Quelloffene Sicherheit für Brandenburg (Fortsetzung)

Filtermechanismen und VPN-Gateway
Gemäß der dreigeteilten Aufgabenstellung »Contentfilter«, »Viren- und Spamfilter« sowie »VPN-Gateway« entwickelten die Teams »Softwareentwicklung« sowie »Linux«, die speziell für das Sicherheits-Projekt des LDS gegründet wurden, zusammen mit den Sicherheitsspezialisten des Berliner Systemintegrators probusiness AG, folgende Instrumente:

SquidFilter+: Schutz gegen aktive Inhalte
Um Gefahren durch potenziell gefährliche aktive Inhalte von externen Webseiten zu vermeiden, implementierte man den Contentfilter »squidFilter+«. Diese Open-Source-Lösung wurde auf den Bedarf des LDS zugeschnitten und durch weitere Funktionen ergänzt. Die Software sortiert dabei nicht auf Basis der aufgerufenen URLs aus, sondern filtert gezielt aktive Inhalte wie beispielsweise JavaScript, Java-Applets, ActiveX und Flash-Animationen aus Webseiten heraus. Nicht-aktive Inhalte hingegen bleiben unverändert. Darüber hinaus ist der Filter flexibel konfigurierbar. Vertrauenswürdige Websites können so im Einzelfall für die Anzeige aktiver Elemente freigeschaltet werden.

pb.Mailfilter: Schutz gegen Viren und E-Mail-Spam
Zur Erkennung von vireninfizierten E-Mails beziehungsweise unerwünschter Werbung (Spam) installierte probusiness eine Mail-Lösung, welche direkt mit dem vom LDS entwickelten Mailcluster zusammen arbeitet. Beide verwenden Open-Source-Komponenten, ergänzt um kommerzielle Lösungen wie den MC/ServiceGuard-Cluster und drei Virenscanner. Dabei erkennt eine selbstlernende Spam-Engine im Verbund mit dem Distributed-Checksum-Verfahren Spam schnell und zuverlässig.

LDAP-Anbindung eines VPN-Gateways: Einfacher Zugang über das Internet ins Netzwerk
Für den LDS erweiterte probusiness außerdem das VPN-Netzwerk, mit dem sich Außenstellen und Mitarbeiter in das interne Landesverwaltungsnetz via Internet einwählen können. Ziel war es, die bereits bestehende quelloffene IPSec-Implementierung »FreeS/WAN« auszubauen, um so den Zugang auf interne Ressourcen einfacher zu verwalten. Durch die individuelle LDAP-Erweiterung kann nun der LDS alle Zertifikate, Zugangsdaten und IP-Bereiche auf einem zentralen Server verwalten. Darüber hinaus erhält der Landesbetrieb durch den Wartungsvertrag regelmäßig aktuelle Versionen von FreeS/WAN, dem X.509-Patch und der probusiness-Erweiterung, die auf den jeweiligen Kernel angepasst sind. Die Installation erfolgt dabei mit Hilfe von RPM-Dateien, die sowohl die Hilfsprogramme als auch die Erweiterungen automatisch aktualisieren.

1,1 Millionen Viren geblockt
Mit der neuen quelloffenen Sicherheits-Lösung konnten die Reaktionszeiten auf Angriffe deutlich abgesenkt werden. Mit einer Verarbeitungsgeschwindigkeit von bis zu 6000 Mails pro Minute in der aufgebauten Konfiguration und einer Verfügbarkeit von über 99,9 Prozent macht der neue Mailfilter den E-Mail-Verkehr der Verwaltung des Landes Brandenburg deutlich sicherer. Diese hohe Verfügbarkeit wird durch drei Elemente erreicht:
?    erreicht ein redundantes Cluster zum Schutz vor Hardwareausfällen
?    Benutzung von quelloffener Software, die gut bekannt und getestet ist
?    permanente Überwachung der Serverdienste und nachfolgende Alarmierung per SMS oder E-Mail.
Das konkrete Ergebnis der Implementierung: Aggressive Viren und Würmer wurden von der ersten Minute des Einsatzes an zuverlässig identifiziert und gelöscht, Werbemüll und gegen Gesetze und die guten Sitten verstoßende Mails sofort erkannt und markiert.
Durch den Einsatz einer Open-Source-Software können die IT-Verantwortlichen des Landesbetriebs jederzeit schnell auf neue Viren und Würmer reagieren, ohne auf eine vom Hersteller gelieferte Software-Korrektur warten zu müssen. Diese Wartezeit birgt bekanntlich ein hohes Gefährdungspotenzial, denn das System ist während dieser Zeit gegen neuartige Angriffe ungeschützt. Und diese Zeit ist entscheidend, denn die Mitarbeiter des Landes Brandenburg erhalten täglich insgesamt rund 50000 E-Mails, in denen sich oft mehrere Tausend Viren und unter denen mehrere Zehntausend Mails mit Werbemüll und zweifelhaften Angeboten sind. So wurden seit dem Start der neuen Lösung im November 2003 insgesamt mehr als 1,1 Millionen Viren erfolgreich geblockt.
Die Kunden und Mitarbeiter des LDS profitieren somit direkt vom höheren Komfort und der höheren Sicherheit der Open-Source-Lösung. Zusätzlich konnten die Reaktionszeiten des Helpdesks für die Benutzer deutlich verkürzt werden und es wurde eine schnellere Analyse von Problemfällen und -situationen möglich. Ursache hierfür ist die zentrale web-basierte Viren- und Spam-Auswertung sowie die integrierte Volltextsuche in Bezug auf die Bearbeitungszustände der Mailserver.
Die Zusammenarbeit mit dem Systemintegrator verläuft reibungslos. Gerade bei einer Open-Source-Lösung ist diese enge, unbürokratische Zusammenarbeit von großer Bedeutung, denn man kann die weitere Entwicklung in diesem Bereich nicht vorab planen.   

Dr. Stephan Hendl ist EDV-Leiter beim Landesbetrieb für Datenverarbeitung und Statistik des Landes Brandenburg (LDS)