iSCSI-Geräte können gegen ungewollten Zugriff abgesichert werden, indem der Host, der „Initiator“, vom iSCSI-Gerät, dem „Ziel“, authentifiziert werden muss, wenn der Host versucht, auf Daten in der Ziel-LUN zuzugreifen.

Ziel der Authentifizierung ist es zu überprüfen, dass der Initiator das Recht hat, auf ein Ziel zuzugreifen. Dieses Recht wird bei der Konfiguration der Authentifizierung gewährt.

ESXi unterstützt für iSCSI weder Secure Remote Protocol (SRP) noch Authentifizierungsverfahren mit öffentlichen Schlüsseln. Sie können Kerberos nur mit NFS 4.1 verwenden.

ESXi unterstützt sowohl CHAP-Authentifizierung als auch beiderseitige CHAP-Authentifizierung. In der Dokumentation vSphere-Speicher wird erläutert, wie Sie die beste Authentifizierungsmethode für Ihr iSCSI-Gerät auswählen und CHAP einrichten.

Stellen Sie die Eindeutigkeit Ihrer CHAP-Geheimnisse sicher. Das Geheimnis der beiderseitigen Authentifizierung muss für jeden Host anders lauten; nach Möglichkeit sollte das Geheimnis für jeden Client, der sich beim Server authentifiziert, ebenfalls anders lauten. Damit wird sichergestellt, dass wenn ein Einzelhost manipuliert wird, ein Angreifer nicht einen beliebigen anderen Host erstellen und sich beim Speichergerät authentifizieren kann. Mit einem einzelnen gemeinsamen geheimen Schlüssel kann ein Angreifer mit der Manipulierung eines Hosts sich beim Speichergerät authentifizieren.