Sécuriser vos liaisons de réplication sur ISILON

English sump-up :
By default, ISILON replication links, managed by the SyncIQ feature, are NOT authenticated, nor encrypted (no AES or whatever). It is not really a problem in a totally secured environment, but it could be necessary, at least, to enable mutual authentication in a more opened enterprise network. I will show here a simple method to enable authentication between source and target clusters. Concerning the encryption, it seems that, with the current 7.1.0 release, this feature is not available.

J’ai été assez surpris par la simplicité de connexion entre nos deux ISILON lors de la mise en place de la première réplication via SyncIQ. En effet, il suffit d’entrer le FQDN de la machine destination, depuis l’ISILON source et… le lien est actif ! Pas de mot de passe, pas d’option de chiffrement, pas d’échange de clef etc. Pour le coup, autant, dans un environnement réseau très segmenté et sécurisé, cela ne pose a priori pas de problème, autant au sein d’un réseau plus complexe et surtout moins filtré, comme dans notre production aujourd’hui, cela me posait question. J’ai donc demandé à notre correspondant d’EMC de me faire un retour sur les options éventuelles de sécurisation de ces liaisons inter ISILON.

J’ai finalement eu un retour positif pour ce qui concerne l’option d’authentification : elle est basée sur un secret partagé. Pour activer cette fonction, Vous devez, dans un premier temps, déposer sur l’ISILON cible un fichier texte appelé passwd contenant le mot de passe partagé. Le fichier en question ne doit contenir que ce mot de passe et doit être placé dans le répertoire /ifs/.ifsvar/modules/tsm. Une fois ce fichier déposé, il faudra également, via ligne de commande, effectuer les modifications qui s’imposent coté ISILON source. Toutes les réplications en cours (et a forcieri les futures également, car il n’y a aucun champ spécifique pour rentrer ce mot de passe dans l’interface graphique) doivent être modifiées pour y ajouter le secret partagé. La commande en question est :
isi sync policies modify politique_lambda --password secret_partage

C’est un peu lourd, mais cela fonctionne correctement et comme attendu. Par contre, pas de chiffrement des flux, pour le moment du moins.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *