Sicherheitsarchitektur für Verwaltungsdatenverarbeitung in Hochschulnetzen

Hartmut Koke
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen 

Vortragsfolien (*.ppt/2197 kb)

Häufig werden Verwaltungsnetze, in denen besonders sensitive Daten verarbeitet werden, aus Gründen der Datensicherheit physikalisch getrennt geführt. Dies erfordert, wenn die einzelnen Endrechner weit verstreut in Gebäuden aufgestellt sind, einen erheblichen zusätzlichen Aufwand.

Eine Lösung dieses Problems ist es, eine Sicherheitsarchitektur aus verschiedenen Einzelkomponenten aufzubauen. Dazu gehört insbesondere auch der flächendeckende Einsatz von Citrix-Metaframe Terminalservern als zentrale Applikationsserver und geeigneter Clientsysteme, die über verschlüsselte Verbindungen kommunizieren.

Ziel ist es, dass der Endanwender die benötigten Verwaltungs-Applikationen grundsätzlich über Terminalserver aufruft. Dadurch werden die Pflege der Anwendungen (Verteilung neuer Software, Einspielen von Updates, Fehlersuche usw.) wesentlich vereinfacht und die Reaktionszeiten stark verkürzt. Die Arbeitsplatzrechner der mit Verwaltungsanwendungen betreuten Mitarbeiter werden durch spezielle Maßnahmen geschützt und müssen sich nicht mehr in einem getrennten Netz befinden, sondern können im allgemeinen GÖNET dezentralisiert eingesetzt werden. "Verstreut" liegende Arbeitsplätze werden so über gesicherte Verbindungen mit dem Kernbereich des Verwaltungsnetzes, das durch eine kombinierte Firewall/VPN-Lösung geschützt ist, verbunden. Der geschützte Kernbereich enthält die zentralen Applikations- und Datei-Server der Verwaltung. Die GWDG, die im Auftrag der Georg-August-Universität, die dargestellte Sicherheitsarchitektur entwickelt und betreibt, bietet unterschiedlich ausgestattete Client-System für den Einsatz im Verwaltungsumfeld bzw. in den gemischten Anwendungsbereichen der Institute an. Dies sind:

  • A. Thin Clients (Embedded XP oder Linux) ohne Festplatten mit lokalem, in nicht-flüchtigen Speichermedien untergebrachtem, Betriebssystem. Die Anwendungen werden ausschliesslich über ICA-Clienten mit 128-Bit Verschlüsselung auf den zentralen Applikationsservern genutzt. Durch Einsatz von Thin Clients wird in diesem Umfeld der Betreuungsaufwand weiter gesenkt und gleichzeitig die Sicherheit noch verbessert.

  • B. PCs mit ICA-Clienten unter Windows XP Auf den PC-Klienten-Rechnern selbst (meist vorhandene Rechner-Systeme) wird als zusätzliche Software ein Terminalserver Client (mit ICA-Verschlüsselung, bei Bedarf VPN), sowie eine Personal Firewall installiert. Die Personal Firewall schützt vor Angriffen aus dem Internet/GÖNET sowie dem lokalen Netz. Die für die Personal Firewall erforderlichen "Policies" werden zentral gehalten. Entscheidend ist die einfache Administration der Personal Firewall-Systeme auf den Clients. Der Benutzer wird in der Regel keinen Zugang zur lokal installierten Firewall bekommen, damit die Sicherheitsgrundregeln nicht verändert werden können. Alternativ können bei besonders hohen Sicherheits-Anforderungen Netzwerk-Karten mit Personal-Firewall in Hardware eingesetzt werden. Die PC-Systeme können zusätzlich mit lokalen Applikationen eingerichtet werden, die über zentrale Software-Verteilungs-Mechanismen verwaltet werden.

Die GWDG betreibt für die zentrale Nutzung durch die o.g. Client-Systeme entsprechend ausgestattete Server mit Citrix Metaframe XP in einem Farm-Konzept mit Lastausgleich. Auf diesen Servern laufen normale Office-Anwendungen sowie die für die Verwaltungsarbeiten benötigte SAP-GUI Umgebung.