Seguridad de redes SAN: Autenticación, autorización y contabilización

Precarias funciones de autenticación y autorización de usuarios suelen ser las debilidades más frecuentes en toda clase de red y las redes de almacenamiento no son diferentes en ello.
Autenticación y autorización son conceptos importantes en la seguridad de redes. La autenticación se refiere al proceso mediante el cual se verifica que alguien es quien dice ser. Lo más usado es el nombre de usuario con un password, pero también se pueden incluir otros medios como tarjetas inteligentes, biométricas, reconocimiento de voz, huellas digitales y otros. Autenticación es algo básico en la seguridad de una red o sistema y contribuye a mantener un buen control de acceso. En una red IP LAN o WAN, se utilizan políticas y protocolos. CHAP (Challenge Handshake Authentication Protocol), EAP (Extensible Authentication Protocol) o MS-CHAP, son ejemplos.
También existen protocolos de autenticación que son propios de un entorno SAN e incluyen al diseño de claves secretas con DH-CHAP y a la autenticación pública mediante FCAP (Fibre Channel Authetication Protocol).
La autorización establece si a un usuario, una vez identificado y autenticado, se le permite acceder a un determinado recurso. Esto se realiza investigando si una persona forma parte de un grupo que goza de los permisos correctos, derechos o niveles requeridos de franqueo de seguridad, necesarios para acceder al recurso.
La contabilización opera los mecanismos de seguimiento que guardan registro de eventos del sistema. Suelen utilizarse herramientas llamadas de auditoría. Auditoría es el proceso de monitoreo de ocurrencias y registro del historial de lo ocurrido en un sistema. El administrador es quién establece que eventos deben registrase y cuáles no. Su foco es el análisis de la actividad y la prevención ante la aparición de patrones sospechosos.
En la estrategia se necesitan protocolos para evitar que la información sea leída por intrusos (confidencialidad) y verificar que no sufra modificaciones mientras viaja por la red (integridad.)
Para evitar la lectura, se utiliza la encripción, que toma a los datos y los modifica para hacerlos ilegibles al intruso que no tiene la clave. Aún cuando se roben los datos, no se pueden violar sin la clave. Por ejemplo, dentro de IPSec (protocolo de seguridad IP), el protocolo ESP (Encapsulating Security Payload) puede encriptar datos enviados sobre conexiones Fibre Channel. Las comunicaciones Ethernet comunes también pueden usar encripción IPSec u otros protocolos tales como SSL (Secure Sockets Layer). Estos protocolos sirven para que los datos, de ser interceptados, no puedan ser leídos por extraños.
La integridad, a diferencia de la confidencialidad, consiste en garantizar que un dato no haya sido alterado o fraguado. Por ejemplo, durante el proceso de intercambio IPSec, las negociaciones iniciales utilizan uno de dos métodos de verificación de integridad: MD5 (Message Digest 5) o SHA (Secure Hash Algorithm) para garantizar que los datos no han sido adulterados durante el proceso.