Die in Mittel- und Osteuropa agierende österreichische Baufirma Porr AG war gerade dabei, über Alternativen zu ihrem teuren Frame-Relay-Netzwerk nachzudenken, als sie das Angebot der Linbit GmbH erreichte. Das Wiener Systemhaus bot eine auf quelloffener Software basierende sichere Zugangslösung an.
Die an IT-Leiter gerichtete Telemarketingaktion stieß bei der Porr AG sofort auf fruchtbaren Boden, dann man suchte dort auch nach einer sicheren Gateway für die externen Mitarbeiter. Sie sollten über eine verschlüsselte Leitung auf die internen Webserver und anderen Applikationen zugreifen. "Die von uns angebotene Lösung hat als einzige alle Anforderungen erfüllt. Sie war kommerziell am attraktivsten, aber auch am innovativsten", beschreibt Linbits Projektleiter Stefan Schleifer den Beginn der Zusammenarbeit mit dem Baukonzern.
Industriemodule genügen
Den besonderen Reiz des vom Wiener Dienstleister angebotenen Netzwerkzugangs macht die Tatsache aus, dass er nicht auf teurer herkömmlicher Netzwerkhardware basiert, sondern auf einem billig herzustellenden Standardbaustein.
Im vorliegenden Fall handelt sich dabei um den "Microserver" der in Eching bei München ansässigen Kontron AG. Deren Tochter, Kontron Embedded Modules AG im niederbayerischen Deggendorf, fertigt die knapp zwölf mal zwölf Zentimeter messenden Module.
Unter deren Gehäuse verbirgt sich ein mit 0,3 bis 1,1 GHz getaktetes CPU-Modul, das auf maximal 512 MB Arbeitsspeicher zurückgreifen kann. Ferner gibt es darin einen Massenspeicher: entweder in Form einer Compact-Flash-Karte oder als herkömmliche 2,5-Zoll-Festplatte.
Für die Verbindung ins Netzwerk sorgen mindestens drei (Fast-)Ethernet-Anschlüsse. Hinzu kommen jeweils zwei USB- und RS232- Schnittstellen.
Über einen speziellen Sockel lassen sich xDSL-, ISDN-,Modem- und Bluetooth-Module hinzufügen, sodass der Microserver auch übers Telefonnetz oder drahtlos steuerbar ist. Individuell konfiguriert werden kann er über PS/2-Schnittstellen (für Maus und Tastatur) und VGA-Interface (Monitor). Anschlussmöglichkeiten gibt es ferner für Sound sowie für weitere Festplatten oder CD-ROM-Laufwerke. Die Spannungsversorgung erfolgt mittels eines Weitbereichs-DCDC-Konverters entweder zwischen 9 und 32 Volt oder konstant mit fünf Volt.
Insgesamt gibt es den Microserver in drei Ausführungen: als Embedded-System, als Einschub für ein Rack-System oder als Boxlösung.
VPN für acht Länder
Die Boxvariante des Microservers installierte Linbit auf allen größeren Baustellen der Porr AG, und das nicht nur in Österreich, sondern auch in der Schweiz und in Deutschland, in Frankreich und Polen, in der Tschechischen Republik, in der Slowakei und in Ungarn.
"Durch ein glückliches Timing kam - kurz nachdem wir das Angebot dem Kunden vorgelegt hatten - Kontron mit dem Microserver auf uns zu", erinnert sich Schleifer von der Linbit GmbH. "Wir haben diese Hardwarevariante - bis dato hat Kontron nur Systemboards vertrieben - in unserem Vorschlag an den Kunden nachgereicht.
Gleich die ersten Geräte konnten wir an die Porr AG verkaufen - nach einem gerade mal einwöchigen Test."
Insgesamt sind derzeit 50 Microserver beim Kunden im Einsatz. Sie unterscheiden sich - was ihr Innenleben betrifft - nicht voneinander. So sind die Geräte jeweils mit einer 64 MByte fassenden Flash-Speicher-Karte ausgerüstet. Im Einkauf bei Kontron kosteten sie etwa 600 Euro das Stück.
Open Source
Auf diesen "Maschinchen" installierten die Linbit-Mitarbeiter eine abgespeckte Version der Debian-Linux-Distribution. Dabei bestand die Herausforderung darin, diese Version der quelloffenen Software auf 40 MByte "einzudampfen", ohne die notwendigen Funktionen des Betriebssystems einzuschränken. Denn zusätzlich mussten auf jedem Microserver noch eine Firewall sowie die für den Aufbau von VPN-Verbindungen notwendige Software implementiert werden.
Hierbei entschied sich der Dienstleister ebenfalls für ein Open-Source-Produkt, nämlich für die Freeswan/IPSec-Software.
Diese asymmetrische Kryptografie-Lösung verwendet X.509-Zertifikate, sodass die Anzahl der Schlüssel für die Anbindung von über 100 Endpunkten, also doppelt so vielen wie derzeit benötigt, ausreichen würde. Laut Linbit bleibt dieses VPN auch dann sicher, wenn eines der Endgeräte gestohlen werden sollte.
Sicherer Zugriff
Parallel zur Ausstattung der 50 Baustellen mit sicheren VPN-Zugängen installierte Linbit in der Wiener Firmenzentrale der Porr AG einen hochverfügbaren Linux-Cluster. Dieser basiert auf einem herkömmlichen PC-Server mit einer einzigen CPU. Auf dem Cluster verrichtet der Reverse Proxy seine Arbeit.
Es ist ein SSL-abgesicherter Webserver, der die Inhalte der Porr-eigenen Webserver nach außen hin publiziert. So bekommen die etwa 10.000 Mitarbeiter der Baukonzerns Zugriff auf das Intranet.
Die Webdokumente werden beim Durchreichen auf den Proxy verschlüsselt, Links, Redirects und Cookies so verändert, dass sie von Fremden nicht mehr nachverfolgt werden können. "Damit ist das gesamte Intranet über einen einzigen SSL-Webserver von außen zugänglich", erklärt der Technikchef des Linux-Dienstleisters Maximus Reisner das Proxy-(Stellvertreter)-Prinzip.
Der zentrale Linux-Cluster verwaltet auch alle VPN-Tunnel, und das ist eine ganze Menge: Bei 50 Knoten gibt es 1.225 theoretische VPN-Verbindungsmöglichkeiten.
Doch auch diese Hürde meisterte Linbit und löste gleichzeitig bei der Porr AG ein kombiniertes Hardware-Software-Nokia-Checkpoint-Sicherheitssystem ab.
Ein wenig kniffliger gestaltete sich hingegen die Installation des RSA-ACE-Servers am zentralen Linux-Cluster. Die RSA-ACE-Software prüft, ob jeder Nutzer, der sich am Proxy-Server anmeldet, auch wirklich die Berechtigung dazu hat. Denn jeder, der Einlass ins firmeninterne Netzwerk begehrt, muss neben seinem Nutzernamen seine fest vorgegebene vierstellige PIN (persönliche Identifikationsnummer) und ein sechsstelliges Einmalpasswort (Token) eingeben.
"Die Verknüpfung des RSA-ACE-Servers mit dem Proxy war die größte Herausforderung in diesem Projekt", blickt Linbits Linux-Experte Schleifer zurück.
Vier Wochen genügten
Trotz dieser Hindernisse war die komplette Implementierung des virtuellen privaten Netzes bei der Porr AG nach vier Wochen beendet. Nach Aussagen von Linbit gab es auch nach einem halben Jahr keinen einzigen Hardwareausfall. Der Verzicht auf Verschleißteile wie Festplatte im Microserver spielt hier sicherlich eine bedeutende Rolle.
"Außerdem sind diese Geräte in der Lage, mehrere Verbindungen gleichzeitig zu managen", betont Schleifer. So ist das Vertrauen des Kunden in Linux erheblich gestiegen. Folgeprojekte mit der Open-Source-Plattform stehen schon an. Die Porr AG hat das Systemhaus beauftragt, die Ausfallsicherheit der eigenen Systeme zu erhöhen.
Dies soll Linbits Hochverfügbarkeitslösung "Distributed Replicated Block Device (DRBD)" bewerkstelligen. Hierbei werden mindestens zwei Server miteinander gekoppelt, und so wird eine bessere Verfügbarkeit des Systems gewährleistet. "Unser System ist bis zu 90 Prozent billiger als herkömmliche kommerzielle Cluster", betont Philipp Reissner, DRBD-"Erfinder" und Geschäftsführer bei der Linbit GmbH. Grund für diese Kostenersparnis: der Einsatz von Standard-PC-Hardware und kostenloser Open-Source-Software.
Meinung
Vor vier Jahren war mit reinen Open-Source-Projekten kein Blumentopf zu gewinnen. Entsprechend ausgerichtete Dienstleister gingen reihenweise Pleite oder mussten ihr Geschäftsmodell ändern.
Heute hingegen schreibt ein Linux-Systemhaus wie die Wiener Linbit GmbH schwarze Zahlen. (mec)
Projektüberblick
Problemstellung | Aufbau eines VPN, das die Niederlassungen abhör- und angriffsicher über das Internet mit der Zentrale und untereinander verbindet. |
|---|---|
| |
Lösung | hoch verfügbarer Linux-Cluster in der Zentrale; Netzknoten der Außenstellen: Kontron Microserver mit optimiertem Flash-Linux, asymmetrische |
Kryptographielösung | Freeswan/IPSec |
Dienstleister | Linbit Information Technologies GmbH, www.linbit.com |
Technologielieferant | Kontron Embedded Modules AG, www.kontron.de |
Kontaktaufnahme | Kaltakquise |
Verhandlungsdauer | drei Monate von der Akquise bis zum Abschluss |
größte Herausforderung | Verküpfung des RSA-ACE-Servers mit dem Proxy in der Zentrale |
unerwartete Schwierigkeiten | Anpassung der Debian-Linux-Distribution auf 40 MB |
Implementierungsdauer | vier Wochen |
Arbeitsaufwand des Dienstleisters | rund 400 Mannstunden |
Kostenaufteilung | 93 Prozent für Dienstleistung, Rest für Hardware |
Service- und Wartungsverträge | Wartung, Monitoring und Betrieb wird von Linbit übernommen |
Schulung | ein Tagesworkshop für das Kennenlernen des Systems |
Benefit für Kunden | Ersatz des teuren länderübergreifenden Frame-Relay-Netzwerks durch billige Internetverbindungen |
Benefit für den Dienstleister | das Vertrauen in Linux im österreichischen Markt gestärkt; Folgegeschäft beim Erhöhung der Ausfallsicherheit; Beweis, dass Linux eine Referenzkundenpreiswerte und konkurrenzfähige Alternative ist; nicht der Kunde richtet sich nach der Software, sondern die Software nach den Anforderungen des Kunden; weitere Kunden im Enterprise-Bereich gewonnen |
Dieser Beitrag stammt von unserer Schwesterzeitschrift ComputerPartner, der Fachzeitschrift für den ITK-Handel.