Steigende Anforderungen, beispielsweise bei der via VPN verschlüsselten Datenkommunikation mit der Außenwelt, zwangen das Universitätsklinikum Tübingen vor zwei Jahren, sich nach einer moderneren Sicherheitslösung für die eigene IT-Infrastruktur umzusehen.
Denn bisher schützte sich das Klinikum vor Angriffen aus dem Internet mittels einer Open-Source-Firewall, die auf einer Linux-Plattform ihre Arbeit verrichtete. Die Kombination aus Access-Listen, IP-Filter, Application-Level-Gateway und verschiedenen Proxies tat zwar ihre Arbeit zur Zufriedenheit des Kunden, aber das selbst gestrickte System benötigte viel manuelle Pflege und stieß langsam an seine Grenzen, was die Performance betraf.
Einen zentralen, serverbasierten Schutz vor Viren und Würmern, die per E-Mail oder durch unvorsichtiges Surfen im Web ins interne Netzwerk eingeschleppt werden könnten, gab es nicht. Lediglich die PC-Clients waren mit Antivirenpaketen bestückt.
Für den Zugriff auf das Internet war beim Universitätsklinikum Tübingen ein Squid Web Proxy Cache Server (www.squid-cache.org) zuständig. Dort musste sich auch jeder Mitarbeiter, der im Web surfen wollte, zuerst anmelden.
Mit reinem Consulting fing es an
Angesichts dieser Sicherheitslücken traf es sich gut, dass der Systemintegrator Controlware bereits mit dem Universitätsklinikum in Kontakt stand und erste Beratungen vor Ort durchführen konnte. Man einigte sich rasch, diese Zusammenarbeit fortzuführen. Dennoch dauerte es volle drei Monate, bis beide Parteien sich über den Umfang der anschließend vorzunehmenden Arbeiten einigen konnten.
"Dabei spielte der Preis keine Rolle, denn das Budget war von Anfang an fest vorgegeben", erinnert sich Joachim Pfeiffer, Senior Account Manager aus der Controlware-Niederlassung in Stuttgart.
In den Verhandlungen ging es vor allem um das Konzept als solches. "Wir wollten bei dem Kunden ein Sicherheitssystem installieren, das zukunftssicher und skalierbar ist", so Pfeiffer gegenüber ComputerPartner. Angesichts der begrenzten Mittel war dem Manager klar, dass schon bald Erweiterungen vonnöten wären. Die weitere Entwicklung sollte ihm diesbezüglich Recht geben.
Kombination aus Netscreen, Blue Coat , Trend Micro und Vasco
Doch zuerst stand die Entscheidung an, welche IT-Sicherheitssysteme man installieren sollte. Zum Schutz vor Angriffen aus dem Internet legte Controlware seinem Kunden die Anschaffung von Firewall Appliances von Juniper nahe. Man wählte schließlich gemeinsam zwei "Netscreen 500"-Modelle, die redundant ihre Arbeit verrichten sollten. Diese Security Appliances erreichen im Firewall-Betrieb jeweils einen Datendurchsatz von bis zu 700 Mbit/s. Verschlüsselt man die Verbindungen via Tripel DES, so schafft die 500er immer noch respektable 250 MBit/s maximal. Derart gesicherte Kommunikation ist nötig, um die ausgelagerten Klinikstandorte, Institute und Labore über VPN an die Zentrale in Tübingen anzubinden.
Beim Thema Firewall/VPN hat sich Controlware bewusst gegen den Marktführer Check Point entschieden: "Uns erschien die Lösung von Juniper performanter; außerdem wollten wir die Security Appliances aus einer Hand haben und eben nicht eine Nokia-Check-Point-Kombination", erläutert Pfeiffer seine Wahl. Auch preislich lag die Firewall-VPN-Appliance von Juniper deutlich unter dem Angebot des israelisch-finnischen Konsortiums.
Die Wahl des "richtigen" zentralen Antivirus-Gateways war da schon einfacher: "Wir haben nur die Software von Trend Micro im Portfolio und sind mit desren Produkten sehr zufrieden", begründet Pfeiffer Controlwares Virenabwehr-Strategie. Das ist auch dem Kunden klar gemacht worden, und seitdem werkelt die "Interscan Virus Wall" von Trend Micro auf einer Sun-Solaris-Maschine beim Universitätsklinikum Tübingen. Diese Software sorgt dafür, dass keine Viren und Würmer via Web, E-Mail oder mit FTP-Downloads ins firmeninterne Netzwerk eingeschleppt werden. Auch für diese Entscheidung waren die guten Performancewerte und die einfache Administrierbarkeit ausschlaggebend.
Einen weiteren Baustein in der Security-Infrastruktur des Universitätsklinikums Tübingen bildet die Web-Appliance 800-3 von Blue Coat. Diese mit diversen Cache- und Security-Features ausgestattete Box soll für die Mitarbeiter den Webzugang optimieren und Antwortzeiten auf Anfragen optimieren. Gleichzeit regelt das Gerät den Zugriff auf das Internet: Nur Berechtigte dürfen nach Eingabe ihrer Nutzerkennung samt Passworts frei im Web surfen. Hierzu hat Controlware dem Kunden ein Open-LDAP-System verpasst. Zwar regelte auch der vorherige Squid-Proxy-Cache-Server den Zugang ins Internet User-basiert, doch die Übertragung dieser Berechtigungen an die Blue-Coat-Box war leider nicht möglich. Aus diesem Grund entschloss sich der Systemintegrator zum Aufbau eines Verzeichnisdienstes bei dem Kunden.
Dennoch: "Blue Coat ist für uns das beste derartige System am Markt", begründet Pfeiffer seine Entscheidung. Als Alternative kämen für den Controlware-Manager höchstens die Cache-Vorrichtungen von Network Appliance in Frage. Doch was Performance und Sicherheit betrifft, müsste man seiner Meinung nach hier Abstriche in Kauf nehmen.
Damit sich auch die mobilen Mitarbeiter sicher in das Kliniknetz per Fernzugriff einwählen können, hat Controlware sie mit den Tokens von Vasco ausgestattet. Hier entschied sich der Systemintegrator bewusst gegen den Marktführer RSA. "Für Vasco sprach nicht nur die Tatsache, dass dessen Authentifzierungssystem billiger ist, sondern auch die Garantie des Herstellers, dass seine Tokens eine Lebensdauer von bis zu sieben Jahren aufweisen", begründet Pfeiffer seine Wahl. "RSA-Tokens müssen hingegen schon nach drei Jahren ausgewechselt werden", so der Controlware-Manager. An der Funktionsfähigkeit und Performance der Einmalpasswort-Generatoren von Vasco hatte der Systemintegrator jedenfalls nichts auszusetzen.
Nach einem halben Jahr war alles vorbei
Insgesamt nahmen die Implementierungsarbeiten bei dem Universitätsklinikum Tübingen sechs Monate in Anspruch. "Am längsten brauchten wir für die Inbetriebnahme der Netscreen-Firewall", erinnert sich Pfeiffer. So musste Controlware hierzu einiges am System des Kunden umstellen und aus diesem Grund auch über eine längere Zeit hinweg auch noch die alte Linux-basierte Firewall parallel betreiben. Der Aufwand für die Integration der Juniper-Appliance war dann doch beträchtlich. Denn eine Eins-zu-Eins-Abbildung der alten Strukturen auf die neue Appliances war nach den zum Teil gravierenden Umstellungen so nicht möglich.
So gelang auch die Migration der Authentisierungs-Lösung vom Squid-Server auf das neue Security-Gateway von Blue Coat nicht. Dazu waren die Systeme einfach zu verschieden und die darunter liegenden Architekturen nicht kompatibel zueinander. An dieser Stelle sah sich Controlware gezwungen, extra einen LDAP-basierten Verzeichnisdienst neu aufzubauen.
Kleine Probleme gab es ferner bei der Installation des Antivirus-Gateways von Trend Micro auf dem Solaris-Server; eng wurde es hier vor allem deshalb, weil das System nicht rechtzeitig geliefert wurde.
Viel überlegt, viel umgestellt
Insgesamt lässt sich bei diesem Projekt feststellen, dass die größte Herausforderung darin bestand, ein schlüssiges Konzept für die Migration vom Linux-basierten System auf eine Appliance-gestützte Lösung zu entwerfen. "Das ging bei der Definition der DMZ (Demilitarized Zone) los und hörte auch beim Neuzuschnitt des IP-Adressraumes noch nicht auf", zieht Pfeiffer von Controlware sein persönliches Fazit. Schwierig erscheint ihm auch im Rückblick, angesichts des begrenzten Budgets eine den Kunden zufrieden stellende Lösung bereitzustellen. "Uns war von vornherein klar, dass wir dafür kein System liefern konnten, das für längere Zeit ausreichend gewesen wäre", so der Manager.
In der Tat verkaufte der Systemintegrator in der Zwischenzeit dem Kunden eine weitere Blue-Coat-Appliance. Und weitere Geschäfte winken ebenfalls. Denn noch setzt die Universitätsklinik keinen Con-tent-Filter für Anfragen aus dem Web ein. Auch bei Investitionen des Kunden in eine drahtlose Netzwerk-Infrastruktur könnte Controlware mit von der Partie sein. Die Anbindung des internen Netzwerks an die Heimarbeitsplätze der Klinikmitarbeiter mittels VPN stellt eine weitere Option dar.
Meinung des Redakteurs
Sicherlich, Kunden, die einfach so mal 200.000 Euro für ein Security-Projekt hinblättern, gibt es nicht viele. Doch oftmals geht es auch eine oder zwei Nummern kleiner. Folgegeschäfte ergeben sich nach erfolgreicher Implementierung fast immer.
Solution Snapshot
Kunde Universitätsklinikum Tübingen; www.medizin.uni-tuebingen.de
Problemstellung Linux-basierte Firewall schwer zu administrieren; kein zentraler Virenschutz; Anforderungen an VPN-Kommunikation nicht mehr erfüllt
Lösung zwei redundante Firewall/VPN-Appliances Netscreen 400 von Juniper; zentrales Virenschutz-Gateway "Interscan VirusWall" von Trend Micro; Cache Proxy Web Appliance "800-3" von Blue Coat; Token-Authentisierungs-System von Vasco
Dienstleister Controlware GmbH, Niederlassung Stuttgart, Raiffeisenstr. 16, 70794 Filderstadt, Hr. Joachim Pfeiffer, Senior Account Manager
Technologielieferanten Juniper, www.juniper.net; Trend Micro, www.trendmicro.de; Blue Coat, www.bluecoat.com; Vasco, www.vasco.com
Kontaktaufnahme Kaltakquise
Verhandlungsdauer drei Monate
größte Herausforderung Erstellung des Konzepts und die eigentliche Migration
unerwartete Schwierigkeiten bei der Migration der Authentisierungslösung vom Squid-Server auf das Security Gateway von Blue Coat
länger in Anspruch genommen als vorgesehen Implementierung der Inter Scan Virus Wall
Implementierungsdauer sechs Monate
Arbeitsaufwand des Dienstleisters 120 Mannstunden
Kostenumfang des Projekts 200.000 Euro
Projektkostenaufteilung 50 Prozent für die Hardware; 30 Prozent für die Software; 20 Prozent für Services
Service- und Wartungsverträge Maintenance-Verträge mit den Herstellern; Serviceverträge mit Controlware beinhalten Hotline, Remote-Diagnose, technischen Support, Hardwaretausch und RMA-Abwicklung
Schulung Vor-Ort-Schulung mit Netscreen-Appliances und der Trend-Micro-Software; Dauer: drei Tage
Benefit für Kunden keine unmittelbaren monetären Vorteile; die neue Lösung bietet zentralen Schutz vor Angriffen aus dem Internet; sie ist leichter bedienbar und performanter als das Vorgängersystem
Benefit für den Dienstleister Projekte in Aussicht: Content-Filter; WLAN und VPN-Anbindung der Telearbeitsplätze