Puede usar el Explorador de almacenamiento para configurar los valores de seguridad iSCSI que los iniciadores de su red de área de almacenamiento (SAN) requieren para conectarse a los destinos y los portales de destino. Hay varios niveles de seguridad disponibles para iSCSI, y debe elegir los que requiera el destino o el portal de destino.

Importante

Esta característica permite realizar un subconjunto seleccionado de tareas relacionadas con la administración y configuración de iSCSI. Puede realizar estas y otras tareas usando el Iniciador iSCSI de Microsoft, que se incluye en Windows Server 2008 o posterior en Herramientas administrativas. Además, los proveedores de soluciones de redes y almacenamiento ofrecen herramientas similares para realizar tareas de administración y configuración de iSCSI. Para obtener más información acerca de iSCSI, consulte https://go.microsoft.com/fwlink/?LinkId=102299 (puede estar en inglés).

El Explorador de almacenamiento permite los siguientes niveles de seguridad iSCSI:

Autenticación CHAP

El Protocolo de autenticación por desafío mutuo (CHAP) es el nivel básico de seguridad. CHAP es un protocolo que se usa para autenticar los elementos del mismo nivel de una conexión y se basa en un secreto que éstos comparten (una clave de seguridad similar a una contraseña).

Existen dos tipos de autenticación CHAP:

  • One-way CHAP authentication. Con este nivel de seguridad, solo el destino iSCSI autentica el iniciador. El secreto solo se establece para el destino. Todos los iniciadores que desean tener acceso a dicho destino deben usar el mismo secreto para iniciar una sesión con el destino.

  • Mutual CHAP authentication. Con este nivel de seguridad, el destino iSCSI y el iniciador se autentican mutuamente. Se establece un secreto diferente para cada destino y para cada iniciador de la red SAN.

Precaución

Como mínimo, se debe usar una autenticación CHAP unidireccional entre los iniciadores y los destinos iSCSI.

Autenticación RADIUS

Servicio de autenticación remota telefónica de usuario (RADIUS) es un estándar usado para mantener y administrar la autenticación y validación de usuarios. A diferencia de CHAP, la autenticación con RADIUS no se realiza entre elementos del mismo nivel, sino entre un servidor RADIUS y un cliente. Cuando un usuario (un iniciador iSCSI) desea obtener acceso a los recursos de un cliente (un destino iSCSI), el cliente envía una solicitud de conexión de usuario al servidor RADIUS. El servidor RADIUS es responsable de autenticar al usuario y, a continuación, devolver toda la información de configuración necesaria para que el cliente proporcione servicio al usuario. Las transacciones entre el cliente y el servidor RADIUS también se autentican mediante el uso de un secreto compartido.

Para usar este nivel de seguridad, debe tener un servidor RADIUS ejecutándose en la red, o bien debe implementar uno.

Autenticación y cifrado IPsec

El protocolo de seguridad de Internet (IPsec) es un protocolo que aplica la autenticación y el cifrado de datos en el nivel de paquetes IP. IPsec puede usarse además de la autenticación CHAP o RADIUS para proporcionar un nivel de seguridad adicional.

Al habilitar IPsec, se cifran y se autentican todos los paquetes IP enviados al transferir datos. Se establece una clave común en todos los portales IP, lo que permite que todos los elementos del mismo nivel se autentiquen mutuamente y negocien el cifrado de paquetes. Para obtener más información, consulte IPsec en https://go.microsoft.com/fwlink/?linkid=93520 (puede estar en inglés).

Consideraciones adicionales

  • El nivel de seguridad que se puede establecer para un subsistema de almacenamiento depende del fabricante del hardware. No todos los subsistemas admiten todos los niveles de seguridad iSCSI. Póngase en contacto con el fabricante del hardware para averiguar el nivel de seguridad admitido.

  • Los secretos CHAP más seguros no son palabras ni frases, sino una secuencia de caracteres aleatoria.

Referencias adicionales

Tabla de contenido