Windows Server 2012 R2/2016

iSCSI-Ziele sicher zur Verfügung stellen

| Autor: Thomas Joos

Tom's Admin Blog
Tom's Admin Blog (Bild: Tom Joos)

Mit dem iSCSI-Initiator greifen Sie in Windows auf iSCSI-Datenträger im Netzwerk zu, das gilt auch dann, wenn die iSCSI-Zielen auf Servern mit Windows Server 2016 bereitgestellt werden. Anwender oder Angreifer können auch Verbindungen zu nicht erlaubten Zielen aufbauen. Das sollten Sie generell verhindern, das gilt natürlich auch für versehentliche Zugriffe auf iSCSI-Ziele.

Es gibt mehrere Dinge die Sie tun können, um unberechtigten Zugang auf ein iSCSI-Volume zu verhindern, das gilt vor allem dann, wenn Sie ein iSCSI-Ziel auch als Cluster Shared Volume (CSV) einsetzen. Das erste was Sie tun sollten, ist sicherzustellen, dass die Sicherheitseinstellungen für die iSCSI-Ziele aktiviert sind. Wenn Sie ein Windows Server-basiertes iSCSI-Ziel einsetzen, bietet Microsoft vor allem zwei Optionen für die Verbesserung der Sicherheit: CHAP (Challenge Handshake Authentication Protocol) oder Reverse-CHAP. Microsoft empfiehlt, dass Sie CHAP verwenden. Bei CHAP werden Verbindungen von iSCSI-Initiatoren zum iSCSI-Ziel authentifiziert. Reverse-Chap wiederum authentifiziert das iSCSI-Ziel über den iSCSI-Initiator.

Die dazu notwendige Konfiguration nehmen Sie im Assistenten zum Erstellen von iSCSI-Zielen vor. Die Einstellungen dazu können Sie aber jederzeit anpassen.

Sie können auch die Namen der iSCSI-Initiatoren auf den iSCSI-Zielen festlegen. So lassen sich Einstellungen vornehmen, in denen iSCSI-Zugriffe nur von den Servern aus erlaubt sind, die auf dem Server eingetragen sind. Zusätzlich sollen Sie den Namen der Initiator-IDs anpassen. Auf Windows-Servern folgen die Initiatoren immer einer standardmäßigen Namenskonvention, die auf dem vollqualifizierten Domänennamen des Servers basiert. Durch das Anpassen der Initiator-Namen können Sie diesen weniger vorhersehbar machen und verhindern, dass unerlaubte Verbindungen aufgebaut werden können.