Chap frente a ipsec – Dell PowerVault NX3100 Manual del usuario

Configuración de conexiones iSCSI seguras mediante CHAP

41

Configuración de conexiones iSCSI
seguras mediante el Secured iSCSI
Connections (Protocolo de
autenticación por desafío mutuo)

En el nivel iSCSI se incluyen pocas funciones de seguridad para el protocolo
iSCSI, aparte de los niveles de seguridad que puede haber en los niveles
inferiores Ethernet y TCP/IP. Es posible activar y desactivar las funciones de
seguridad iSCSI según convenga.

El iniciador iSCSI de Microsoft

®

utiliza el Challenge-Handshake

Authentication Protoco (Protocolo de autenticación por desafío mutuo-
CHAP) para comprobar la identidad de los sistemas host iSCSI que intentan
acceder a los destinos iSCSI. El iniciador iSCSI y el destino iSCSI utilizan
CHAP y comparten un secreto predefinido. El iniciador combina el secreto
con otra información en un valor y calcula un hash unidireccional mediante la
función Message Digest 5 (MD5). El valor hash se transmite al destino. El
destino calcula un hash unidireccional del secreto compartido y otra
información. Si los valores del hash coinciden, se autentica el iniciador. El
resto de información de seguridad incluye un valor de ID que se incrementa
con cada diálogo CHAP para ofrecer protección frente a ataques de
reproducción. La solución de almacenamiento Dell™ PowerVault™ NAS
además es compatible con CHAP mutuo.

Por lo general, el protocolo CHAP se considera más seguro que el protocolo
de autenticación por contraseña (PAP).

CHAP frente a IPSec

CHAP autentica el homólogo de una conexión y se basa en que los
homólogos comparten un secreto (una clave de seguridad parecida a una
contraseña). IP Security (Seguridad IP- IPSec) es un protocolo que aplica la
autenticación y el cifrado de datos en el nivel de los paquetes IP y proporciona
un nivel de seguridad adicional.