周末的时候，渗透测试人员 A Shadow 向 ZDNet 报告称他可在联网设备引擎 Shodan 上，无需身份验证即可访问即可轻松检索超过 13500 个 iSCSI 存储集群。

（题图via：ZDNet）

据悉出现此问题的原因是配置错误，客户忘记启用身份验证。这意味着任何了解 iSCSI 存储系统基本详情的人们，都可以通过简单的教程（比如 YouTube 视频）来非法访问这些存储集群，导致数据中心内的大型磁盘阵列或办公室角落的小型 NAS 数据泄露。

研究人员将本次 iSCSI 暴露描述为一种危险的后门，使得网络犯罪分子能够在企业网络中植入可感染文件的勒索软件、窃取数据、或将后门置于可能被激活的备份档案中。

在对一小部分暴露的 iSCSI 集群样本进行粗略的调查后，ZDNet 发现属于 YMCA 分支机构的 iSCSI 存储系统可被无密码访问，此外还有俄罗斯政府机构、以及来自世界各地的多所大学和研究机构。

从暴露的 IP 地址来看，也有许多群晖等NAS 设备未妥善配置访问权限。尽管其 Web 控制面板受到了密码保护，但 iSCSI 端口仍有暴露的可能。对于设备拥有者来说，这会让他们面临极大的数据安全风险。

A Shadow 指出，其中不少 iSCSI 集群属于私营企业，他们是网络犯罪集团的理想攻击目标。如果遭遇不测，勒索软件团伙可能向大型网站索取天价赎金。

iSCSI 全称为“互联网小型计算机系统接口”，是一种将工作站和服务器与数据存储设备相连的协议，该协议旨在操作系统查看远程存储设备，并与之交互。通常可在大型企业 / 数据中心的磁盘存储阵列、以及消费级的网络附加存储（NAS）设备上找到。

在实际体验上，它更像是一种本地组件，而不是基于 IP 的可访问系统。iSCSI允许企业集中存储、甚至让虚拟机（VM）从远程硬盘启动、而不会破坏无法处理基于 IP 的网络存储路径的应用程序。

得益于这方面的特性，iSCSI 成为了许多数据复制解决方案的一个关键组成部分。通常情况下，这套系统中会包含敏感的数据，因此 iSCSI 也会支持各种身份验证措施，防止未经授权的设备访问。

计划 iSCSI 配置时，应采取一些措施提高 iSCSI SAN 的整体安全。iSCSI 配置是否安全取决于 IP 网络，因此在设置网络时执行良好的安全标准可帮助保护 iSCSI 存储器。下面是执行良好安全标准的一些具体建议。

iSCSI SAN 中的一个主要安全风险便是攻击者会嗅探传输的存储数据。

无论是 iSCSI 硬件适配器还是ESXi iSCSI 启动器，均不会对其传输至目标和从目标接收的数据进行加密，这会造成数据更易遭到嗅探攻击。

允许虚拟机与 iSCSI 配置共享标准交换机和 VLAN 可能导致 iSCSI 流量遭到虚拟机攻击者滥用。为帮助确保入侵者无法侦听 iSCSI 传送数据，请确保任何虚拟机都无法看到 iSCSI 存储网络。

要实现这一目的，您可以这么操作：如果使用 iSCSI 硬件适配器，请确保 iSCSI 适配器和 ESXi 物理网络适配器未由于共享交换机或某种其他方式而无意地在主机外部连接。如果直接通过 ESXi 主机配置 iSCSI，可以不与虚拟机使用同一标准交换机，而改用其他标准交换机来配置 iSCSI 存储器。

除了通过提供专用标准交换机来保护 iSCSI SAN 外，还可以在 iSCSI SAN 自己的 VLAN 上对其进行配置以提高性能和安全性。将iSCSI 配置放在单独的 VLAN 上可确保只有 iSCSI 适配器可以看到 iSCSI SAN 内的传送数据。此外，来自其他来源的网络拥堵不会影响 iSCSI 流量。

当运行 iSCSI 设备时，ESXi 不会打开任何侦听网络连接的端口。此措施可降低入侵者通过空闲端口侵入 ESXi 并控制主机的几率。因此，运行 iSCSI 不会在连接的 ESXi 端产生任何额外安全风险。

您运行的任何 iSCSI 目标设备都必须具有一个或多个打开的 TCP 端口以侦听 iSCSI 连接。如果 iSCSI 设备软件中存在任何安全漏洞，则数据遭遇的风险并非 ESXi 所造成。要降低此风险，请安装存储设备制造商提供的所有安全修补程序并对连接 iSCSI 网络的设备进行限制。

来源：

cnbeta

VMWare Docs

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文，了解更多~