Статья опубликована в №4 (декабрь) 2013
Разделы: Информационные технологии
Размещена 18.12.2013. Последняя правка: 20.12.2013.
Просмотров - 2571

Надежность конвергентной сети FCoE и ее уязвимости

Марголин Александр Юрьевич

магистрант

НГТУ

АВТФ

УДК 004.72


При объединении сети хранения и передачи данных всплывают потенциальные уязвимости, ставящие под угрозу доступность узлов и данных в сети. Для наглядного обоснования потребности в механизмах и протоколах, способных свести к минимуму эти угрозы, рассмотрим следующие примеры.

Проблемы сетевых соединений

Рассмотрим сеть, изображенную на рис. 1. Как видно,  два ее сегмента абсолютно идентичны: топология, и имена расположенных устройств в сети совпадают. Поскольку Domain_ID каждого из FCF совпадают, то появляется основание, для присвоения каждому из узлов ENode A и ENode B одинакового FPMA адреса (назначаемый FPMA содержит в себе Domain_ID). При нахождении узлов в разделенных сегментах, данное событие не может негативно отразиться на работоспособности сети.

 

Рисунок 1 – Пример конвергентной сети, состоящей из разделенных сегментов

  Передаваемые кадры сети FCoE помимо прочих данных, содержат в себе служебную информацию: SA – адрес отправителя и DA – адрес получателя.  Разберем, каким образом коммутаторы оперируют этой служебной информацией в процессе передачи кадров по сети.

Если SA (адрес отправителя) является неизвестным для коммутатора, то этот адрес запоминается и ассоциируется с портом коммутатора, на который пришел кадр. В дальнейшем все пакеты, содержащие в себе этот адрес, будут направлены именно через этот порт.

Если DA (адрес получателя) является неизвестным для коммутатора, то им совершается широковещательная рассылка кадра по всем интерфейсам, находящимся в том же сегменте сети (VLAN), откуда изначально пришел кадр. Рассылка повторяется в пределах домена до тех пор, пока не закончатся порты, или пока на одном из коммутаторов не обнаружится порт с соответствующим DA. Таким образом, в процессе широковещательной рассылки происходит обучение коммутаторов на всем пути следования кадра. Поэтому при отправке ответного кадра и при повторной отправке кадра с таким же назначением широковещательной рассылки не происходит – все адреса по маршруту следования уже известны и записаны в таблицы маршрутизации.

Теперь рассмотрим ситуацию объединения двух сегментов данной сети (рис_2). В этом случае кадры будут отправляться в обычном режиме до тех пор, пока FPMA адрес получателя не будет стерт из таблицы маршрутизации на одном из коммутаторов по пути следования. Это может произойти по нескольким причинам, например:

• Потеря физического канала с одним из узлов;
• Истечение времени нахождения FPMA адреса в таблице маршрутизации;
• Отчистка таблицы маршрутизации администратором вручную;
• Изменение топологии сети при использование STP.

Какой бы ни была причина, когда это происходит, FPMA исчезает из таблиц маршрутизации FCF. Поэтому кадры, направляющиеся от узла Enode «A» (адрес SA) к хранилищу «А»(адрес DA) будут широковещательно разосланы на все узлы (DA удален из таблицы маршрутизации). В процессе широковещательной рассылки кадр будет передаваться через соединение между Lossless Ethernet коммутаторами. Когда кадр получается входящим портом на другом конце этого соединения, он не распознает DA, относящийся к FCF “A” и поэтому кадр вновь подвергается массовой рассылке. При этом SA запомнится коммутатором и обновит таблицу маршрутизации таким образом, чтобы показать, что кадры, предназначенные для узла с таким FPMA  должны передаваться через это соединение обратно на другой коммутатор. Соответственно теперь при отправке кадров от хранилища «B» на узел Enode B, они будут перенаправляться через новое соединение и затем перенаправляться на Enode “A”.

Рисунок 2 – Пример конвергентной сети, состоящей из объединенных сегментов

 

Как видно, узлам назначается один и тот же FPMA, что может потенциально привести к отказу сети. Для обеспечения отказоустойчивости и в целях устранения негативных последствий, описанных выше, используется механизм называемый FIP Snooping. Коммутатор, способный его реализовывать (Lossless Ethernet коммутатор, или FSB) пропускает  кадры FC (сетей хранения данных), адресованные на FCF, или отправленные с него только в том случае, если они курсируют в пределах одной подсети, центром которой является FSB (Lossless Ethernet коммутатор). Таким образом, трафик сетей хранения данных не передается между FSB и сценарий выхода из строя сети, описанный выше оказывается неосуществимым.

 

Рисунок 3 – Ложный хост в конвергентной сети.

Рассмотрим ситуацию, когда в конвергентной сети появляется  ложный хост. Угроза заключается в том, что такой хост может получить несанкционированный доступ к хранилищу. Для осуществления такой подмены ложному хосту требуется знать лишь FPMA адрес узла, который имеет доступ к хранилищу. Более того FPMA любого узла может быть найден  с использованием команды «show fcoe database» (на оборудовании Cisco). После получения FPMA адреса узла ложным хостом, ему достаточно отправить всего лишь один пакет для того, чтобы спровоцировать изменения в таблицах маршрутизации коммутаторов и иметь возможность перехватывать пакеты, предназначенные для исходного хоста. Каждый из перехватываемых пакетов содержит в себе MAC адрес FCF коммутатора и таблицу FCID (идентификаторов хоста в сети Fibre Channel) всех портов хранилищ. Соответственно эти  параметры также могут быть перехвачены ложным хостом. Знания этих параметров достаточно для того, чтобы отправить на любой хост хранилища  команды SCSI-FCP READ и SCSI-FCP WRITE  для получения доступа к данным, их изменению, или удалению.

Для закрытия подобной уязвимости в конвергентных сетях хранения и передачи данных используется механизм ACL (список контроля доступа). ACL позволяет разграничивать доступ к хранилищу по заранее определенным MAC адресам. Однако в действительности такое решение в чистом виде является малопригодным. При его использовании существенно бы увеличилась нагрузка на системного администратора (каждый из адресов приходилось бы вручную заносить в ACL и также вручную поддерживать его в актуальном состоянии). Поэтому применятся технология динамических ACL, которая работает в соответствии со следующей последовательностью действий:

1. Изначально,  служебные кадры FIP и полезные кадры FCoE не передаются от узла ENode в сеть.
2. На узел ENode отправляется специальный  «разведывательный» кадр. Коммутатором фиксируется SA этого кадра. В последующем от узлу ENode  будет позволено передавать кадры на этот адрес.
3. При каждой успешной инициализации (FIP PLOGI) ACL обновляется, чтобы открыть доступ кадрам FCoE  от хоста ENode до FCF коммутатора.

Благодаря следованию такой логике коммутатором, описанная выше критичная ситуация оказывается предотвращенной.

Таким образом, были рассмотрены уязвимости и механизмы регуляции трафика внутри конвергентной сети. Каждый из них играет значительную роль в формировании инфраструктуры и является ключом к построению отказоустойчивой конвергентной сети. 

1. M. Lippitt, E. Smith, E. Paine: Fibre Channel over Ethernet (FCoE) Data Center Bridging (DCB) Concepts and Protocols (version 14.0).
2. Fcoe.ru [Электронный ресурс]: Протокол FcoE. Структура протокола FCoE. – Режим доступа: http://www.fcoe.ru/russian/-fcoe

Рецензии:

19.12.2013, 1:34 Назарова Ольга Петровна
Рецензия: Рекомендуется к печати



Комментарии пользователей:

Оставить комментарий