Dell PowerVault NX1950 Benutzerhandbuch

Gesicherte iSCSI-Verbindungen über CHAP

61

Konfiguration gesicherter iSCSI-
Verbindungen über CHAP
(Challenge-Handshake
Authentication Protocol)

Bis auf Sicherheitsschichten, die in den unteren TCP/IP- und Ethernet-
Schichten vorhanden sein können, sind nur wenige Sicherheitsmerkmale
des iSCSI-Protokolls in der iSCSI-Schicht selbst lokalisiert. Sie können die
iSCSI-Sicherheitsmerkmale nach Bedarf aktivieren und deaktivieren.

Der Microsoft

®

iSCSI-Initiator überprüft die Identität von iSCSI-Hostsystemen,

die versuchen, auf iSCSI-Targets zuzugreifen, mithilfe des CHAP-Protokolls
(CHAP = Challenge-Handshake Authentication Protocol). Sowohl der iSCSI-
Initiator als auch das iSCSI-Target verwenden CHAP und nutzen gemeinsam ein
vordefiniertes CHAP-Secret. Der Initiator fasst das CHAP-Secret mit anderen
Informationen zu einem Wert zusammen und berechnet mithilfe der Funktion
MD5 (Message Digest 5) eine eindirektionale Kontrollsumme. Der Kontrollwert
wird an das Target übermittelt. Das Target berechnet aus dem gemeinsam
genutzten CHAP-Secret und weiteren Informationen seinerseits eine eindirek-
tionale Kontrollsumme. Wenn beide Kontrollwerte übereinstimmen, ist die
Authentifizierung des Initiators erfolgreich. Zu den weiteren Sicherheitsinforma-
tionen gehört ein Kennwert, der mit jedem CHAP-Dialog erhöht wird, um
Wiederholungsangriffen vorzubeugen. Die Dell™ PowerVault™ NX1950-
Speicherlösung unterstützt auch die gegenseitige CHAP-Authentifizierung.

CHAP gilt allgemein als sicherer als das PAP-Protokoll (Password
Authentication Protocol). Weitere Informationen zu CHAP und PAP finden
Sie auf der RFC 1334-Website unter http://rfc.arogo.net/rfc1334.html.