung, bei der Nutzung von Speichersystemen und Speichernetzen, notwendig sein können. Zudem wird betrachtet welche Anforderungen bestehen, um verschiedene Sicherheitsklassen auf virtualisierten Umgebungen betreiben zu können. So kann unter Umständen, je nach Unternehmensrichtlinie eine physikalische Trennung unterschiedlicher Sicherheitsklassen vorgeschrieben sein, um die Auswirkungen von Konfigurationsfehlern zu verringern. Hauptziel ist eine Risikoklassifizierung, die unter Berücksichtigung spezifischer Parameter, für die jeweilige Referenzarchitektur, die möglichst beste Speicherlösung darstellt und als Entscheidungshilfe dient. 1.3 Kapitelübersicht Die Diplomarbeit besteht aus acht Kapiteln. Nach der allgemeinen Einleitung des ersten Kapitels wird im Kapitel 2 die Abgrenzung der Aufgabenstellung durchgeführt. Hierbei wird dargestellt welche Problemkreise angesprochen werden und es wird abgegrenzt womit sich diese Arbeit auseinandersetzt. Das Grundlagen Kapitel 3 betrachtet die unterschiedlichen Speichernetze, die für die Themenbearbeitung relevant sind. Es werden deren Aufbau, protokollspezifische Eigenheiten und wichtige zusätzliche Dienste besprochen. Zudem werden die unterschiedlichen Segmentierungsmöglichkeiten betrachtet und erläutert. Außerdem werden im Grundlagenkapitel die, im weiteren Verlauf der Arbeit betrachteten, Referenzarchitekturen beschrieben. Das Kapitel 3 bildet das Grundlagenwissen für die folgenden Kapitel. Das Kapitel 4 stellt die möglichen Gefährdungen und Risiken, die durch Fehlkonfigurationen oder vorsätzliche schädigende Fremdeinwirkung entstehen können, für die jeweiligen Zielobjekte, wie Server, Switche und Speicher dar. 4 x86 ist die Abkürzung einer Mikroprozessor-Architektur und der damit verbundenen Befehlssätze, welche unter Anderem von den Chip-Herstellern Intel und AMD entwickelt werden. [x86w2013] Abkürzungsverzeichnis 13

14 Anschließend wird im Kapitel 5 eine Risikowertung für die im Kapitel 4 ermittelten Gefährdungen durchgeführt, die es im Anschluss ermöglicht die Speicherlösungen miteinander zu vergleichen. Im Kapitel 6 wird die zusammenfassende Bewertung der einzelnen Speicherlösungen in Bezug auf die jeweilige Referenzarchitektur durchgeführt. Kapitel 7 zeigt, unter den Aspekten der vorangegangen Kapitel, die Implementierung einer NAS- und SAN-Architektur, die höchsten Sicherheitsansprüchen genügt. Das Kapitel 8 fasst schließlich die Ergebnisse der einzelnen Kapitel der Diplomarbeit noch einmal zusammen und es wird ein Ausblick gegeben wie die Thematik vorgesetzt werden könnte. 14 Abkürzungsverzeichnis

15 2 Abgrenzung der Aufgabenstellung Nach [Schm2009] lassen sich Speichernetze in drei Untergruppen einteilen: - Direct Attached Storage (DAS) - Storage Area Networks (SAN) - Network Attached Storage (NAS) Dabei ist es für die gängigsten virtuellen Maschinen vollkommen transparent auf welcher Art von Speichernetz diese abgelegt sind. Wobei alle drei Untergruppen ihre jeweiligen Vor- und Nachteile haben. Die Auswahl hierbei lässt sich nicht einfach in gut oder schlecht einteilen, sondern hängt von den konkreten Anforderungen ab. [VMWa2012] Bei der vorliegenden Diplomarbeit wurde der Fokus auf die beiden Speichertechnologien gelegt, die sich in größeren Serverumgebungen etabliert haben (NAS, SAN mit Fibre Channel). Hierzu ist unter Anderem die Marktanalyse von Gartner 5 für das Jahr 2012 zu beachten, die darstellt, dass NAS und Fibre Channel SAN den größten Marktanteil besitzen Access Annual Growth 2012 Market Rank Rank Protocol Revenue Revenue Rate (%) Share (%) 1 1 NAS (NFS/CIFS) 2 2 Fibre Channel SAN 4, , , , iscsi SAN Total 6, , Tabelle 1: Gartner Umsätze für Speichernetze nach Protokollen (in Mio. Dollar) [Ga2012] 5 Gartner ist ein Marktforschungsunternehmen in der IT. Abgrenzung der Aufgabenstellung 15

16 Da sich mit Direct-Attached-Storage keine hochverfügbaren bzw. K-Fall-sicheren Lösungen aufbauen lassen, wird es in dieser Diplomarbeit nicht weiter betrachtet. Zudem ist Direct-Attached-Storage fehleranfälliger und die vorhandene Festplattenkapazität wird schlechter ausgenutzt. Um nur einige weitere Punkte zu nennen. [DeIn2003] Es muss aber erwähnt werden, dass Implementierungen, basierend auf lokalem Speicher in einem verteilten Dateisystem, sich aktuell in der Entwicklung befinden (z.b. vsphere 5.5 vsan- Feature) und DAS zukünftig wieder eine verstärkte Bedeutung erlangen könnte. Der Schwerpunkt dieser Arbeit liegt bei einer sicherheitstechnischen Betrachtung und Bewertung. Selbstverständlich spielen bei der Auswahl von Speichernetzen und Speichertechnologien, für einen konkreten Einsatzfall, darüber hinausgehend noch weitere Punkte eine Rolle. Um nur Einige zu nennen sind hier Performance, Kostenlimits und Betriebskonzepte zu berücksichtigen. Die aber im Zuge der Eingrenzung des Themenfeldes, auf ein überschaubares Niveau, in dieser Arbeit nicht weiter betrachtet werden. 16 Abgrenzung der Aufgabenstellung

17 3 Grundlagen Im folgenden Abschnitt soll versucht werden, die unterschiedlichen Arten von Speichernetzen zu erläutern und die wichtigsten Merkmale hervorzuheben. Zudem werden die unterschiedlichen Integrationsmöglichkeiten von virtualisierten Servern in demilitarisierte Zonen dargestellt und exemplarisch einige Vor- und Nachteile genannt. Eine Wertung bzw. Festlegung auf die verwendete Integration findet hierbei nicht statt, da die Auswahl des gewählten Lösungsansatzes auch von den jeweiligen Sicherheitsrichtlinien eines Unternehmens abhängt und in den weiteren Kapiteln noch weiter betrachtet wird. Das Grundlagenkapitel bildet die Basis für alle weiteren Betrachtungen. 3.1 Speichernetze SAN-Storage Aufbau Bei SAN sind die Server über ein dediziertes Netzwerk, vergleichbar mit einem Backbone das ausschließlich Daten transportiert, an den Massenspeicher angeschlossen. Ein SAN ist ein sekundäres Netz das an das lokale Netz eines Unternehmens angrenzt. Die Server stellen hierbei die Verbindungsstelle dar. Dieses Netz kann mehrere Speichersysteme beinhalten, auf dass von einem oder mehreren Servern zugegriffen werden kann. Diese Zugriffe erfolgen blockbasiert, hierbei fordern die Rechner einzelne Datenblocks von einer Festplatte an. Gewöhnlich wird ein SAN mit Fibre Channel 6 verbunden und in einer Switched Fabric betrieben. Die Switched Fabric ist eine Sternvernetzung, die durch Fibre-Channel-Switches realisiert wird. Um die Ausfallsicherheit zu erhöhen und auch Wartungen zu vereinfachen werden meist mehrere Switched Fabrics aufgebaut, die komplett voneinander unabhängig sind, aber trotzdem die gleichen Endgeräte an anderen Ports miteinander verbinden. [VMWa2012 S. 402] 6 Fibre Channel ist die Bezeichnung einer seriellen Schnittstelle Grundlagen 17

18 Abbildung 2: Blockdiagramm - Storage Area Network in einer Switched Fabric Um in einem FC SAN betrieben werden zu können, müssen die Server, Speichergeräte und Switche mit einem oder mehreren Fibre-Channel-Ports ausgestattet sein. Bei Servern erfolgt der Anschluss in der Regel über sogenannte HBAs (Host-Bus-Adapter) die zusätzlich in die Server eingebaut werden. Hierbei werden folgende Ports unterschieden: N-Port (Node-Port): Ein N-Port hat die Fähigkeit als Endgerät (Server, Speichergerät), auch Knoten genannt, in der Fabric-Topologie teilzunehmen. F-Port (Fabric-Port): Ein F-Port stellt das Gegenstück zu einem N-Port dar. Der F-Port weiß wie ein Frame das ein N-Port an ihn sendet, durch das Fibre-Channel-Netz an das gewünschte Endgerät weitergeleitet werden muss. E-Port (Expansion Port): Zwei Fibre-Channel-Switche werden über E-Ports miteinander verbunden. Die E-Ports übertragen hierbei die Daten von Endgeräten, die sich an unterschiedlichen Fibre-Channel-Switchen befinden. Zudem werden Switch Informationen über den Aufbau der Fabric ausgetauscht. [Spe2008] Der Fibre-Channel-Standard definiert noch weitere Porttypen, z.b. in Zusammenhang mit anderen Topologien, auf die an dieser Stelle aber nicht weiter eingegangen wird. 18 Grundlagen

19 Komponenten Folgende Baugruppen beinhaltet ein SAN: - Die Servern, die die Anfragen der Clients abarbeiten - Die FC-Switches, die die Verbindung zwischen Servern und den Disksubsystemen herstellen - Den Disksubsystemen, die als Speicherorte für die Daten dienen IO-Pfad des Fibre Channel Die Anwendungen und Anwender nutzen die Speicherkapazitäten der Festplatten in Form von Verzeichnissen und Dateien. Die physikalischen Blöcke der Festplatten werden hierbei durch den Volume Manager zu logischen Blöcken gruppiert und durch das Dateisystem den darüber liegenden Anwendungen bereitgestellt. [Spe2008] Verbreitete Dateisysteme im Zusammenhang mit Server-Virtualisierung sind das VMFS (Virtual Machine File System) von VMware oder das SMB (Server Message Block) von Microsoft. FCP (Fibre Channel Protokoll) bildet das SCSI-Protokoll, auf dass zugrunde liegende Fibre-Channel- Netz ab. Für die Anbindung von Speichergeräten an Server wird also das SCSI-Kabel durch ein Fibre-Channel Netz ersetzt. Das neue Medium Fibre Channel nutzt nach wie vor das SCSI-Protokoll, um Daten zwischen Server und Speicher auszutauschen. [Spe2008], S. 94 Abbildung 3: IO-Pfad des Fibre Channel Grundlagen 19

20 Datenübertragung Das FC Protokoll führt eine dreischichtige Hierarchie zur Übertragung von Daten ein. Sequence 1 Port 1 Port 2 Sequence 2 Sequence 3 Sequence 1 Sequence 2 Sequence 3 Exchange Abbildung 4: Datenübertragung bei Fibre Channel Die oberste Ebene, der sogenannte Exchange, definiert eine logische Kommunikationsverbindung zwischen zwei Endgeräten. Server und Speichergerät können gleichzeitig mehrere Exchange-Beziehungen aufrechthalten, sogar zwischen den gleichen Ports. Eine Sequence ist eine größere Dateneinheit, die von einem Sender zu einem Empfänger übertragen wird. Innerhalb eines Exchange kann nur eine Sequence nach der anderen übertragen werden. Eine Sequence wird nur dann an die nächsthöhere Protokollschicht ausgeliefert, wenn alle ihre Frames beim Empfänger angekommen sind. Im Fibre-Channel-Netz werden Kontroll-Frames und Datenframes übertragen. Die Kontroll-Frames enthalten hierbei keine Nutzdaten, signalisieren z.b. aber das erfolgreiche Ausliefern eines Datenframes. Die Datenframes hingegen übertragen bis zu 2112 Byte Nutzdaten. Größere Sequences müssen deshalb auch in mehrere Frames unterteilt werden. Fibre Channel Frames bestehen aus einem Header, Nutzdaten (Payload) und einer CRC- Prüfsumme. Zudem wird das Frame von einem Start-of-Frame Delimiter (SOF) und einem End-of-Frame Delimiter (EOF) eingerahmt. Als Abschluss werden über einen Link zwischen zwei Frames sechs Füllwörter übertragen. [Spe2008] 20 Grundlagen

21 Abbildung 5: Fibre-Channel-Frame-Format [Spe2008] Link und Fabric Services [Spe2008] Die Link Services werden benötigt, um in einem Fibre-Channel-Netz Datenverkehr zu ermöglichen. Sie dienen der Verwaltung des Fibre-Channel-Netzes und ermöglichen somit den Datenverkehr auf Anwendungsprotokollebene. Login Bevor Anwendungsprozesse Daten austauschen können, müssen sich die beiden zur Kommunikation vorgesehen Ports miteinander bekanntmachen. Ein dreistufiger Login- Mechanismus ist hierfür durch den Fibre-Channel-Standard vorgesehen. 1. Fabric Login (FLOGI) Nach dem Initialisieren des Link findet das Fabric Login statt das eine Sitzung zwischen einem N-Port und einem gegenüberliegenden F-Port etabliert. Der N-Port weist dem F-Port hierbei 24-Bit-Portadresse zu und außerdem wird der Buffer-to- Buffer-Credit 7 ausgehandelt. 2. N-Port Login (PLOGI) Nach dem Fabric Login findet das N-Port Login statt. Hierbei wird eine Sitzung zwischen zwei N-Ports aufgebaut. Es ist die zwingende Voraussetzung für den Datenaustausch und definiert Service-Parameter wie den End-to-End Credit. 7 Der Buffer-to-Buffer Credit definiert zwischen den beiden Endpunkten die Anzahl von Paketen die im Eingangspuffer Platz finden. Grundlagen 21

22 3. Process Login (PRLI) Der Fibre-Channel-Login-Mechanismus wird mit dem Prozess-Login abgeschlossen und definiert die Sitzung zwischen zwei Prozessen, die auf zwei verschiedenen N-Ports aufsetzen. Adressierung Bei Fibre Channel wird zwischen Adressen und Namen unterschieden. Die Fibre Channel-Geräte wie Server, Switche und Ports werden durch eine 64-Bit-Kennung gekennzeichnet. Hierzu sind verschieden Namensformate definiert, die gewährleisten, dass Kennungen weltweit nur einmal vergeben werden. Diese Kennungen tragen deshalb auch den Namen World Wide Name (WWN). Die WWNs werden zudem noch unterschieden in World Wide Port Names (WWPNs) und in World Wide Node Names (WWNNs). Dem Fibre Channel Gerät wird der Word Wide Node Name, seinen Fibre Channel Ports der World Wide Port Name zugeordnet. Diese Unterscheidung ermöglicht es festzustellen, welche Ports zu einem gemeinsamen Multi- Port-Gerät gehören. Beim Fabric Login wird jedem 64-Bit World Wide Port Name eine 24-Bit Portadresse zugeordnet. Diese 24-Bit Portadresse wird innerhalb der Fibre Channel Frames zur Senderund Empfängerkennzeichnung genutzt. Die 24-Bit Port-Adressen sind hierbei hierarchisch aufgebaut (je 8-Bit Domain Name, Area Name, Port Name), sodass ein FC Switch einfach ableiten kann, an welchen Port er ein eintreffendes Paket weiterzuleiten hat. Name Server Der Name Server verwaltet eine Datenbank über N-Ports. Es werden unter anderem Informationen über World Wide Port Names (WWPNs), World Wide Node Names (WWNNs), Port-Adressen, unterstützende Dienstklassen etc. gespeichert. Beim Name Server können N-Ports ihre eigenen Attribute registrieren und Informationen über andere N-Ports abfragen, vorausgesetzt sie haben sich mittels Port Login bei Ihm eingeloggt. Der Name Server erscheint den anderen Ports selbst als N-Port Segmentierung / Zugriffsteuerung Die Segmentierung in Storage Area Networks erfolgt durch Zoning und LUN Masking. Ohne diese Mechanismen würde die Segmentierung auf IP-Ebene zunichte gemacht werden und ein einzelner kompromittierter Server hätte Zugriff auf das komplette SAN. Zoning stellt hierbei die Zugriffssteuerung auf Ebene des Speichernetzes und das LUN- Masking die Zugriffssteuerung auf Ebene des Speichersystems dar. Zudem unterstützen neuere FC-Switche auch die Bildung von Virtual Storage Area Networks. 22 Grundlagen

23 Virtual SAN (VSAN) Ein Virtual SAN ermöglicht es über ein physikalisches Fibre Channel SAN mehrere virtuelle Fibre Channel Fabrics zu betreiben, die logisch voneinander getrennt sind. [Spe2008] S.511 Hierzu werden entweder die Ports der Fibre-Channel-Switche jeweils einem vsan fest zugeordnet oder die Zuordnung erfolgt an Hand von WWNs. Die vsans arbeiten vollkommen autark voneinander, sind erweiterbar, unterstützen eigene SAN-Services wie Zoning und Name Service und verfügen über eigene Sicherheitskriterien. [CSSE2011] Zoning Zoning erlaubt eine Segmentierung von Netzelementen, wie Speichersystemen, Switches und Host-Bus-Adaptern. Die Sichtbarkeit der Ressourcen für die Netzteilnehmer wird auf die freigegebenen Ressourcen beschränkt. Alle nicht gezonten Kommunikationswege werden ausgeblendet. [CSSE2011] Dies kann auf unterschiedlichen Wegen erfolgen. Hard Zoning Bei Hard-Zoning können nur diejenigen Endgeräte miteinander kommunizieren, die mindestens in einer gemeinsamen Zone liegen. [Spe2008] S.493 Soft Zoning Soft-Zoning beschreibt eine Zoning-Variante, die sich auf die Auskunft des Name Servers beschränkt. Befragt ein Endgerät den Name Server nach anderen Endgeräten im Fibre- Channel-Netz, so bekommt es nur die Endgeräte mitgeteilt, mit denen es mindestens in einer gemeinsamen Zone liegt. Kennt ein Endgerät allerdings die Adresse eines anderen Geräts, mit dem es nicht in einer gemeinsamen Zone liegt, so kann es trotzdem mit dem anderen Gerät kommunizieren. [Spe2008], S.507 Die Identifikation der Netzelemente erfolgt entweder auf Basis von WWNs (Word Wide Numbers) oder die Port-Adressen an denen die Netzteilnehmer angeschlossen sind (Port- Based). [Spe2008] LUN-Masking Der Zugriff auf die durch das Disksubsystem präsentierten Festplatten wird durch das LUN Masking beschränkt. Ohne LUN Masking würde jeder Server alle Festplatten sehen, die das Disksubsystem bereitstellt. Dabei werden die innerhalb eines Disksubsystems nach außen hin sichtbaren Festplatten einzelnen Servern zugeordnet und somit die Sichtbarkeit von exportierten Festplatten eingeschränkt. Die Maskierung wirkt als Filter zwischen den nach außen geführten Festplatten und den darauf zugreifenden Rechnern und kann vom Server, Switch oder Speichersystem durchgeführt werden. [Spe2008] Grundlagen 23