El Administrador de almacenamiento para redes SAN ofrece varios niveles de seguridad iSCSI. El nivel básico se realiza según el Protocolo de autenticación por desafío mutuo (CHAP). CHAP es un protocolo que se usa para autenticar los elementos del mismo nivel de una conexión y se basa en un secreto que éstos comparten (una clave de seguridad similar a una contraseña). Seguridad IP (IPsec) es un protocolo que aplica la autenticación y el cifrado de datos en el nivel de paquetes IP, lo que ofrece un nivel adicional de seguridad.

Importante

Esta característica permite realizar un subconjunto seleccionado de tareas relacionadas con la administración y configuración de iSCSI. Puede realizar estas y otras tareas usando el Iniciador iSCSI de Microsoft, que se incluye en Windows Server 2008 en Herramientas administrativas. Además, los proveedores de soluciones de redes y almacenamiento ofrecen herramientas similares para realizar tareas de administración y configuración de iSCSI. Para obtener más información acerca de iSCSI, consulte https://go.microsoft.com/fwlink/?LinkId=102299 (puede estar en inglés).

Debe elegir el nivel de seguridad más adecuado para las directivas de seguridad de su organización:

  • One-way CHAP authentication. Con este nivel de seguridad, sólo el destino autentica al iniciador. Se establece el secreto solamente para el destino y todos los iniciadores que desean tener acceso a dicho destino deben usar el mismo secreto para iniciar una sesión con el destino.

  • Mutual CHAP authentication. Con este nivel de seguridad, el destino y el iniciador se autentican mutuamente. Se establece un secreto independiente para cada destino y para cada iniciador de la red de área de almacenamiento (SAN).

  • IPsec. Con este nivel de seguridad, se cifran y se autentican todos los paquetes IP enviados al transferir datos. Se establece una clave común en todos los portales IP, lo que permite que todos los elementos del mismo nivel se autentiquen mutuamente y negocien el cifrado de paquetes. Para obtener más información, consulte IPsec en https://go.microsoft.com/fwlink/?linkid=93520 (puede estar en inglés).

Precaución

Como mínimo, se debe usar una autenticación CHAP unidireccional entre los iniciadores y los destinos iSCSI.

Nota

El nivel de seguridad que se puede establecer para un subsistema de almacenamiento depende del fabricante del hardware. No todos los subsistemas admiten todos los niveles de seguridad iSCSI. Póngase en contacto con el fabricante del hardware para averiguar el nivel de seguridad admitido.

Para obtener más información acerca de iSCSI, consulte https://go.microsoft.com/fwlink/?LinkId=93543 (puede estar en inglés).

El requisito mínimo para realizar este procedimiento es pertenecer al grupo Administradores local o equivalente. Vea los detalles relativos al uso correcto de las cuentas y pertenencias a grupos en https://go.microsoft.com/fwlink/?LinkId=83477.

Para administrar la seguridad iSCSI
  1. En el árbol de la consola, haga clic en Administración de LUN.

  2. En el panel Acciones, haga clic en Administrar seguridad iSCSI.

  3. Para configurar la autenticación CHAP unidireccional, en el cuadro de diálogo Administrar seguridad iSCSI, configure las siguientes opciones en la ficha Destinos:

    1. Si desea configurar secretos CHAP diferentes para los distintos destinos, en la lista de destinos, seleccione un destino para el cual desee establecer el secreto CHAP y haga clic en Establecer secreto.

      O bien

      Para usar el mismo secreto CHAP para un grupo de destinos, seleccione los destinos en la lista y haga clic en Establecer secreto.

    2. En el cuadro de diálogo Establecer secreto, escriba y confirme el secreto CHAP del destino.

    3. También puede seleccionar la opción Recordar secreto en el iniciador local si desea pasar automáticamente el secreto nuevo al iniciador local.

    4. Para establecer el nuevo secreto, haga clic en Aceptar.

  4. Para configurar la autenticación CHAP mutua, primero debe configurar la autenticación CHAP unidireccional siguiendo el paso 3. A continuación, especifique la siguiente configuración en la ficha Iniciador local:

    1. Escriba y confirme el secreto CHAP para el iniciador local.

    2. En la autenticación CHAP mutua, el iniciador sólo podrá iniciar una sesión en los destinos que conocen su secreto. Para compartir el secreto del iniciador con los destinos a los que el servidor necesita tener acceso, en la lista de destinos, seleccione cada uno de los destinos que desea autenticar en el iniciador.

    3. Para establecer el nuevo secreto para el iniciador local y compartirlo con los destinos seleccionados, haga clic en Aplicar secreto.

  5. Para configurar IPsec, en el cuadro de diálogo Administrar seguridad iSCSI, configure las siguientes opciones en la ficha Portales:

    1. Si desea usar diferentes claves IPsec para los diversos portales, en la lista de portales, seleccione un portal y haga clic en Establecer clave IPsec.

      O bien

      Para usar la misma clave IPsec para un grupo de portales, seleccione los portales en la lista y haga clic en Establecer clave IPsec.

    2. En el cuadro de diálogo Establecer clave IPsec, escriba y confirme una nueva clave IPsec.

    3. También puede seleccionar la opción Recordar la clave IPsec en el iniciador local si desea pasar automáticamente la clave nueva al iniciador local.

    4. Para establecer la nueva clave IPsec, haga clic en Aceptar.

  6. Cuando termine de configurar la seguridad iSCSI, haga clic en Cerrar.