Firmenbrief

19.11.2008

Techniken zur Standortvernetzung




Eine häufige Aufgabenstellung, mit der Unternehmen jeder Größe zur LIS AG kommen, ist die Vernetzung verschiedener Standorte. Dank preiswerter DSL-Leitungen mit guten Kapazitäten von 16 mBit down- und 512 kBit upstream scheint es zunächst ganz einfach, selbst über viele hundert Kilometer hinweg Datenbestände gemeinsam zu nutzen. Dabei steckt die Tücke im Detail: Die Frage "wer - was - wie" in solch einer Struktur ausführt, erfordert die Betrachtung der Leitung an sich, der Nutzdaten sowie Fragen zur Identitätssteuerung und Namensauflösung. All diese Punkte werden in diesem kurzen Abriss behandelt.

Leitung

Die Leitung stellt in erster Linie ein Sicherheitsproblem dar. Daten, die über sie ausgetauscht werden, müssen sowohl in Hinsicht auf einen möglichen Ausfall der Leitung als auch in Hinsicht eines Übergriffes "böser Buben" abgesichert werden. Dabei ist dieser Begriff keinesfalls verharmlosend gemeint. Die meisten Angriffe aus dem Internet haben nicht die Absicht der Industriespionage, sondern werden von sogenannten Script-Kiddies ausgeführt - das sind meist jugendliche Täter, die im Internet kursierende Skripts für Angriffe auf unterschiedliche Sicherheitslücken nutzen, ohne wirklich tiefgreifendes technisches Verständnis. Ziel ist dabei neben dem "sportlichen" Ehrgeiz häufig das Kapern von Bandbreite oder Speicherplatz, um Tauschbörsen und ähnliches zu unterhalten.

Grundsätzlich bietet eine Firewall Schutz vor solchen Angriffen. Im speziellen Fall, wenn Daten zwischen Filialen ausgetauscht werden, sollte dieser Datenverkehr untereinander zusätzlich verschlüsselt werden. Die Techniken dafür sind lange erprobt, so dass beispielsweise mit IPSec oder OpenVPN eine abgesicherte Verbindung hergestellt werden kann.

Allerdings kann eine Leitung unzuverlässig sein und ausfallen, oder anderweitig in der Qualität beeinträchtigt sein, wodurch eine Standortvernetzung deutlich erschwert wird. Abhilfe schafft hier Redundanz: Eine weitere Leitung, am besten von einem anderen Provider, die auch nicht mit der gleichen Bandbreite ausgestattet sein muss, zusammen mit einer lastverteilenden Firewall sorgt für optimal genutzte Bandbreite bei erhöhter Ausfallsicherheit.

Die CoreBiz Firewall der LIS AG kann mit den genannten Techniken wie VPN und Lastverteilung ausgestattet werden und bietet zudem durch Web-Proxy und Filterung weitere nützliche Eigenschaften, die durch eine redundante Auslegung nochmals ausfallsicherer gemacht werden können.

Daten

Die Frage nach dem "Was" entscheidet maßgeblich über die zu planende Standortvernetzung. Häufig geh man davon aus, dass die beiden Netze wie ein einziges agieren sollen, so dass der komplette Zugriff auf sämtliche Dienste der jeweilig anderen Struktur möglich ist. Allerdings ist diese vollständige Verschmelzung der Netze nicht immer notwendig oder erwünscht. Wenn 500 Seiten Handbuch versehentlich auf dem falschen Drucker 500 km entfernt ausgedruckt werden, ist das meist nicht sinnvoll.

Daher prüfen die LIS-Techniker bei der Vernetzung, ob es ausreichend ist, auf die Dateien eines entfernten Fileservers zuzugreifen, ohne dass weitere Dienste der entfernten Infrastruktur genutzt werden. Zudem ist der dauerhafte Zugriff von Daten über eine DSL-Leitung nicht immer so performant, wie man es sich wünscht.

Hierfür gibt es jedoch gute Abhilfe: Den Spiegelserver. Ein Spiegelserver sorgt für einen kompletten oder teilweisen Abzug der Daten des zentralen Servers, so dass diese in einer Filiale komplett zur Verfügung stehen. In einstellbaren Abständen synchronisiert er die Daten bidirektional, so dass beide Seiten den jeweils aktuellen Stand haben. Natürlich kann es bei diesem Szenario passieren, dass eine Datei auf beiden Seiten zwischen zwei Synchronisationszyklen verändert wird. In diesem Fall gibt es einen Konflikt, den man manuell lösen muss. In der Praxis kommt dieser Fall allerdings äußerst selten vor, und eine gute organisatorische Aufteilung vermeidet dies völlig.

Die Vorteile des Spiegelservers liegen jedoch auf der Hand: Schnelles, lokales Arbeiten, geringe Belastung der Leitung, zusätzliche Ausfallsicherheit bei Totalausfall der Leitung und quasi eine entfernte Datensicherung sorgen auch bei schmaler Anbindung für gute Arbeitsmöglichkeiten. Zudem kann der Spiegelserver auch ohne VPN implementiert werden. Der CoreBiz Spiegelserver verbindet alle Vorteile des Verfahrens mit der Möglichkeit, über den Spiegel auch gleich ein Backup mit zu verwalten.

Authentifizierungs- und Namensdienste

Selbst wenn man "nur" die Daten spiegelt, bleibt das Problem, dass Benutzerzugriffe firmenweit authentifizierbar sein müssen. Das heißt, die Benutzerkonten müssen in allen Filialen bekannt und nutzbar sein. Im Falle von Windows muss auch die so genannte SID, unter Linux die UID, die beide den Benutzer eindeutig identifizieren, zwischen allen Standorten einheitlich gehalten werden, damit ein firmenübergreifendes Anmelden und der rechtmäßige Zugriff auf Dateien gewährleistet sind.

Der Zugriff auf diese administrativen Daten über einen zentralen Server ist möglich, jedoch wieder mit dem Nachteil der Abhängigkeit von der Leitung. Die Lösung hier: ein replizierendes System, wie es zum Beispiel eine hierarchische LDAP-Datenbank bietet. Der "Lightweight Directory Access Protocol" Dienst kann sämtliche Benutzer- und Gruppendaten vorhalten, wie auch weitere Daten über Drucker, Standorte, Netzwerke oder Dienste. Über den Replikations-Agenten halten sich alle Standorte eine Kopie dieses Baumes vor und können damit Authentifizierungsdienste anbieten und über die Netze Auskunft geben, selbst wenn die Verbindung mal unterbrochen sein sollte.

Damit ist nur noch die Frage zu klären, wer eigentlich die Namen der ganzen Rechner in den Standorten kennt. Hierfür verwendet man ja den speziellen Namensdienst "bind". Und in diesem ist praktischerweise bereits vorgesehen, dass es einen authoritativen Server für eine Domäne gibt und weitere Server, die seine Daten als Secondary spiegeln dürfen. Auf diese Weise werden die Daten zentral verwaltet, sind jedoch in allen Standorten verfügbar.