Anwenderbericht: Anbindung mobiler Anwender beim Bayerischen Rundfunk
Im Zuge der Einführung einer VPN-Lösung für mobile Anwender stießen wir auf folgende Herausforderung: IPSec-basierende Systeme benötigen einen VPN-Client, der aus Sicherheitsgründen nicht auf externen Notebooks installiert werden kann. Nicht alle Mitarbeiter verfügen über ein solches Gerät. Um enorme Anschaffungskosten zu vermeiden, suchten wir nach einer Alternative. Mit einer VPN-Lösung basierend auf Secure Socket Layer (SSL)lieferte uns die Defense AG die richtige Lösung. Heute bietet ein SSL-VPN Appliance Cluster von Juniper Networks den Anwendern des BR die Möglichkeit, von jedem internetfähigen Rechner auch sicher auf interne Applikationen zuzugreifen.
Situation
Eine der Kernapplikationen beim Hörfunk des BR stellt das sogenannte „Nachrichtenverteilsystem“ dar, welches von Agenturen und den anderen Quellen gespeist wird. Auf dieses System, das derzeit neu aufgebaut wird, greift ein Großteil der externen User zu. Bislang erfolgte dieser Zugriff über die klassische RAS-Einwahl. Über SSL-VPN soll nun auch der weltweite Zugriff ermöglicht werden. Parallel zur Erneuerung des „Nachrichtenverteilsystems“ erfolgt die Digitalisierung der BR-Archive. Auch diese sollen künftig den BR-Journalisten weltweit über die Juniper-Lösung zugänglich gemacht werden. Seit 2000 wurden nach und nach alle Außenlokationen des Bayerischen Rundfunks über IPSec-basierendes Site-to-Site VPNs angeschlossen. Zu Beginn gaben Wirtschaftlichkeitsberechnungen den entscheidenden Ausschlag. Außerdem hatte man bereits eine VPN-fähige Internet-Firewall.
Die Verschlüsselung der Daten erfolgt über AES (Advanced Encryption Standard). Niedrigere Verschlüsselungsstandards kommen für den BR aus Sicherheitsgründen nicht in Frage: „Im Medienbereich stellt sich natürlich immer die Frage: Wer hat die Information zuerst? Eine Konkurrenzsituation ist immer gegeben. Außerdem haben Journalisten die Verpflichtung, sowohl die hochvertraulichen Daten aus Informantenkreisen als auch die Quellen selbst wirkungsvoll zu schützen," erläutert Michael Rennollet. Während die VPN-Lösung beim Zusammenschluss der Studios einwandfrei funktionierte, war die Anbindung einzelner Mitarbeiter und Korrespondenten über das Internet nicht so einfach. Die bestehende RAS-Einwahllösung (Remote Access Service) über ISDN-Leitungen wurde schon Jahre zuvor von der Defense AG konzipiert und eingerichtet. Mit dieser Lösung konnte man zum einen externen Firmen die Möglichkeit der Fernwartung und –administration geben. Zum anderen hatten Reporter, die mit BR-eigenen Notebooks unterwegs waren, externen Zugriff auf das Firmennetzwerk und ihre E-mails. Um dem steigenden Sicherheitsbedürfnis Rechnung zu tragen, wurde eine Token-Authentisierung mit dynamischen Passwörtern angeschafft. Im Zuge dieses Projektes wurden die BR-eigenen Notebooks der mobilen Mitarbeiter mit einer IPSec-basierenden VPN-Client-Lösung ausgerüstet.
Aufgabenstellung: Anbindung mobiler Anwender
"Wenn der User sowieso einen Internet Account auf seinem Notebook hat, um ins Internet zu kommen, und eine ISDN-Karte, um sich beim BR einzuwählen, warum machen wir dann nicht gleich den Weg frei für eine Einwahl über das Internet mit VPN-Kopplung? Der Vorteil ist, dass der Journalist diese Einwahl weltweit nutzen kann und nicht nur im Bereich des Internet Roaming Partners. Aus Sicherheitsgründen konnte die IPSec-basierende VPN-Lösung, die ja einen VPN-Client benötigt, nur auf BR-eigenen Systemen laufen. Nur dort haben wir die Kontrolle über Hard- und Software. Es darf auch nicht sein, dass ein User lokale Administrationsrechte besitzt. Wenn der User selbst die Einstellungen seines Notebooks verändern kann, dann sprechen wir an dieser Stelle nicht mehr von Security. Diese strikte Policy forderte aber, für alle in Frage kommenden externen Anwender BR-eigene Notebooks anschaffen zu müssen. Das war wirtschaftlich nicht vertretbar."
Lösung: SSL-basierende VPN-Lösung statt IPSec VPN-Client
Nach einer eingehenden Analyse der Anforderungen des Bayerischen Rundfunks empfahl die Defense AG, eine SSL-basierende VPN-Lösung mit Reverse Proxy-Funktionalitäten einzusetzen. So wurde sichergestellt, dass externe Mitarbeiter ohne ein BR-eigenes Notebook sicher auf interne Applikationen zugreifen können. Als weitere Anforderung galt die Unterstützung der bereits implementierten starken Authentisierung mit Einmal-Passwort-Tokens durch das System. Beim Reverse-Proxy-Modell verbindet sich der Benutzer per SSL auf eine angepasste Startseite, die die entsprechenden Applikationen zur Verfügung stellt. Aus einer eigenen DMZ heraus greift - anstelle des Anwenders direkt - das SSL-VPN System auf die native Applikation im eigentlichen Netzwerk zu. „Das war am Anfang schon ein Kulturschock, zu sagen und auch zu glauben, dass SSL genauso funktioniert wie IPSec“, erinnert sich Michael Rennollet. Der Sachgebietsleiter Netze der Kommunikationstechnik beim Bayerischen Rundfunk ließ sich jedoch schnell vom Konzept der Defense AG überzeugen. Nach ausführlichen Produktevaluierungen stellte sich heraus, dass die Lösung von Juniper Netscreen die Anforderungen des BR am umfassendsten erfüllte.
Installation und Migration
"Durch unsere Erfahrungen aus den Teststellungen mit den Produkten anderer Anbieter konnten wir die Testphase der Appliance von Juniper sehr kurz gestalten. In nur knapp zwei Arbeitstagen war die Test-Konfiguration abgeschlossen und die ersten drei Applikation wurden publiziert. In diesen zwei Tagen haben wir keine gravierenden Fehler gefunden, die Applikationen waren sehr schnell auf dem System verfügbar und auch das Gesamtportfolio der Lösung stimmte. Uns war klar: Diese Appliance werden wir beschaffen."
Seit 2004 ist die SSL-VPN Appliance beim Bayerischen Rundfunk produktiv. Die 3000er Serie der IVE-Appliance ist für bis zu 1000 gleichzeitig zugreifende User ausgelegt. Um Hochverfügbarkeit (Hot Standby) zu garantieren, wurde eine zweite Appliance angeschafft. Sollte ein Lasten-Engpass auftauchen, ließe sich mit dieser geclusterten Lösung zudem ein Load Balancing realisieren. Nach der Erstinstallation liefen die Appliances problemlos und erforderten kaum Wartungsaufwand. Die Serviceleistungen der Defense AG beschränken sich daher auf das Einspielen von Fixes und der Aktualisierung von Lizenzen.
Fazit einer erfolgreichen Lösung
„Primär ging es uns darum, externen Mitarbeitern „clientless“ einen direkten Zugang auf unsere Applikationen zu gewähren – und das sicherheitskonform. Natürlich spielten auch wirtschaftliche Aspekte eine Rolle. So konnte man sich die Anschaffung vieler teurer Notebooks sparen. Im Direktvergleich haben wir jedoch festgestellt, dass sich die Kosten für eine IPSec-basierende und eine SSL-basierende Lösung die Waage halten. Die Kosten setzen sich zusammen aus Wartung und Einrichtung, Concurrent-Lizenzen, etc. Wir müssen jedoch keine teuren und wartungsintensiven Repliken der Applikationen in die DMZ stellen. Die Zusammenarbeit zwischen dem BR und der Defense AG hat sich während der halbjährigen Projektphase äußerst eng gestaltet. Die Defense AG hat alle Hebel in Bewegung gesetzt, um für den Bayerischen Rundfunk die passende Lösung auszusuchen und zu beschaffen. Auch zukünftig setzt der BR auf die Defense AG als Beratungspartner.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER