Una forma de proteger los dispositivos de iSCSI frente a una intromisión no deseada es exigir la autenticación por parte del dispositivo de iSCSI o del destino en el host o el iniciador, cada vez que el host intente acceder a los datos del LUN de destino.

El objetivo de la autenticación es probar que el iniciador tiene el derecho de acceder al destino, un derecho otorgado durante la configuración de la autenticación.

ESXi no admite el protocolo Secure Remote Protocol (SRP) o los métodos de autenticación de clave pública de iSCSI. Kerberos se puede utilizar solo con NFS 4.1.

ESXi admite la autenticación de CHAP y Mutual CHAP. En el documento Almacenamiento de vSphere se explica cómo seleccionar el mejor método de autenticación para el dispositivo de iSCSI y cómo configurar CHAP.

Asegúrese de que las contraseñas de CHAP sean únicas. La contraseña de autenticación mutua debe ser diferente para cada host; de ser posible, la contraseña también debe ser diferente para cada cliente que autentica el servidor. Esto garantiza que si un único host está comprometido, un atacante no pueda crear otro host arbitrario y autenticarse en el dispositivo de almacenamiento. Si hay una única contraseña compartida y un host comprometido, un atacante podría autenticarse en el dispositivo de almacenamiento.