Anwenderbericht:
Firewall-Cluster für sichere IT-Dienstleistungen
perdata versorgt anspruchsvolle Kundschaft
 |
Dass es in Leipzig nachts taghell, Rosenheim im Winter warm und in Hamburg immer schön sauber ist – dazu leistet im Hintergrund die perdata Gesellschaft für Informationsverarbeitung mbH ihren Beitrag. perdata gehört zur Stadtwerke Leipzig-Gruppe und unterstützt unter anderem kommunale Versorgungsfirmen in ganz Deutschland mit branchenspezifischen IT-Dienstleistungen. Zudem planen, implementieren und betreuen die über 170 Mitarbeiter des Unternehmens im Kundenauftrag SAP-Systeme. Um die zentralen Versorger- und Unternehmensanwendungen als Hosting-Lösungen anbieten zu können, betreibt perdata zwei Rechenzentren in Leipzig. Die Verbindungen zu den Outsourcing-Kunden müssen zuverlässig abgesichert und hochverfügbar sein – hier setzt perdata an der Schnittstelle zwischen Rechenzentrum und Internet auf zweistufige und zertifizierte Firewalls.
Die Stadtwerke Leipzig als Muttergesellschaft sowie zahlreiche weitere kommunale Ver- und Entsorger wie die Stadtwerke Menden, Rosenheim und Jena oder auch die Leipziger Messe und das Institut für Polymerforschung (IPF) aus Dresden haben der perdata wichtige IT-Anwendungen anvertraut: beispielsweise Abrechnungs- und Handelssysteme für den Energievertrieb, Lösungen für die Logistik, Buchhaltung und das Controlling aus dem Baukasten der SAP. Diese teils individuell angepassten Anwendungen laufen auf modernsten Servern in den Rechenzentren von perdata, werden fortlaufend gepflegt und auf Kundenwunsch auch redundant und somit hochverfügbar vorgehalten. Über verschlüsselte Internet-Verbindungen greifen die Kunden dann darauf zu.
Wenn die Systeme dem Datenaustausch mit Dritten dienen, z. B. Energieerzeugern, Dienstleistern oder dem Finanzamt, stellt perdata die Server in spezielle Sicherheitsbereiche – so genannte Demilitarisierte Zonen (DMZ). Die DMZ werden vom restlichen Netzwerk abgeschirmt, so dass die externen Zugriffe von Dritten nur auf die explizit freigeschalteten Systeme erfolgen können.
Hohe Ansprüche: 99,9 prozentige Verfügbarkeit
Die Übergänge vom Rechenzentrum zum Internet sowie zu den Demilitarisierten Zonen (DMZ) werden mit Firewalls überwacht. Die Sicherheitssysteme müssen zulässige Anfragen von Kunden erkennen und zur angesprochenen Anwendung durchstellen, unerwünschte Verbindungen, Viren und sonstiger Schadcode sind dagegen abzublocken. An die Firewalls stellt perdata hohe Anforderungen: "Unsere Kunden aus der Versorgerbranche haben hohe Sicherheitsansprüche und verlangen für zentrale Anwendungen Verfügbarkeiten von bis zu 99,9 Prozent. Diese Anforderungen können wir nur mit Firewalls erfüllen, die zum einen eine starke Sicherheitsleistung bieten und zum anderen zuverlässig in ausfallsicheren Clustern arbeiten", erläutert Holger Maschke, Prokurist und Bereichsleiter Systembetrieb bei perdata.
Zur Absicherung der kritischen Netzwerk-Übergänge wählte perdata die Firewall GeNUGate. Bei dieser Lösung des deutschen Herstellers GeNUA sind zwei unterschiedliche Firewalls zu einem mehrstufigen System kombiniert: ein Application Level Gateway und ein Paketfilter. Die Firewalls laufen auf separater Hardware, sind aber in Reihe geschaltet. Daten aus dem Internet müssen also beide Systeme passieren, um ins LAN des Rechenzentrums zu gelangen.
Hohes Sicherheitsniveau durch zweistufige Firewall GeNUGate
Application Level Gateway prüft Dateninhalt
Nach außen in Richtung öffentliches Internet ist das Application Level Gateway ausgerichtet. Dies ist das aufwändigere der beiden Firewall-Systeme und überprüft den Inhalt des Datenstroms. Dazu stoppt es die eintreffenden IP-Pakete und setzt sie zu Datensätzen zusammen. Denn nur anhand kompletter Datensätze kann der Inhalt überprüft werden. Jetzt analysieren Prüfprogramme für alle gängigen Protokolle sowie zusätzlich ein Virenscanner den Inhalt der empfangenen Daten. Unerwünschter und auch gefährlicher Code wie aktive Inhalte und Viren werden so zuverlässig identifiziert und abgeblockt.
Ist die Inhaltsprüfung bestanden, erzeugt das Application Level Gateway eine neue Verbindung und schickt die Datenpakete zum zweiten Firewall-System, dem Paketfilter. Dieser prüft die formalen Informationen im Paket-Header wie Absender- und Empfängeradresse, Protokolltyp und Port-Nummer. Nur wenn die Verbindung gemäß den konfigurierten Regeln erlaubt ist, leitet der Paketfilter die Daten an den Empfänger im Rechenzentrum von perdata weiter. Die Kontrollmechanismen der beiden Firewalls arbeiten somit auf unterschiedlichen Ebenen und ergänzen sich.
Penetrationtests fanden keine Schwachstelle
Ein weiterer Vorteil der Zweistufigkeit: Die Demilitarisierten Zonen (DMZ) mit Servern, auf die externe Dritte zugreifen, können einfach zwischen den beiden Firewalls eingefügt werden. So sichert das Application Level Gateway in Richtung Internet, und auf der anderen Seite separiert der Paketfilter die DMZ vom internen Netzwerk. "Durch die zweifache Prüfung mit Inhaltskontrolle bietet die Firewall starken Schutz, so dass wir noch nie Sicherheitsprobleme hatten. Auch wiederholte Penetrationtests, die unabhängige Experten in unserem bzw. im Auftrag von sicherheitsbewussten Kunden gegen die Firewall gefahren haben, konnten keine Schwachstellen aufdecken", so Thomas Barth, Teamleiter Netzwerk im Bereich Systembetrieb bei perdata.
Auch die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die GeNUGate geprüft. Hier wurde als Maßstab der internationale Standard Common Criteria (CC) angelegt. Dabei wird das System ausführlich getestet und die korrekte Umsetzung aller Sicherheitsmechanismen bis hinunter zum Quellcode nachgeprüft. Das Ergebnis: Sicherheitszertifikat in der Stufe EAL 4+ mit dem Zusatz "Highly Resistant". EAL 4+ ist der höchste Level, der auf ein komplexes System wie eine Firewall vollständig anwendbar ist. Da die GeNUGate aber beim wichtigen Merkmal Selbstschutz noch höhere Anforderungen erfüllt – selbst sorgfältig vorbereiteten und unter günstigen Bedingungen geschickt ausgeführten Angriffen wird stärkster Widerstand entgegengesetzt – hat das BSI den Zusatz Highly Resistant vergeben. Die GeNUGate ist die einzige Highly Resistant Firewall der Welt.
Ausfallsicher durch Firewall-Cluster
Die ausfallsichere Anbindung des Rechenzentrums an das Internet gewährleistet ein Firewall-Cluster: Am zentralen Übergang teilen sich zwei GeNUGates mittels Load Sharing die Arbeit und beobachten sich dabei stets gegenseitig. Sollte ein System ausfallen, übernimmt sofort der Partner dessen Aufgaben, so dass keine Verbindungen unterbrochen werden. Durch die Zusammenarbeit wird auch ein hoher Datendurchsatz sichergestellt, der bei steigenden Anforderungen durch die Einbindung zusätzlicher Firewalls in das Cluster weiter gesteigert werden kann.
Holger Maschke, Prokurist und Bereichsleiter Systembetrieb bei perdata
Über das Cluster führt perdata alle Verbindungen zu Kunden mit sehr hohen Verfügbarkeitsanforderungen. Weitere Anbindungen des Rechenzentrums ans Internet werden mit einzelnen GeNUGates abgesichert, an zwei Stellen sind noch Ersatzsysteme im Cold Standby Modus beigefügt, die innerhalb weniger Minuten hochgefahren werden können. perdata hat im Jahr 2000 die erste GeNUGate in Betrieb genommen, heute werden insgesamt acht dieser Systeme eingesetzt. "Mit der zweistufigen Firewall erreichen wir das Sicherheitsniveau und die Verfügbarkeit, die wir garantieren müssen, um die hohen Anforderungen unserer Kunden aus der Versorgerbranche zu erfüllen.", resümiert Holger Maschke zufrieden.
