|  |
Anwenderbericht: Anbindung mobiler Anwender beim Bayerischen Rundfunk
 Im Zuge der Einführung einer VPN-Lösung für mobile Anwender stießen wir auf folgende Herausforderung: IPSec-basierende Systeme benötigen einen VPN-Client, der aus Sicherheitsgründen nicht auf externen Notebooks installiert werden kann. Nicht alle Mitarbeiter verfügen über ein solches Gerät. Um enorme Anschaffungskosten zu vermeiden, suchten wir nach einer Alternative. Mit einer VPN-Lösung basierend auf Secure Socket Layer (SSL)lieferte uns die Defense AG die richtige Lösung. Heute bietet ein SSL-VPN Appliance Cluster von Juniper Networks den Anwendern des BR die Möglichkeit, von jedem internetfähigen Rechner auch sicher auf interne Applikationen zuzugreifen.
Situation
Eine der Kernapplikationen beim Hörfunk des BR stellt das sogenannte „Nachrichtenverteilsystem“ dar, welches von Agenturen und den anderen Quellen gespeist wird. Auf dieses System, das derzeit neu aufgebaut wird, greift ein Großteil der externen User zu. Bislang erfolgte dieser Zugriff über die klassische RAS-Einwahl. Über SSL-VPN soll nun auch der weltweite Zugriff ermöglicht werden. Parallel zur Erneuerung des „Nachrichtenverteilsystems“ erfolgt die Digitalisierung der BR-Archive. Auch diese sollen künftig den BR-Journalisten weltweit über die Juniper-Lösung zugänglich gemacht werden. Seit 2000 wurden nach und nach alle Außenlokationen des Bayerischen Rundfunks über IPSec-basierendes Site-to-Site VPNs angeschlossen. Zu Beginn gaben Wirtschaftlichkeitsberechnungen den entscheidenden Ausschlag. Außerdem hatte man bereits eine VPN-fähige Internet-Firewall.
Die Verschlüsselung der Daten erfolgt über AES (Advanced Encryption Standard). Niedrigere Verschlüsselungsstandards kommen für den BR aus Sicherheitsgründen nicht in Frage: „Im Medienbereich stellt sich natürlich immer die Frage: Wer hat die Information zuerst? Eine Konkurrenzsituation ist immer gegeben. Außerdem haben Journalisten die Verpflichtung, sowohl die hochvertraulichen Daten aus Informantenkreisen als auch die Quellen selbst wirkungsvoll zu schützen," erläutert Michael Rennollet. Während die VPN-Lösung beim Zusammenschluss der Studios einwandfrei funktionierte, war die Anbindung einzelner Mitarbeiter und Korrespondenten über das Internet nicht so einfach. Die bestehende RAS-Einwahllösung (Remote Access Service) über ISDN-Leitungen wurde schon Jahre zuvor von der Defense AG konzipiert und eingerichtet. Mit dieser Lösung konnte man zum einen externen Firmen die Möglichkeit der Fernwartung und –administration geben. Zum anderen hatten Reporter, die mit BR-eigenen Notebooks unterwegs waren, externen Zugriff auf das Firmennetzwerk und ihre E-mails. Um dem steigenden Sicherheitsbedürfnis Rechnung zu tragen, wurde eine Token-Authentisierung mit dynamischen Passwörtern angeschafft. Im Zuge dieses Projektes wurden die BR-eigenen Notebooks der mobilen Mitarbeiter mit einer IPSec-basierenden VPN-Client-Lösung ausgerüstet.
Aufgabenstellung: Anbindung mobiler Anwender
"Wenn der User sowieso einen Internet Account auf seinem Notebook hat, um ins Internet zu kommen, und eine ISDN-Karte, um sich beim BR einzuwählen, warum machen wir dann nicht gleich den Weg frei für eine Einwahl über das Internet mit VPN-Kopplung? Der Vorteil ist, dass der Journalist diese Einwahl weltweit nutzen kann und nicht nur im Bereich des Internet Roaming Partners. Aus Sicherheitsgründen konnte die IPSec-basierende VPN-Lösung, die ja einen VPN-Client benötigt, nur auf BR-eigenen Systemen laufen. Nur dort haben wir die Kontrolle über Hard- und Software. Es darf auch nicht sein, dass ein User lokale Administrationsrechte besitzt. Wenn der User selbst die Einstellungen seines Notebooks verändern kann, dann sprechen wir an dieser Stelle nicht mehr von Security. Diese strikte Policy forderte aber, für alle in Frage kommenden externen Anwender BR-eigene Notebooks anschaffen zu müssen. Das war wirtschaftlich nicht vertretbar."
Lösung: SSL-basierende VPN-Lösung statt IPSec VPN-Client
Nach einer eingehenden Analyse der Anforderungen des Bayerischen Rundfunks empfahl die Defense AG, eine SSL-basierende VPN-Lösung mit Reverse Proxy-Funktionalitäten einzusetzen. So wurde sichergestellt, dass externe Mitarbeiter ohne ein BR-eigenes Notebook sicher auf interne Applikationen zugreifen können. Als weitere Anforderung galt die Unterstützung der bereits implementierten starken Authentisierung mit Einmal-Passwort-Tokens durch das System. Beim Reverse-Proxy-Modell verbindet sich der Benutzer per SSL auf eine angepasste Startseite, die die entsprechenden Applikationen zur Verfügung stellt. Aus einer eigenen DMZ heraus greift - anstelle des Anwenders direkt - das SSL-VPN System auf die native Applikation im eigentlichen Netzwerk zu. „Das war am Anfang schon ein Kulturschock, zu sagen und auch zu glauben, dass SSL genauso funktioniert wie IPSec“, erinnert sich Michael Rennollet. Der Sachgebietsleiter Netze der Kommunikationstechnik beim Bayerischen Rundfunk ließ sich jedoch schnell vom Konzept der Defense AG überzeugen. Nach ausführlichen Produktevaluierungen stellte sich heraus, dass die Lösung von Juniper Netscreen die Anforderungen des BR am umfassendsten erfüllte.
Installation und Migration
"Durch unsere Erfahrungen aus den Teststellungen mit den Produkten anderer Anbieter konnten wir die Testphase der Appliance von Juniper sehr kurz gestalten. In nur knapp zwei Arbeitstagen war die Test-Konfiguration abgeschlossen und die ersten drei Applikation wurden publiziert. In diesen zwei Tagen haben wir keine gravierenden Fehler gefunden, die Applikationen waren sehr schnell auf dem System verfügbar und auch das Gesamtportfolio der Lösung stimmte. Uns war klar: Diese Appliance werden wir beschaffen."
Seit 2004 ist die SSL-VPN Appliance beim Bayerischen Rundfunk produktiv. Die 3000er Serie der IVE-Appliance ist für bis zu 1000 gleichzeitig zugreifende User ausgelegt. Um Hochverfügbarkeit (Hot Standby) zu garantieren, wurde eine zweite Appliance angeschafft. Sollte ein Lasten-Engpass auftauchen, ließe sich mit dieser geclusterten Lösung zudem ein Load Balancing realisieren. Nach der Erstinstallation liefen die Appliances problemlos und erforderten kaum Wartungsaufwand. Die Serviceleistungen der Defense AG beschränken sich daher auf das Einspielen von Fixes und der Aktualisierung von Lizenzen.
Fazit einer erfolgreichen Lösung
„Primär ging es uns darum, externen Mitarbeitern „clientless“ einen direkten Zugang auf unsere Applikationen zu gewähren – und das sicherheitskonform. Natürlich spielten auch wirtschaftliche Aspekte eine Rolle. So konnte man sich die Anschaffung vieler teurer Notebooks sparen. Im Direktvergleich haben wir jedoch festgestellt, dass sich die Kosten für eine IPSec-basierende und eine SSL-basierende Lösung die Waage halten. Die Kosten setzen sich zusammen aus Wartung und Einrichtung, Concurrent-Lizenzen, etc. Wir müssen jedoch keine teuren und wartungsintensiven Repliken der Applikationen in die DMZ stellen.
Die Zusammenarbeit zwischen dem BR und der Defense AG hat sich während der halbjährigen Projektphase äußerst eng gestaltet. Die Defense AG hat alle Hebel in Bewegung gesetzt, um für den Bayerischen Rundfunk die passende Lösung auszusuchen und zu beschaffen. Auch zukünftig setzt der BR auf die Defense AG als Beratungspartner. 08/2005, Peter Dölling
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Mobile Systeme wie Notebooks, PDAs und - immer mehr im Trend - Smartphones sind aus der aktuellen Geschäftswelt nicht mehr wegzudenken. Wurde anfänglich im Wesentlichen mobil telefoniert, wird es immer mehr selbstverständlich, Daten von unterwegs ... | |  | | Am 15. Juni war es soweit: Hersteller von Virenschutzprogrammen meldeten Cabir, den ersten Wurm, der Mobiltelefone befällt. Cabir kann sich über Bluetooth auf Nokias Plattform „Serie 60“ verbreiten. Bevor ein Gerät infiziert wird, muß dessen Benutzer ... | |  | | Allgemeine Bausparkasse reg. Gen. m. b. H nutzt SecureWave-Software zur umfassenden Datensicherheit ... | |  | | Die LBS Nord setzt IBM Notebooks mit einer integrierten hardwarebasierten Sicherheitslösung in Kombination mit der Utimaco Software SafeGuard Easy ein. Dies ermöglicht die sichere Komplett-Verschlüsselung der gesamten Festplatte und somit den Schutz ... | |  | | Für die Pharmaindustrie ist das Spam-Problem besonders dramatisch – nicht nur, weil Pharma-bezogene Themen häufig Inhalt der Werbemails sind. Gerade der Bereich Forschung und Entwicklung hatte unter der andauernden Belästigung zu leiden. Merz Pharma ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
