Sicherheit und Performance für alle Aktivitäten im World Wide Web

Unter dem Dach der weltweit tätigen Wirtgen Group konzentriert sich die Joseph Vögele AG auf die Entwicklung von Straßenfertigern für den Asphalteinbau und beschäftigt rund 750 Mitarbeiter. Mit rund 87 Prozent am Markt für Straßenfertiger unterstreicht das Unternehmen seine internationale Bedeutung.
Ausgangssituation
Mit steigender Nutzung des Internet für verschiedene Abläufe im Rahmen ihrer Unternehmenskommunikation hat die Joseph Vögele AG jederzeit ein wachsames Auge auf aktuelle Entwicklungen und potenzielle Sicherheitsrisiken. Zum einen bergen die Schnittstellen des Unternehmensnetzwerks zur Außenwelt immer neue Risiken, zum anderen wird mit zunehmendem Einsatz eine produktive und sichere Web-Umgebung für den internen Gebrauch immer wichtiger. Um hier potenziellen Sicherheitsrisiken und -angriffen rechtzeitig mit angemessenen und zuverlässigen Maßnahmen zu begegnen, bedarf es des kontinuierlichen Ausbaus der technischen Infrastruktur für Sicherheit und Verfügbarkeit aller Web-basierten Aktivitäten.
Problemstellung
Mit der vorhandenen Infrastruktur war die erforderliche Sicherheit auf Dauer nicht zu gewährleisten, darüber hinaus zeigten die eingesetzten Kontrollsysteme deutliche Einschränkungen in der Administrierbarkeit. Folgende Ziele wollte VÖGELE mit der Aufrüstung seiner sicherheitsrelevanten Infrastruktur erreichen:
  • Transparenz im Web-Datenverkehr sowie Kontrolle und Absicherung gegen Web-basierte Gefahren sollen gewährt sein.
  • Geschäftsrisiken, wie zum Beispiel Virenübertragung beim Surfen oder durch Nutzung von Instant Messaging (IM) und Personal-Web-Mail sollen deutlich minimiert werden.
  • Mögliche Einschränkungen von Netzwerkleistung durch Missbrauch von Peer-to-Peer-Netzen oder Streaming-Media-Angeboten sollen unterbunden werden.
Lösung
»Home of the Brave« entwickelte für VÖGELE eine individuelle Unternehmenslösung, die gehobenen Ansprüchen nach Sicherheit und Performance auch mittelfristig entspricht. Auf der Basis einer spezialisierten Security Appliance vom Marktführer Blue Coat ( http://www.bluecoat.com ), die mit einem eigens entwickelten, gehärteten Betriebssystem und einer umfangreichen Proxy-Anwendung bestückt ist, wurde die bestehende Netzwerk-Infrastruktur des Unternehmens ausgebaut und ermöglicht so ein weitreichendes und komfortables Management von Gruppen, Usern und deren Zugriffsrechten. Sie wurde zusätzlich zu einer existierenden Firewall für das Handling von HTTP-, FTP-, Instant Messaging-, Peer-to-peer- und Streaming-Traffic eingesetzt und ist auf diese Aufgabe spezialisiert.
Arbeitsweise des Systems
Das System klassifiziert jeglichen Traffic für das Surfen im World Wide Web inkl. FTP-Downloads und scannt darüber hinaus sensibel nach Viren und anderen potenziellen Schwachstellen. Auch die Überwachung der Anwendungen und der von ihnen verwandten Bandbreiten bei der Nutzung von Peer-to-peer-Netzen und Streaming-Media-Angeboten obliegt dem System, das erforderliche Bandbreiten-Management ist für alle Protokolle möglich. Die Signaturen für den Viren-Scanner und die Datenbank für die Klassifikation des Traffic aktualisieren sich selbstständig, bedürfen also keiner aktiven Pflege.
Jegliche Nutzung von Instant Messaging wird über die Security Appliance exakt steuerbar. Hauptmerkmale des IM-Managements im Intra- oder Extranet eines Unternehmens sind die Definition von Diensten, die Steuerung aller IM-Funktionen sowie die Protokollierung und Blockierung von IM.
Wichtiges Komplementär in dieser technischen Infrastruktur ist LDAP (Lightweight Directory Access Protocol). LDAP fungiert hier nicht nur als Übertragungsprotokoll, sondern als umfassendes Konzept zur Speicherung von Daten und zum Zugang zu Anwendungen verschiedenster Art. Dabei ist LDAP kaum mit gängigen Datenbanksystemen vergleichbar. Statt auf Tabellen aufzubauen, wie es bei relationalen Datenbank-Management-Systemen (RDBMS) der Fall ist, bildet LDAP vielmehr natürliche Strukturen ab - diese folgen häufig einem hierarchischen Ordnungsprinzip und wären mit RDBMS nur bedingt bzw. unter hohem Aufwand darstellbar.
Im Falle der neuen Sicherheitslösung für VÖGELE muss sich jeder Nutzer anmelden und wird gegen ein LDAP Directory authentifiziert. Je nach Gruppenzugehörigkeit und Ergebnis der Klassifikation wird ihm der Zugriff gewährt oder verweigert. Auf diese Art wird auch unwissend installierte Spyware auf allen Workstation erkannt und bei Bedarf proaktiv an die Administratoren gemeldet. Auch die Verwaltung der Nutzer und Gruppen erfolgt außerhalb des Systems via LDAP.
Migration und Management
Die neue Security Appliance wurde gegen den Open Source Proxy Cache Squid ausgetauscht, dabei mussten keinerlei Veränderungen an den Einstellungen der Workstation vorgenommen werden. Die Ausfallzeit während der Umstellung betrug nur wenige Minuten. Einmal installiert und konfiguriert, arbeitet der Proxy weitgehend ohne Administration.
Das gesamte Management der Appliance erfolgt intuitiv auf Basis einer grafischen Oberfläche mit Hilfe eines Browsers. Ebenfalls mit der Management-Oberfläche erfolgen statistische Auswertungen, System Upgrades etc.. Detaillierte Auswertungen der Log-Files werden über eine spezielle Reporting-Software ermöglicht. Auffälligkeiten können per E-Mail versandt werden.
Die Appliance wird in verschiedenen Modellen angeboten und kann umfangreich konfiguriert werden. Es sind zahlreiche Fremdprodukte (Plug-Ins) zur Klassifizierung und Filterung von Web Traffic von Drittherstellern erhältlich.
Die Joseph Vögele AG wird seit Jahren von »Home of the Brave« zu Fragen und Aufgaben ihrer Internet-Infrastruktur - insbesondere hinsichtlich Sicherheit und Hochverfügbarkeit - betreut. Neben der konzeptionellen Beratung und der Unterstützung bei der Auswahl passender Produkte plant, konfiguriert und integriert »Home of the Brave« die erforderliche Hard- und Software und bietet die qualifizierte Überwachung und Sicherstellung des laufenden Betriebs der Systeme.

zum Seitenanfang

Ant-On
Beneo
Deere
Engelhorn
Hess
Quintiles
Roche
Suedzucker