Wenn ein deutscher Botschafter irgendwo auf der Welt mit seiner Zentrale – dem Auswärtigen Amt – kommuniziert, möchte er nicht gern dabei belauscht werden. Ein spezielles Kommunikationsnetz kostet viel Geld, also muss ein günstiges VPN her.
Unser Auftrag lautet: Open Source Software, wo immer möglich und sinnvoll!” Dr. Rolf Schuster, Leiter IT-Strategie im Auswärtigen Amt in Berlin, erklärt, welche Reformkur Joschka Fischer seinen Beamten verordnet hat. “Wir müssen unsere Botschaften mit der Zentrale vernetzen. Die sind aber nicht nur in Industrieländern, sondern auch an Orten wie Kabul, Bagdad oder Pjöngjang. Orte, an denen manchmal stundenlang der Strom ausfällt und kein Telefon geht.”
Im Auswärtigen Amt ist die Migration von Monokultur zu Multikulti bei den Betriebssystemen in vollem Gang. In Zeiten knapper Haushaltsmittel ist Open-Source-Software attraktiver denn je. Viele Studien haben aufgedeckt, wo Migration möglich und wirtschaftlich ist. Unter den Bundesministerien hat Fischers Amt beim Umstieg auf Open Source die Nase vorn. Die Kommunikation der Auslandsvertretungen setzt voraus, dass alle Mitarbeiter
- am notwendigen Informationsfluss teilhaben,
- zeitgleich die erforderlichen Informationen erhalten,
- sicheren Zugriff auf angebotene Intranet-Services und E-Mail
haben und - sicher auf das Internet zugreifen können.
“Wir mussten wachsende Anforderungen bei stagnierenden Finanzen meistern. Operativ umsetzen konnten wir das nur, indem wir vorhandene Technik modernisiert haben, hohe Folgekosten vermeiden und uns von künstlich beschleunigten Produktzyklen lösen.” Dr. Schuster verlangt Zukunftssicherheit: Modularität und Skalierbarkeit. Open- Source-Software einzusetzen, das hat das Amt erkannt, erhöht die Sicherheit und verringert gleichzeitig die Abhängigkeit von Software-Monokulturen. “Selbstredend spielt in diesem Zusammenhang Microsofts geänderte Lizenzpolitik eine bedeutende Rolle.”
200 Standorte
Bis Ende 2003 sollen über 200 Botschaften und Generalkonsulate weltweit mit der Zentrale zu einem sicheren globalen Intranet vernetzt sein. Das heißt, dass die Kommunikation der Botschaften mit der Zentrale sicher verschlüsselt werden muss. Herkömmliche Verschlüsselungsgeräte sind teuer, die Kosten für Verbindungen in ferne Länder hoch.
Die Quadratur des Kreises gelang mit einem im Auftrag des BSI[1] entwickelten Linux-basierten IP-Verschlüsselungsgerät. Die SINA-Architektur (siehe Kasten “Die SINA-Architektur”) der Security Networks AG[2] erschließt die Weite des Internet, die in vielen Ländern günstig zu haben ist. Botschaften in schwierigem Terrain lassen sich über Standorte in Industriestaaten, in denen es günstige Internet-Flatrates gibt, und dedizierte Leitungen dorthin anbinden. Zudem setzt das Projekt des BSI auf eine Standard-Intel-PC-Plattform, durch die große Stückzahlen erst erschwinglich wurden.
Abbildung 1: Die SINA-Box der Firma Secunet ist das Kernstück der Hochsicherheits-VPN-Lösung, die das Auswärtige Amt einsetzt, um seine Botschaften zu vernetzen. Auf den Geräten läuft ein gehärtetes Linux.
Das Biotop für Linux wächst
Verschlüsselungsgeräte sind nicht die einzige Spielwiese für Pinguine im Auswärtigen Amt. Dutzende von Linux-Servern, von Bischkek bis New York, sind bereits im Einsatz und haben File- und Mailserver aus der Windows-Welt ersetzt. Bei so vielen Servern macht es einen deutlichen Unterschied, ob Lizenzgebühren anfallen oder nicht. Dr. Schuster schätzt, dass die Kosteneinsparung allein durch die Linux-Server im fünf- bis sechsstelligen Bereich liegt.
“Anfangs hielt sich die Begeisterung der Mannschaft in Grenzen. In unserer Windows-Monokultur war Linux ein Fremdwort.” Den Wandel brachte eine Schulung für Ingenieure im Linuxhotel[3] in Essen: “Eine Woche Schulung durch kompetente Enthusiasten hat alle überzeugt, dass es mit Linux funktioniert.” Wer dann über eine dünne Satellitenleitung einen Server in Zentralasien remote und verschlüsselt in wenigen Minuten installiert und konfiguriert hat, wurde vom Saulus zum Paulus: “Das versuchen Sie mal mit einem Windows 2000 Server”, meinte einer der Ingenieure des Auswärtigen Amts.
OpenLDAP als strategische Wahl
Die globale Systemarchitektur hat Secunet so konzipiert, dass die Sicherheit über alle Komponenten des Netzes hinweg (Client-PC, Server, Kodiergeräte, Router oder Switches) aufrecht erhalten wird – natürlich mit konsequent offenen Standards. Die Anwender behalten aber ihr gewohntes PC-Betriebssystem: ein gehärtetes Windows XP. Das Linux auf den Servern und die verschiedenen Dienste sind für die Benutzer dabei transparent. Von zentraler strategischer Bedeutung ist die Umstellung des Verzeichnisdienstes von Exchange auf OpenLDAP[4]. So werden auch künftig offene Standards konsequent umgesetzt.
Sicherheit ohne Grenzen
Die IT-Sicherheitsmaßnahmen basieren auf der Formulierung von Sicherheitsanforderungen an das Gesamt- und an die Einzelsysteme, auf definierten IT-Sicherheitsprozessen und Prozess-basierten Vorgehensweisen sowie auf einer Rollen- basierten Rechteverwaltung und Zugriffskontrolle.
Mit SINA wurde im Bereich der obersten Bundesbehörden diese VPN-Technologie zum ersten Mal flächendeckend und international eingesetzt. Die hohe Sicherheit der SINA-Box ist nicht vom Provider abhängig – er muss daher nicht Geheimschutz-betreut sein. Für das Amt ein Vorteil: In vielen Ländern kann ein kostengünstiger Anschluss über lokale Internet-Provider genutzt werden. Auch der Transport an den Bestimmungsort ist einfach und billig: Weil noch keine Geheimnisse in den Geräten gespeichert sind, werden sie ohne erhöhte Sicherheitsmaßnahmen versandt.
Die Sicherheitsmechanismen der SINA-Box entsprechen dem IPsec-Standard. Das gewährleistet Interoperabilität, aber auch den gegenseitigen Austausch gängige Kryptoalgorithmen. Das Amt kann bei besonderen Sicherheitsanforderungen auch auf proprietäre Algorithmen zurückgreifen. Die Intrusion-Detection-Systeme sind übrigens ebenfalls Open-Source-basiert.
Server und Dienste
Die Botschaften und Konsulate setzen gehärtete Linux-Server ein. Ein Ausfall der Verbindung zur Deutschland-Zentrale – das kommt bei manchen exotischen Standorten durchaus vor – soll die Arbeit allenfalls geringfügig beeinträchtigen. Die Domäne der Auslandsvertretung muss ständig erreichbar sein. Für die freigegebenen Dateien und Laufwerke wird Samba[5] als PDC oder BDC eingesetzt.
Ein vor Ort auf dem Server der Vertretung betriebenes LDAP-Verzeichnis dient der Benutzerauthentisierung: Von der Zentrale aus wird jeweils der zur Vertretung gehörende Teilbaum dorthin repliziert. Damit ist das Benutzerverzeichnis zentral administrierbar, gleichzeitig erfolgt aber die Anmeldung an der Samba-Domäne gegen das lokale statt gegen das zentrale LDAP-Verzeichnis.
Eine besondere Herausforderung für das Projektteam war das Rollenkonzept für die Benutzer. Wegen unterschiedlicher Sicherheitseinstufungen darf nicht jeder Benutzer auf alle Bereiche zugreifen. Samba erkennt die Gruppenzugehörigkeit und definiert mit einer Policy-Datei die Sicherheitseinstellungen auf dem Client-PC. Der HTTP- und FTP-Proxy Squid[6] beschränkt – nachdem sich der Benutzer am LDAP authentisiert hat – den Zugriff auf den erlaubten Intranet-Bereich. Die einzelnen Botschaften stellen vor Ort ebenfalls HTTP- und FTP-Server bereit, die remote administriert werden. Das verbindet die Vorteile zentraler Administration mit denen einer lokalen Datenhaltung.
Das Mailsystem ist einer der wichtigsten Dienste im neuen Netz. Die E-Mails liegen in den Postfächern lokal auf den Servern der jeweiligen Vertretung. Das Mailrouting über die Grenzen einer Auslandsvertretung hinweg – also auch ins Internet – läuft über die Zentrale in Deutschland. Message Transfer Agent (MTA) ist überall Exim[7]. Die Postfächer selbst hält der Cyrus IMAP Server[8] über IMAP oder POP3 vor. Die Konfigurations- und Authentisierungsinformationen liefert das LDAP-Verzeichnis. Es wurde für die wichtige Abwesenheits- und Vertreterregelung der Mitarbeiter entsprechend erweitert. Eine Webschnittstelle erlaubt es dem Personal, diese selbst zu organisieren.
Bei der Groupware-Lösung innerhalb der jeweiligen Auslandsvertretung setzt das Amt auf das Programm X-manage der Firma X-dot[9] mit offenen Standards. Ein Netz mit weltweit über 8000 Nutzern stellt hohe Anforderungen an einen Verzeichnisdienst. “Bisher hatten wir nur ein Exchange-Verzeichnis, Version 5.5. Das war für das geplante VPN bei weltweitem Einsatz zu teuer und kam nicht in Frage”, erinnert sich Dr. Schuster. “Aber da wir ohnehin Open-Source- Software einsetzen sollten, haben wir auf OpenLDAP gesetzt.”
Das Design der Verzeichnisstruktur berücksichtigt die starke Dislozierung – und die zum Teil schmalbandigen Leitungen. Jede Auslandsvertretung bildet einen eigenen Teilbaum. In der Zentrale steht der Master-Server, der die Informationen aller Teilbäume enthält.
LDAP-Verzeichnis repliziert
Von hier aus repliziert jeder Server im Ausland die Verzeichnisänderungen. OpenLDAP hat dafür bereits einen eingebauten Mechanismus – der war aber nicht gut genug und wurde durch einen anderen, erweiterten ersetzt. Mit dem sind beliebig viele Replikate jedes Teilbaums ebenso wenig ein Problem wie Netzausfälle oder instabile Verbindungen. Die Administration der Verzeichnisse wäre mit herkömmlichen LDAP-Browsern und -Tools wegen der vielen Querverweise und Abhängigkeiten innerhalb des Verzeichnisses jedoch kompliziert und fehleranfällig. Werkzeuge auf Basis von Webmin-Modulen[10] erledigen das jetzt sicher.
“Natürlich dauert die Migration und es gibt Berührungspunkte zwischen alter und neuer Technik”, räumt Schuster ein. “Uns ist wichtig, dass wir die Bestände möglichst konsistent und einfach verwalten können. Also Änderungen nicht mehrfach eingeben, sondern nur einmal. Wir haben deshalb Konnektoren und einen Propagierungsmechanismus entwickeln lassen, die bei Exchange, OpenLDAP und dem Personaldatenbanksystem die erforderliche Änderungen und Folgeaktionen automatisieren.”
Administration
Die Linux-Router werden mit einem PHP-Konfigurationstool administriert – mit Templates geht das schnell. Spätere Änderungen erfolgen per SSH und SCP. Das Monitoring basiert zum größten Teil auf SNMP; der Lastüberwachung dient Argus[11]. Interfacedaten für die spätere Auswertung sammelt MRTG. Verlorene Pakete und die Laufzeit analysiert Smoke-ping[12].
Die Überwachung und Fehlerdiagnose der Switche wird mit Hilfe von HP OpenView[13] SNMP-basiert durchgeführt, ebenso wichtige Serverparameter wie Prozesse, CPU-Load und Filesysteme. Der Konfiguration von Diensten und Services dient Webmin. Web-basiert und plattformunabhängig gewährt es verteilten Zugriff und konnte einfach an die Bedürfnisse des Auswärtigen Amts angepasst werden.
Die Administration für eine Auslandsvertretung erfolgt immer an zwei Orten. Zum einen in der Auslandsvertretung selbst: Sie administriert DHCP, Samba-Shares und Quotas. Zum anderen auch von der Zentrale aus: Sie verantwortet das Sicherheitsmanagement, das Mailtracking, das Anpassen der Mailverteiler und die Userkonfiguration.
Innerhalb des Projekts wurden entweder bestehende Webmin-Module vereinfacht, angepasst oder ganz neu geschrieben. Das Amt gibt Entwicklungen an die Entwicklergemeinde zurück. Wie bei allen anderen Diensten sollte auch das Administrationstool Webmin eine LDAP-Anbindung realisieren. Für jeden User kann so individuell der Zugriff gewährt oder wieder entzogen werden. Auch Webmin authentisiert die Benutzer gegen das im LDAP-Verzeichnis abgelegte Passwort.
Migration
Die Hälfte aller Auslandsvertretungen hatte bereits früher eine Mailanbindung an die Zentrale. Das lief fast ausschließlich über MS-Mail und eine X.25-Datenverbindung. Die Migration sei gerade dort eine Herausforderung, erzählt Schuster, weil manche Vertretungen so groß sind, dass die Mailumstellung nicht auf einen Schlag klappt. Das heißt, der MS-Mail-Server bleibt so lange am Netz, bis die Umstellung durch ist.
Da Linux-Server keine Schnittstelle zu MS-Mail anbieten, mussten beide Welten auf andere Weise verbunden werden. Während der Migration dient ein Exchange-Server als Vermittler: ein zusätzlich mitgeliefertes Notebook oder ein überzähliger PC. Exchange- und MS-Mail-Server gehen nach der Migration endgültig vom Netz.
Der Vorteil: Die Anwender-PCs lassen sich im zentralen LDAP-Verzeichnis – unabhängig von der tatsächlichen Abfolge während des Roll-outs – komplett auf das VPN-Mail-Routing umstellen. “Mit dem Einsatz von Open Source und der Umstellung auf IP-basiertes VPN konnten wir uns erst die Vernetzung aller Auslandsvertretungen leisten.” Ganz nach Joschka Fischers Auftrag.
|
Die |
|---|
|
Die SINA-Architektur bildet ein VPN (Virtual Private Network) und basiert auf mehreren Einzelkomponenten. Zentraler Bestandteil ist das VPN-Gateway, die SINA-Box. Auf gängiger PC-Hardware läuft ein gehärtetes Linux. Die Benutzer authentisieren sich über Smartcards an ihrem Arbeitsplatz. Die Box hat die BSI-Zulassung bis zur Sicherheitsstufe Geheim. Die Datenübermittlung per Satellit und VoIP (Sprachübertragung per Internet Protocol) wird derzeit optimiert. Die technischen Daten Betriebssystem: gehärtetes SINA-Linux, bootet von CD-ROM oder Flash-ROM Plattform: Intel Netzwerk-Schnittstellen: 10/100/1000 MBit Ethernet, WLAN (802.11b), Token Ring Smartcards: Card OS 4.01, TCOS 2.0, Aladdin eToken Pro (USB) SC-Leser: Kobil B1 Professional Symmetrische Kryptoverfahren: AES, 3DES, Chiasmus (BSI), Libelle (Kryptochip PLUTO) Asymmetrische Kryptoverfahren: RSA, EC-DAS, Diffie-Hellman |
|
Infos |
|---|
|
[1] Bundesamt für Sicherheit in der Informationstechnik: [http://www.bsi.de] [2] [http://www.secunet.de] [3] [http://www.linux-hotel.de] [4] [http://www.openldap.org] [5] [http://www.samba.org] [6] [http://www.squid-cache.org] [7] [http://www.exim.org] [8] [http://asg.web.cmu.edu/cyrus/imapd] [9] [http://www.x-dot.de] [10] [http://www.webmin.com] [11] [http://www.argus.tcp4me.com] [12] [http://people.ee.ethz.ch/~oetiker/webtools/smokeping] [13] [http://www.openview.hp.com] |
